|
KORAN TEMPO, 06 Mei 2013
Belakangan ini jumlah malware
yang menyasar bank (financial malware)
semakin turun, tapi bukan berarti transaksi perbankan melalui Internet sudah
aman. Kejahatan perbankan di Internet terlihat makin meningkat, hanya modusnya
kini lebih berliku tapi kian "tak terasa".
Simak saja statistik kejahatan cyber di Ibu Kota Jakarta.
Pada 2011, kerugian akibat cyber crime mencapai Rp 4 miliar dan US$ 178.876,50
dengan 520 kasus. Pada 2012, jumlah kasusnya meningkat menjadi 600 kejadian
dengan kerugian Rp 5 miliar dan US$ 56.448. Pada 2013, sepanjang Januari-Maret,
kerugian masyarakat sudah mencapai sekitar Rp 1 miliar. Tahun ini frekuensi
laporan masyarakat atas kejahatan jenis tersebut sebanyak 3-4 laporan per
hari-bandingkan dengan 2012, yang hanya 2-3 laporan per hari.
Para pembuat malware merombak program mereka untuk
menghindar dari deteksi antivirus yang kian canggih di komputer nasabah dan pada
server bank. Caranya, dengan
melibatkan banyak strategi yang membuat modusnya lebih berliku. Salah satu cara
yang digunakan adalah mengirim malware masuk lewat social engineering,
phishing, dan Trojan. Karena Trojan mudah dimodifikasi, ukurannya relatif kecil
dan tidak terlalu rumit dibanding financial malware.
Untuk menghindari antivirus, pelaku kini meninggalkan
penyebaran virus melalui e-mail, karena penyebaran malware yang dilampirkan
dalam sebuah e-mail gampang terdeteksi. Para penjahat cyber mulai memanfaatkan situs web, sehingga para pembuat malware
bisa menggunakan paksaan tanpa diketahui. Pengakses situs web itu tidak
menyadari dan tetap merasa nyaman melayari homepage tersebut karena tidak
merasa terganggu oleh program jahat yang sebenarnya sedang mengunduh (download) data dan dokumen dari
komputernya. Ajaibnya, pemakai tetap merasa nyaman download, browsing, dan memasukkan data perbankan elektronik,
padahal di komputernya sudah bersarang malware yang mencuri data rahasia itu.
Malware itu umumnya ditempatkan di web server. Tujuannya
agar malware tidak cepat terdeteksi
oleh antivirus dan makin mudah dimodifikasi. Bahkan kini ada malware yang
disebar menggunakan Trojan-Downloader,
yang bisa menghancurkan dirinya sendiri setelah beraksi.
Nomor Rekening
Tapi pelaku cyber
crime mengetahui pula bahwa cara seperti itu pun akan cepat diketahui, dan
pihak berwajib bisa menangkap mereka. Untuk menghindarinya, pelaku kejahatan cyber mengembangkan teknik baru, yakni
merekrut orang untuk dijadikan money mule.
Orang yang direkrut sebagai money mule
memberikan nomor rekening bank mereka dan nantinya rekening itu bisa diisi
dengan uang.
Teknik untuk mendapatkan nomor rekening bisa
bermacam-macam. Misalnya, penyebaran informasi kredit tanpa agunan (KTA)
melalui SMS. Dalam SMS itu disebutkan, misalnya, pinjaman dari Rp 5 juta sampai
Rp 250 juta. Persyaratannya, cukup dengan fotokopi buku tabungan (di sini ada
nomor rekening), fotokopi kartu kredit, dan meterai. Mereka yang diminta
memfotokopi nomor rekening atau kartu kredit tidak menyadari hal tersebut.
Dengan maraknya bisnis online,
seperti cybermall, cyberstore, cyber
ticket, dan transaksi online, maka nomor rekening makin mudah beredar di
dunia maya. Apabila nomor rekening jatuh ke tangan yang tidak bertanggung
jawab, rekening tersebut nantinya akan dialiri uang hasil jarahan dari suatu
bank, lalu 85-90 persen hasil jarahan ditransfer ke rekening pembuat malware dengan menggunakan layanan
transfer uang, seperti MoneyGram dan E-Gold.
Melalui money mule,
pelaku cyber crime menjadi sulit
terdeteksi. Andai money mule dan bank
berada dalam negara yang sama, mungkin tidak terlalu sulit membongkar kejahatan
ini. Tapi, apabila sudah melibatkan banyak rekening dengan bank dan negara
berbeda, kejahatan ini sangat sulit dilacak.
Phishing
Maraknya penggunaan transaksi elektronik dengan memakai
media Internet juga menyuburkan kejahatan cyber
yang disebut phishing. Tujuan utama phishing adalah mencuri data dan
informasi. Para pelaku kejahatan akan menyamar sebagai organisasi legal,
termasuk bank, kemudian meminta berbagai informasi mengenai kartu kredit hingga
nomor rekening. Medianya biasanya melalui e-mail atau halaman situs web.
Phishing melalui e-mail biasanya berisi permintaan dari pihak bank
tertentu agar nasabah memperbarui data pribadi, termasuk nomor rekening. Dalam
e-mail tersebut ada link menuju formulir tertentu untuk memperbarui informasi
pribadi. Link ini sudah pasti tidak menuju situs web bank Anda, melainkan milik
para cybercrime. Di sini nasabah akan
dikelabui, karena tampilannya dibuat sama seperti situs web bank pada umumnya.
Karena website tersebut tampak seperti asli, nasabah tidak akan mencurigainya,
sehingga dengan senang hati mereka akan memperbarui data dan informasi pribadi,
termasuk informasi yang sebetulnya bersifat rahasia.
Cara lain adalah memodifikasi file "host" di
server, sehingga penjahat bisa "membelokkan" browser ke situs lain saat melakukan browsing. Umpamanya, Anda sedang melakukan browsing ke situs bank
Anda, misalnya http://www.abc.com. Browser
yang digunakan tidak akan membuka situs web bank tersebut, melainkan dibelokkan
ke halaman situs web lain yang tampilannya sama. Dan Anda akan mengisi data
pribadi di halaman web tersebut, termasuk PIN Anda.
Solusi Keamanan
Untuk mengatasi masalah keamanan Internet, pihak perbankan
harus mengeluarkan biaya tidak sedikit, dari antivirus hingga anti-spam.
Soalnya, username dan password tradisional saja tidak bisa
mengamankan transaksi online.
Perbankan juga harus menerapkan kode otentifikasi, sehingga
nasabah, selain memasukkan username dan password, harus memasukkan kode
otentifikasi. Sistem kedaluwarsa kode otentifikasi itu penting diaktifkan agar
penjahat cyber tidak bisa menggunakan
kode otentifikasi yang sudah didapatnya.
Pemerintah juga harus terlibat, termasuk dalam mengikat
kerja sama dengan negara lain, mengingat kejahatan ini borderless. Atas dasar ini pula, Polda Metro Jaya, misalnya,
bekerja sama membangun kantor cyber crime
dengan Mabes Polri dan kepolisian Australia. Namun, yang tak kalah penting,
Anda sebagai calon korban harus pula berhati-hati. ●
Tidak ada komentar:
Posting Komentar