Online Banking: Aman atau tidak?

      Semakin maraknya bank-bank yang menawarkan layanan online banking membuat saya semakin tertarik untuk mencari tahu tentang cara kerja online banking dan tingkat keamanannya . Jujur saja saya bukan pengguna online banking karena saya masih sangsi akan tingkat keamanan dari layanan ini sendiri. Setelah mencari tahu dengan cara googling akhirnya saya mengetahui bahwa  pada awal kemunculan  internet banking di Indonesia, bank hanya menggunakan 2 lapis system pengamanan. Yaitu SSL (secure socket layer) dan autentikasi user dengan menggunakan user id+pin.

      Bagi yang masih awam mengenai SSL, layer ini digunakan untuk menyandikan komunikasi antara web browser nasabah dengan web server bank. Apabila biasanya kita mengakses situs-situs biasa dengan alamat http, maka situs bank yang menggunakan SSL mempunyai ciri khusus pada alamatnya berupa https (s singkatan dari secure).  Penyandiannya pun menggunakan sertifikat SSL 128 bit yang dikeluarkan oleh lembaga resmi seperti Cybertrust atau Verisign. Sertifikat ini mempunyai masa berlaku satu atau dua tahun. Setelah masa berlaku habis, maka bank harus memperbarui dan menggunakan sertifikat baru.

      Setelah sistem keamanan 2 lapis tersebut berhasil ditembus, kemudian bank menambah lagi satu lapis menjadi 3 lapis, yaitu dengan menambahkan one time password. One time password ini digunakan untuk mengautentikasi transaksi finansial. Sedangkan user id dan password hanya dapat mengakses layanan non finansial saja, seperti cek saldo dan lihat riwayat transaksi. Dengan demikian seandainya ada orang yg dapat mencuri user id dan pin i-banking, maka dia hanya akan bisa mengakses transaksi non-finansial saja tanpa bisa menguras uang korban.

Berikut ini saya jelaskan beberapa teknik hacking internet banking yang pernah terekspos media:
1. Keylogging.

Teknik ini biasanya digunakan oleh hacker di komputer umum yang penggunanya banyak bergantian, misalnya di komputer warnet. Hacker akan memasang software keylogger di komputer tersebut, dan berharap ada nasabah internet banking yg mengakses di komputer tsb. Software keylogger atau key stroke logger adalah software yg merekam semua karakter keyboard yg ditekan oleh pengguna komputer. Software ini berjalan di background dan biasanya tidak disadari oleh pengguna awam bahwa aktifitasnya sudah direkam oleh hacker. Di lain waktu si hacker akan melihat hasil jebakannya dan jika beruntung barangkali akan memperoleh user id dan pin nasabah yg kemudian digunakan untuk mengakses layanan i-banking.

2. Typo site.

Typo site merupakan situs perangkap yang dibuat oleh hacker,dan memiliki nama hampir serupa dengan situs aslinya. Sang hacker mengharapkan nasabah salah mengetikkan url situs i-banking sehingga navigasi terarah ke situs palsu. Contoh salah ketik misal: situs asli adalah bank.com tapi nasabah salah mengetikkan bang.com. Typo site ini memiliki tampilan hampir 100% mirip dengan situs aslinya, sehingga seringkali orang yang salah ketik tidak menyadari bahwa ia sebenarnya berada di situs yang salah Tanpa disadari oleh nasabah, dia akan memasukkan user id dan pin yg akan direkam oleh hacker di situs palsu, kemudian navigasi akan diteruskan ke situs asli. Data-data tersebut kemudian dimanfaatkan untuk melakukan transaksi illegal. Ciri utama jika kita kesasar di typo site adalah munculnya peringatan dari browser bahwa sertifikat ssl tidak valid atau bahkan situs tidak menggunakan https tetapi http biasa.

3. Phishing.  

Phishing adalah cara-cara penipuan yang dilakukan oleh hacker untuk mendapatkan informasi rahasia seorang nasabah seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah.

Modus ini dilakukan dengan berbagai cara, antara lain:

• Berpura-pura sebagai pegawai bank yang meminta data-data nasabah dengan berbagai alasan,
• Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit.
• Membuat situs palsu yang sama persis dengan situs resmi atau pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
• Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.

4. Virus dan spyware.

Belakangan pernah ditemukan virus yg jika menginfeksi komputer korban, akan memata-matai komputer korban, dan akan mengirimkan data penting korban ke pembuat virus/spyware. Para ahli Kingsoft Anti-virus mengatakan ada tiga jenis ancaman virus untuk keamanan online perbankan,antara lain:

1.    Downloaders Trojan

• Terminator AV

Konfrontasi dengan software antivirus, khususnya merusak sistem keamanan komputer

•  the robot dog

langsung melakukan operasi disk untuk memotong pengujian integritas file system, melalui sistem file yang terinfeksi (seperti explorer.exe, userinit.exe, WinHlp32.exe, dll)

• drive

Akan menonaktifkan beberapa alat keamanan dan software antivirus dan mencegahnya bekerja, dan akan terus menguji window untuk menghentikan software anti-virus dan bantuan keamanan lainnya.

2.    Trojan Remote control

Sebuah trojan horse, Setelah Invasi, komputer yang terinfeksi dapat mengoperasikan berbagai tugas, seperti pemantauan layar, pemantauan keyboard, dan video.

3.    Internet Banking Daohao professional family

virus ini akan mencuri nomer kartu pembayaran nasabah, password, nama penerima, lokasi penerima,nomer serial transaksi, nama agensi jaringan pembayaran, dan informasi penting lainnya. virus tersebut antara lain: t

• Net bank robbers Stealth
• Network device 61440 Silver hacker Daohao
• Net bank robber
• "happy ears"
• Bank Xiaoyan
• silencer Daohao Trojan 102400

     Setelah membaca berbagai sumber, saya dapatkan bahwa untuk system layanan online banking di Indonesia, pihak bank yang hanya menyediakan 6-10 angka sebagai password dan tidak mengijinkan adanya huruf maupun spesial karakter. Selain itu tidak ada sistem challenge respon untuk memastikan keabsahan situs bank. Hal ini sangat saya sayangkan. Menurut saya password yang baik adalah password yang menggunakan kombinasi antara angka, huruf dan special karakter, sehingga akan lebih sulit bagi hacker untuk membobol password kita. Mengenai tidak adanya system challenge respon tentu akan membuat nasabah merasa kurang aman terhadap situs yang sedang dikunjungi. Makin maraknya kasus typo site tentu saja membuat nasabah (khususnya yang masih awam) merasa was-was karena tidak mengetahui apakah situs yang diaksesnya asli atau palsu.

    Kini keputusan kembali lagi kepada Anda, apakah Anda ingin tetap menggunakan online banking atau tidak. Kalau pun Anda tetap ingin menggunakan layanan ini, saya akan memberikan tips untuk menjaga keamanan internet banking Anda:
1. Tips Menjaga Kerahasiaan PIN

• Jangan pernah menggunakan PIN yang sama untuk memenuhi kebutuhan finansial maupun non finansial yang Anda lakukan lewat web, seperti e-mail, online shopping, dan pelayanan langganan online lainnya.
• Jangan membuat PIN yang merupakan pengulangan dari User ID
• Jangan menggunakan PIN yang dapat ditebak dengan mudah oleh orang lain, seperti nomor telepon, tanggal kelahiran, nomor kendaraan, atau data pribadi lainnya. Sebaiknya pilihlah nomor PIN yang unik dan tidak bermakna. Semakin acak, semakin bagus.
• Jangan menggunakan nomor PIN yang berurut seperti 123456 atau PIN yang merupakan pengulangan satu angka seperti : 111111
• Jangan pernah memberikan PIN (nomor identifikasi personal) Anda pada orang lain, termasuk orang-orang terdekat Anda dan bahkan pihak bank sekalipun.
• Jangan mencatat PIN pada kertas atau menyimpannya secara tertulis ditempat yang orang lain bisa membacanya, contoh : agenda atau kalender. Jangan pula menuliskan PIN Anda atau menyimpannya di hard disk komputer, disket, telepon seluler atau benda-benda riskan lainnya. Akan lebih baik lagi jika Anda bisa mengingatnya tanpa harus menuliskannya.
• Berhati-hati menggunakan User ID dan PIN Internet Banking agar tidak terlihat atau dibaca orang lain.
• Jika Anda menggunakan layanan Internet Banking, sebelum memasukkan USER ID dan PIN, Anda harus selalu meyakinkan bahwa situs yang Anda kunjungi benar. Pastikan bahwa halaman internet banking yang Anda kunjungi merupakan milik Bank tersebut.
• Ubahlah PIN Anda secara berkala dengan menggunakan pelayanan rubah PIN di menu Administrasi pada Internet Banking
• Ubahlah segera PIN Anda jika Anda merasa PIN tersebut telah diketahui orang yang tidak berwenang.

2. Tips menghindari keylogging

Tips supaya terhindar dari modus ini, mudah saja: selalu gunakan komputer pribadi untuk mengakses i-banking.

3. Tips menghindari typo site

• Selalu periksa kembali ejaan nama situs yang Anda ketikkan
• Tips untuk terhindar dari modus ini adalah tambahkan situs i-bank ke bookmark atau favorit browser, dan selalu kunjungi dari sana. 
• Jangan pernah mengunjungi situs i-bank dari link yg disediakan oleh situs ketiga, seperti toko online, karena beresiko dibelokkan ke situs palsu.

4. Tips menghindari phising

• Jangan mudah terpancing untuk mengikuti arahan/petunjuk apapun sehubungan informasi rekening, yang dianjurkan pada e-mail yang dilink ke situs bank tertentu.
• Jika Anda menerima e-mail sejenis ini dan mengatasnamakan Bank, berhati-hatilah. Bank biasanya menerapkan kebijakan untuk tidak meminta pemilik rekening/Nasabah mengup-date data melalui sarana e-mail.  
• Jika Anda menerima e-mail seperti ini, segera laporkan kepada pihak Bank Anda.

5. Tips menghindari virus/spyware

•  Selalu update anti virus
• Berhati-hati saat menjelajah internet dan menerima attachment email tak dikenal

Referensi:

http://www.softcov.com/anti-virus/recognizing-the-threat-from-three-types-of-virus.html


http://us.detikinet.com/read/2007/06/15/114659/794129/323/keamanan-online-banking-semakin-buruk

http://dhidik.wordpress.com/2009/04/14/keamanan-internet-banking/

http://betha.web.id/?p=277