Mari Berbagi walaupun hanya sekedar Informasi

Berbagi informasi tentang segala hal positif

Kegelisahan Seorang Nasabah Internet Banking

with 7 comments

Sebagai salah satu pengguna internet banking sebuah bank terpercaya di Indonesia, saya masih memilliki rasa was-was terhadap layanan tersebut. Kekhawatiran saya bertambah karena saya sering menggunakan fasilitas internet banking. Berikut adalah beberapa keraguan tentang sistem keamanan internet banking khususnya untuk bank yang saya gunakan. Sekiranya pembaca adalah pakar keamanan internet banking pada sebuah bank mohon untuk menjawab beberapa pertanyaan-pertanyaan saya.

Berikut kegelisahan tersebut:
1. Apakah PIN/Password yang digunakan tidak terlalu pendek?
Bank yang saya pakai hanya menyediakan 6-10 angka sebagai password. Sistem login tidak mengijinkan adanya huruf dan spesial karakter. Apakah hal ini tidak terlalu rentan untuk sistem keamanan pengguna?. Bank yang saya pergunakan di jerman mengijinkan pasword yang panjang dengan kombinasi huruf, angka dan special karakter.

2. Mengapa tidak ada sistem challenge respon untuk memastikan keabsahan situs bank?
Hal ini menurut saya menunjukkan sifat semena-mena bank terhadap konsumennya. Kita sebagai konsumen tidak diberi kesempatan untuk memastikan apakah website bank tersebut asli atau tidak. Tentunya kita sebagai konsumen rentan terhadap serangan phishing. Bank saya hanya mengingatkan konsumennya untuk berhati-hati dengan selalu menuliskan alamat web secara lengkap di address bar saat mau menggunakan online banking. Sebagai perbandingan Yahoo mail saja yang gratis menyediakan fasilitas anti-pishing (typo site maupun email palsu) untuk memastikan bahwa kita login di web yang sebenarnya walaupun tidak murni menggunakan sistem challenge respon. Yahoo hanya menggunakan teks maupun gambar yang dapat kita set pada komputer pribadi kita. Paling tidak akan menambah rasa aman karena text unik yang kita tuliskan tentunya tidak diketahui oleh orang yang berusaha memasang web aspal. Untuk email antara bank dan epalngakan juga dapat digunakan suatu pengenal khusus sehingga pelanggan tidak tertipu oelh email palsu yang memang sangat banyak.

3.Mengapa tidak digunakan keamanan tambahan dengan sistem One Time Pad?
Saya sebagai nasabah tentu tidak mengetahui sistem keamanan bank secara detail. Yang saya tahu bank saya menggunakan protokol SSL. Data yang dikirimkan akan diacak dengan 128 bit enkripsi. Dalam SSL tentunya untuk autentikasi akan digunakan RSA, DSA atau ECDSA. Menurut saya yang tidak bergelut dibidang security sistem, gabungan antara public key kriptography tersebut dengan sistem one time pad akan lebih aman. Kesulitan penerapan sistem keamanan gabungan ini tidakkah bisa diatasi dengan meksanakan enkripsi dengan publik key kriptografi dahulu setelah itu diacak dengan OTP. Setelah sampe diserver dilakukan proses kebalikan. Keuntungan OTP adalah berubah-ubahnya chiper text setiap kali login. Yang saya khawatirkan jika tidak menggunakan OTP walaupun dienkripsi dengan public key kriptography tetap saja chiper text yang dikirim dari client ke server adalah cipher text yang statis.

4. Seberapa amankah penggunaan kunci tambahan saat transaksi finansial?
Kunci tambahan pada saat transaksi finansial tentunya lebih menguatkan sitem keamanan. Ada sisi lemah yang terlintas di benak saya. Saya mempunyai pertanyaan tersendiri yang tidak saya publish demi alasan keamanan online banking bank yang saya gunakan.

Akhirnya sebagai nasabah kita hanya bisa berhati-hati. Bank tidak akan mau mengganti rugi dengan alasan apapun kalau terjadi penyalahgunaan account dan pasword kita di online banking. Ingatlah peraturan bank yang menyatakan bahwa saldo yang tercatat di bank dijadikan patokan bila terjadi selisih saldo. Kita hanya bisa menunggu sampai bank benar-benar adil terhadap nasabahnya.

Berikut saya sampaikan informasi tips keamanan internet banking dari bank yang saya gunakan. Saya sengaja menghapus nama banknya.
1. Tips Menjaga Kerahasiaan PIN

* Jangan pernah menggunakan PIN yang sama untuk memenuhi kebutuhan finansial maupun non finansial yang Anda lakukan lewat web, seperti e-mail, online shopping, dan pelayanan langganan online lainnya.
* Jangan membuat PIN yang merupakan pengulangan dari User ID
* Jangan menggunakan PIN yang dapat ditebak dengan mudah oleh orang lain, seperti nomor telepon, tanggal kelahiran, nomor kendaraan, atau data pribadi lainnya. Sebaiknya pilihlah nomor PIN yang unik dan tidak bermakna. Semakin acak, semakin bagus.
* Jangan menggunakan nomor PIN yang berurut seperti 123456 atau PIN yang merupakan pengulangan satu angka seperti : 111111
* Jangan pernah memberikan PIN (nomor identifikasi personal) Anda pada orang lain, termasuk orang-orang terdekat Anda dan bahkan pihak bank sekalipun.
* Jangan mencatat PIN pada kertas atau menyimpannya secara tertulis ditempat yang orang lain bisa membacanya, contoh : agenda atau kalender. Jangan pula menuliskan PIN Anda atau menyimpannya di hard disk komputer, disket, telepon seluler atau benda-benda riskan lainnya. Akan lebih baik lagi jika Anda bisa mengingatnya tanpa harus menuliskannya.
* Berhati-hati menggunakan User ID dan PIN Internet Banking agar tidak terlihat atau dibaca orang lain.
* Jika Anda menggunakan layanan Internet Banking, sebelum memasukkan USER ID dan PIN, Anda harus selalu meyakinkan bahwa situs yang Anda kunjungi benar. Pastikan bahwa halaman internet banking yang Anda kunjungi merupakan milik Bank tersebut.
* Ubahlah PIN Anda secara berkala dengan menggunakan pelayanan rubah PIN di menu Administrasi pada Internet Banking
* Ubahlah segera PIN Anda jika Anda merasa PIN tersebut telah diketahui orang yang tidak berwenang.
Memang PIN adalh sesuatu yang sangat rahasia dan hanya nasabah yang mengetahui PIN tersebut. Petugas bank tidak akan pernah menanyakan PIN melalui email telpon atau media lainnya, jadi hati-hailah jika ada yang menanyakan nomer PIN:

2. Waspadai Bahaya ‘Typo Site’ !
Modus kejahatan typo site ini terbilang cukup unik dan seringkali tidak disadari oleh korbannya. Caranya, pelaku membuat situs yang memiliki nama yang hampir serupa dengan situs resmi lainnya. Misalnya saja, sebuah situs resmi yang memiliki alamat di http://klikbanku.com/ dibuat samarannya dengan alamat http://klikbankku.com/ atau http://clickbankku.com/. Nyaris tak bisa dibedakan bukan?

Typo site dapat dengan mudah dibuat untuk domain .COM, .NET, .ORG, dan beberapa jenis domain lainnya. Setiap orang bisa menamakan situsnya tersebut dengan nama apa saja selama domain itu belum dimiliki orang lain. Dan kemudian si pembeli nama-nama domain yang mirip itu dapat membuat tampilan situsnya 100% mirip aslinya, sehingga seringkali orang yang salah ketik tidak menyadari bahwa ia sebenarnya berada di situs yang salah. Biasanya yang sering disalahgunakan adalah situs-situs dari bank resmi. Tujuannya tak lain adalah untuk menangkap user ID, password atau data-data pribadi lainnya. Data-data tersebut kemudian dimanfaatkan untuk melakukan transaksi illegal.
Cara mencegahnya:
– Untuk mencegah terjebak typo site, selalu periksa kembali ejaan nama situs yang Anda ketikkan. Jangan sampai ada kesalahan ketik, termasuk penggunaan symbol. Kesalahan yang banyak terjadi contohnya dalam penulisan huruf EL KECIL (l) yang mirip dengan huruf I BESAR (I), atau angka LIMA (5) mirip dengan huruf S BESAR (S).
– Situs Internet Banking, biasanya dilengkapi sertifikat sebagai proteksi tambahan. Untuk itu, jika Anda meragukan kebenaran sertifikat sebuah situs , Anda dapat meng-klik View Certificate untuk melihat rincian sertifikat dan memastikan apakah perusahaan yang Anda masuki situsnya dapat dipercayai. Jika keluar pesan warning mengenai sertifikat saat mengakses server internet banking , lebih baik tidak jadi mengakses situs tersebut atau mengecek ulang nama situs yang Anda ketikkan.
– Jika Anda mengakses situs internet banking dari sebuah link, periksalah juga apakah link tersebut membawa Anda ke server yang betul. Lihat jangan-jangan ada permainan huruf atau salah ketik
– Jika Anda merasakan atau menemui keganjilan, segera hentikan kegiatan Anda dan jangan lagi masukkan password atau informasi pribadi. Agar lebih yakin lagi tanyakan kepada orang yang Anda percaya dan mengerti benar secara teknis, atau kepada Customer Service Bank.

3. Waspadai Phising
Phising , adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah

Aksi ini semakin marak terjadi. Tercatat secara global, jumlah penipuan bermodus phising selama Januari 2005 melonjak 42% dari bulan sebelumnya. Anti-Phishing Working Group (APWG) dalam laporan bulanannya, mencatat ada 12.845 e-mail baru dan unik serta 2.560 situs palsu yang digunakan sebagai sarana phishing.
Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian

Bagaimana phishing dilakukan?
Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut:
* Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit.
* Membuat situs palsu yang sama persis dengan situs resmi.atau . pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
* Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.

Mencegah phishing
Jangan mudah terpancing untuk mengikuti arahan/petunjuk apapun sehubungan informasi rekening, yang dianjurkan pada e-mail yang dilink ke situs bank tertentu. Jika Anda menerima e-mail sejenis ini dan mengatasnamakan Bank, berhati-hatilah. Bank biasanya menerapkan kebijakan untuk tidak meminta pemilik rekening/Nasabah mengup-date data melalui sarana e-mail. Jika Anda menerima e-mail seperti ini, segera laporkan kepada pihak Bank anda.

Ditulis oleh: Dhidik Prastiyanto

7 Responses

Subscribe to comments with RSS.

  1. Pada awal munculnya layanan internet banking di Indonesia, bank hanya menggunakan 2 lapis sistem
    pengamanan. Yaitu SSL (secure socket layer) dan autentikasi user menggunakan user id+pin.

    SSL digunakan untuk menyandikan komunikasi antara web browser nasabah dengan web server bank. Cirinya,
    situs bank yg diakses memiliki alamat https (s singkatan dari secure), bukan http seperti situs-situs biasa. Penyandian menggunakan sertifikat SSL 128 bit yg dikeluarkan oleh lembaga resmi seperti Cybertrust atau Verisign. Sertifikat ini mempunyai masa berlaku satu atau dua tahun. Setelah masa berlaku habis, maka bank akan memperbarui dan menggunakan sertifikat baru. Setahu saya, belum pernah ada hacker yg berhasil membongkar sistem penyandian SSL. Dibutuhkan waktu, effort dan resource yg sangat besar untuk membongkar penyandian SSL. Semisal hacker berhasil membongkar, mungkin pada saat itu sertifikat SSL sudah expire dan bank sudah mengganti dengan yg baru.

    Sedangkan user id dan pin digunakan oleh bank untuk mengautentikasi nasabah yg akan mengakses layanan internet banking. Memang panjang pin hanya 6 digit dan hanya boleh menggunakan angka. Sepertinya
    kombinasi yg dihasilkan hanya sedikit sehingga mudah ditebak. Tetapi jangan lupa bahwa bank hanya memberi
    kesempatan nasabah untuk salah memasukkan pin 3 kali saja, selebihnya akun akan diblokir. Teknik yg
    digunakan oleh hacker untuk memperoleh akses ilegal bukan dengan teknik password guessing atau brute
    force attack, tapi menggunakan teknik lain yg lebih menonjolkan aspek social engineering.

    Berikut ini saya jelaskan beberapa teknik hacking internet banking yg pernah terekspos media:

    1. keylogging. Teknik ini biasanya digunakan oleh hacker di komputer umum yg penggunanya banyak
    bergantian. Misalnya di komputer warnet. Hacker akan memasang software keylogger di komputer tsb, dan
    berharap ada nasabah internet banking yg mengakses di komputer tsb. Software keylogger atau key stroke
    logger adalah software yg merekam semua karakter keyboard yg ditekan oleh pengguna komputer. Software ini berjalan di background dan biasanya tidak disadari oleh pengguna awam bahwa aktifitasnya sudah direkam oleh bad guy. Di lain waktu si hacker akan melihat hasil jebakannya dan jika beruntung barangkali akan memperoleh user id dan pin nasabah yg kemudian digunakan untuk mengakses layanan i-banking. Tips supaya terhindar dari modus ini, mudah saja: selalu gunakan komputer pribadi untuk mengakses i-banking.

    2. typo site. typo site adalah situs perangkap yg dibuat oleh hacker, yg mengharapkan nasabah salah
    mengetikkan url situs i-banking sehingga navigasi terarah ke situs palsu hacker yg sudah disiapkan sama
    seperti situs asli. Contoh salah ketik misal: situs asli adalah bank.com tapi nasabah salah mengetikkan
    bang.com. Tanpa disadari oleh nasabah, dia akan memasukkan user id dan pin yg akan direkam oleh hacker di situs palsu, kemudian navigasi akan diteruskan ke situs asli. Ciri utama jika kita kesasar di typo site adalah munculnya peringatan dari browser bahwa sertifikat ssl tidak valid atau bahkan situs tidak menggunakan https tetapi http biasa. Tips untuk terhindar dari modus ini adalah tambahkan situs i-bank ke bookmark atau favorit browser, dan selalu kunjungi dari sana. Jangan pernah mengunjungi situs i-bank dari link yg disediakan oleh situs ketiga, seperti toko online, karena beresiko dibelokkan ke situs palsu.

    3. phishing. Phishing adalah cara-cara penipuan yang dilakukan oleh hacker untuk mendapatkan informasi
    rahasia seorang nasabah seperti user id dan pin. Contohnya misal dengan berpura-pura sebagai pegawai bank yg meminta data-data nasabah dengan berbagai alasan, mengirim email kepada nasabah yg berisi login screen dan meminta nasabah untuk login. Tips untuk terhindar: jangan mudah percaya kepada siapapun yg meminta anda untuk memberikan data, bank tidak pernah meminta hal-hal tersebut melalui email atau telepon.

    4. virus dan spyware. Belakangan pernah ditemukan virus yg jika menginfeksi komputer korban, akan
    memata-matai komputer korban, dan akan mengirimkan data penting korban ke pembuat virus/spyware. Tips:
    selalu update db anti virus dan selalu berhati-hati saat menjelajah internet dan menerima attachment
    email tak dikenal.

    Setelah sistem keamanan 2 lapis tsb berhasil ditembus, kemudian bank menambah lagi satu lapis menjadi 3 lapis, yaitu dengan menambahkan one time password. One time password ini digunakan untuk mengautentikasi transaksi finansial. Sedangkan user id dan password hanya dapat mengakses layanan non finansial saja, seperti cek saldo dan lihat riwayat transaksi. Dengan demikian seandainya ada orang yg dapat mencuri user id dan pin i-banking, maka dia hanya akan bisa mengakses transaksi non-finansial saja tanpa bisa menguras uang korban.

    Saya sudah menggunakan layanan i-banking sejak ada bank pertama yg meluncurkannya dan sejak sistem
    keamanannya masih dua lapis dan sekarang menjadi tiga lapis, belum pernah mengalami kejadian buruk,
    karena saya mengikuti semua tips keamanan yg diberikan oleh bank. Kesimpulannya tidak usah terlalu
    khawatir dengan menggunakan layanan i-banking, saran saya jika anda mengalami pengalaman buruk, tinggal
    laporkan saja, sekarang Indonesia kan sudah punya UU Informasai dan Transaksi Elektronik. Hal-hal yg anda
    usulkan untuk meningkatkan keamanan i-banking mungkin ada benarnya, tetapi menurut saya kurang pas,
    karena hacker tidak membobol melalui jalan tsb. Kita harus memahami cara pikir hacker untuk kemudian
    mengusulkan cara antisipasinya.

    regards

    zegac

    April 16, 2009 at 8:14 am

    • Terimakasih komentarnya Pak Zegac. Ada beberapa tambahan dari saya mengenai kekhawatiran saya
      1. Pasword yang terlalu pendek
      Bank memang hanya memberi kesempatan tiga kali untuk password yand salah, tetapi ingat yang saya maksud disini adalah user name dan pasword yang terenkripsi dan melewati jalur public bisa saja diambil orang dengan program sniper. Analisis secara offline terhadap password terenkripsi ini yang sangat berbahaya. Memang para hacker yang usill kebanyak memanfaatkan hal-hal yang mudah karena memang banyak pelanggan yang awam.
      2. Typo site
      Bank sebenarnya bisa memfasilitasi hal ini jika saja mereka mau menyediakan layanana yang memungkinkan si user untuk melakukan autentikasi terhadap website bank.
      3. virus dan spyware.
      Banyak antivirus free atau anti spyware free yang kurang handal dalam menangani hal ini. Memang sebaiknya digunakan versi yang berlangganan
      Saya sendiri selalu menggunakan komputer pribadi untuk melakukan transaksi internet banking. Untuk menjamin keamanan pelanggan memang harus ada kerjasama yang baik antara bank dan pelanggan.

      Saya setuju dengan pendapat anda bahwa kita harus memahami pola pikir para hacker untuk meningkatkan keamanan online banking.

      dhidikp

      April 16, 2009 at 8:50 am

  2. Aduh Dhik, enkripsi 1024 Bit sj dah bisa di-hack apalagi yg 128 bit.
    Dsini dikembagkan security based on hardware (FPGA), krn algoritma yg adapun dah tak bs diandalkan lg. Kcuali mbuat algoritma sdr & tdk dipublish, ini pun bs jd dah ada yg bs mg-hack cuma tak koar-koar.

    Coba search ttg quantum information Dhik…its good solution for the future.

    alkanyari

    April 16, 2009 at 8:15 am

    • Makasih komentarnya ustadz
      Aku tidak menggeluti bidang kriptografi je
      Nulis biar yang didapat pas kuliah S2 dulu gak lupa
      Sekarang fokus ke industrial microwave heating
      itupun hanya bagian dielectric measurement
      memahami bidang ini saja dah susahnya banget
      Doktor cuma tau hal yang sangat sempit tapi diharapkan bener2 expert dibidang itu
      Bidang2 lainnya untuk selingan aja

      dhidikp

      April 16, 2009 at 8:56 am

  3. […] tulisan saya terkait dengan keamanan: – keamanan-internet-banking – Keamanan […]

  4. emangnya ga bisa ya kalau udah ketipu, trus ke bank meminta alamat si pelaku penipuan???

    Muhamad Sandi

    September 12, 2009 at 3:41 pm


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: