OTP (One Time Password)

Pengamanan dengan token terbukti  efektif melindungi pemilik rekening karena adaya OTP (One Time Password) berbasis waktu yang hanya bisa dipakai sekali.

                Jika dihitung dari saat pertama kali internet banking hadir di Indonesia menggunakan pengamana T-FA (Two Factor Authentication) berbasis token, selama lebih kurang lima belas tahun, metode pengamanan ini melindungi para pengguna internet banking dari ancaman kriminal yang ingin mencuri uang nasabah pengguna internet banking.

                OTP termasuk killer application pada masanya. Sebelumnya pengamanan akun internet banking hanya mengandalkan username dan password yang terbukti dapat dengan mudah dilumpuhkan jika komputer tersebut mengandung trojan. Hal ini terjadi karena trojan menyimpan setiap ketukan keyboard dan mengirimkannya ke penjahat (yang menanamkan trojan ini). Penjahat lalu bisa memanfaatkannya untuk melakukan transaksi perbankan ilegal.

                OTP melakukan terobosan dengan password sekali pakai. Jadi, sekalipun OTP sudah diketahui oleh trojan, nilai OTP ini akan langsun hangus setelah dipakai  melakukan transaksi. Jadi tidak ada gunanya bagi trojan/key logger mengetahui OTP ini. Hanya token unik yang berbeda antara satu akun dengan akun lain dan server internet banking yang mengetahui urut-urutan delapan angka OTP yang bisa digunakan untuk melakukan otorisasi transaksi finansial (seperti transfer dana, pembayaran dan pembelian pada akun internet banking).

                Namun teknologi selalu berkembang. Setiap teknologi selalu memiliki masa kadaluarsa seperti yang dialami oleh kartu magnetik masih banyak digunakan oleh ATM di Indonesia. Saat ini, proses kloning kartu magnetik dapat dilakukan dengan mudah karena sarana pembuatan dan pengisian data kartu magnetik sudah tersedia di pasaran. Hal ini menjadi ancaman tidak hanya bagi para pengguna ATM tetapi juga pengguna kartu kredit yang mau tidak mau harus meng-upgrade teknologi menggunakan chip yang saat ini lebih aman dari kartu magnetik.

                Jika proses eksploitasi pengamanan kartu ATM dan kartu kredit saja bisa terjadi (yang notabene cukup sulit karena membutuhkan hardware khusus untuk melakukan reading dan writing), secara teknis tentunya lebih mudah bagi penjahat untuk mengeksploitasi pengamanan internet banking karena tidak membutuhkan perangkat keras seperti kartu ATM, card reader/cloning untuk menjalankan aksinya . Mereka cukup mengetahui  kode transaksi yang tepat saja untuk memungkinkan mereka menjalankan aksi ini.

Standar Pengamanan Internet Banking

                Selama ini, cara yang sering dipakai penyerang untuk mendapatkan password atau username pengguna internet banking adalah phishing atau membuat situs internet banking palsu. Keduanya bisa diberikan melalui pesan e-mail palsu, seakan-akan dari bank yang meminta nasabah untuk mengganti password internet banking. Intinya, korban akan dialihkan ke situs phishing, dikibuli guna memberikan data/PIN yang nantinya akan digunakan untuk mengurus uang di rekeningnya. Karena itu, belajar dari pengalaman yang terjadi, banyak institusi keuangan yang memberikan beberapa saran standar seperti :

·         Memasang program antivirus ter-update guna mencegah infeksi trojan/keylogger.

·         Mengganti password/PIN internet banking secara berkala.

·         Memperhatikan alamat situs internet banking dengan teliti dan kalau perlu melakukan save ke favorit/bookmark.

·         Memeriksa sertifikat  SSL dengan melihat adanya gambar gembok atau kunci pada bagian alamat peramban guna memastikan keaslian situs.

Apakah jika pengguna internet banking sudah mengikuti saran yang diberikan maka ia sudah cukup aman dari ancaman trojan internet banking? Mari kita bahas satu persatu.

1 Memasang program antivirus yang ter-update guna mencegah infeksi trojan/keylogger.

                Apakah menginstal antivirus yang ter-update saja sudah cukup untuk melindungi kita dari ancaman trojan internet banking? Jawabannya akan cukup mengejutkan anda. Menurut survei yang dilakukan oleh Armin Buescher (Message Labs), Felix Leder (University of Bonn) dan Thomas Siebert (G Data) yang dimuat di Springer Lecture Notes in Computer Science (Vol.6961)/ September 2011 (http://www.vaksin.com/0315-gdata-bankguard):

                Program sekuriti/antivirus hanya mampu melindungi pengguna setelah trojan internet banking ditemukan. Tingkat deteksi program antivirus terhadap trojan internet banking yang baru hanya sebanyak 27% dan akan meningkat secara bertahap dalam waktu empat belas hari. Sementara dalam peraktiknya, penjahat internet banking menjalankan dalam waktu lebih kurang tiga guna memudahkan cash out dan menghindari deteksi program antivirus.

                Jadi artinya jika trojan internet banking baru diluncurkan, kemungkinan bagi program antivirus untuk mendektesi trojan tersebut hanya 27% dan selama lebih kurang empat belas hari, trojan tersebut bebas mondar-mandir menjalankan aksi jahatnya di komputer korbannya.

2 Mengganti password/PIN secara berkala.

                Jika komputer sudah dikuasai oleh trojan, tidak peduli berapa kalipun password/PIN diganti dan serumit apapun pilihan PIN dilakukan, trojan dengan kemampuan keylogger tersebut akan dapat mengetahui password/PIN tersebut setiap kali diketikkan di keyboard atau virtual keyboard sekalipun.

3 Bookmark alamat internet banking

                Salah satu kelemahan terbesar yang dieksploitasi oleh trojan internet banking adalah peramban/browser. Trojan dapat dengan mudah mengakses data credential yang disimpan peramban dan secara teknis tidak sulit membuat script yang bisa melakukan edit terhadap alamat bookmark dan mengarahkan kesitus lain.

4 Memeriksa sertifikat SSL dan adanya gambar gembok atau kunci pada bagian alamat peramban guna memastikan keaslian situs.

                Secara logis jika pengguna internet banking sudah mengakses alamat situs yang benar dan dilengkapi dengan logo kunci/gembok artinya situs tersebut memang situs resmi bank penyedia internet banking dan apa yang tampil dari situs tersebut adalah mewakili bank dan bisa dipercaya.

                Hal inilah yang dieksploitasi oleh trojan internet banking dengan menggunakan teknik load inject script yang mampu menampilkan layar pop up tambahan diatas situs internet banking resmi. Hal ini membuat korbannya percaya dan melakukan apa yang diperintahkan oleh pop up ini. Hal inilah yang terjadi di Indonesia pada pertengahan Februari 2015 dengan tampilan pesan “Singkronisasi Token” dan memakan korban cukup banyak.

Internet Banking Trojan

                Tentunya menjadi pertannyaan bagaimana hal ini bisa terjadi dan siapa dibalik kejadian ini. Sebagai catatan, saat ini jaringan botnet internet banking yang paling populer dan ditakuti adalah Zeus botnet/Gameover Zeus (GoZ). Jika Anda belum pernah mendengar sepak terjangnya, mungkin Anda pernah mendengar Cryptolocker, malware yang melakukan enkripsi atas data korbannya dan meminta tebusan/ransom jika korbanya ingin melakukan dekripsi. Aksi Cryptolocker menginspirasi ransomware lain seperti CTB Locker dan Plock yang banyak ditemukan di Indonesia.

                Menurut data terahir sampai maret 2015, Indonesia masuk ke dalam peringkat keenam di bawah Amerika sebagai negara dengan infeksi GoZ terbanyak mengalahkan Inggris di peringkat ketujuh dengan jumlah perangkat komputer terinfeksi sebanyak 3.074 perangkat. Jika ditilik dari ASN (Autonomous System Number), AS17974 merupakan ASN nomor tiga paling banyak terinfeksi GoZ, yakni sebanyak 1.752 infeksi.

                Guna menarik benang merah serangan internet banking dengan GoZ, menurut data G Data, pada tahun 2014 ada tiga alamat yang ditengarai dimiliki oleh bank di Indonesia yang menjadi sasaran eksploitasi oleh GoZ. Yakni bankmandi**.co.id, *nidirect.co.id dan ibank.*ri.co.id.