Belakangan ini jumlah malware yang menyasar bank (financial malware)
semakin turun, tapi bukan berarti transaksi perbankan melalui Internet
sudah aman. Kejahatan perbankan di Internet terlihat makin meningkat,
hanya modusnya kini lebih berliku tapi kian "tak terasa".
Simak saja statistik kejahatan cyber di Ibu Kota Jakarta. Pada
2011, kerugian akibat cyber crime mencapai Rp 4 miliar dan US$
178.876,50 dengan 520 kasus. Pada 2012, jumlah kasusnya meningkat
menjadi 600 kejadian dengan kerugian Rp 5 miliar dan US$ 56.448. Pada
2013, sepanjang Januari-Maret, kerugian masyarakat sudah mencapai
sekitar Rp 1 miliar. Tahun ini frekuensi laporan masyarakat atas
kejahatan jenis tersebut sebanyak 3-4 laporan per hari-bandingkan dengan
2012, yang hanya 2-3 laporan per hari.
Para pembuat malware merombak program mereka untuk menghindar
dari deteksi antivirus yang kian canggih di komputer nasabah dan pada
server bank. Caranya, dengan melibatkan banyak strategi yang membuat
modusnya lebih berliku. Salah satu cara yang digunakan adalah mengirim
malware masuk lewat social engineering, phishing, dan Trojan. Karena
Trojan mudah dimodifikasi, ukurannya relatif kecil dan tidak terlalu
rumit dibanding financial malware.
Untuk menghindari antivirus, pelaku kini meninggalkan penyebaran
virus melalui e-mail, karena penyebaran malware yang dilampirkan dalam
sebuah e-mail gampang terdeteksi. Para penjahat cyber mulai memanfaatkan
situs web, sehingga para pembuat malware bisa menggunakan paksaan tanpa
diketahui. Pengakses situs web itu tidak menyadari dan tetap merasa
nyaman melayari homepage tersebut karena tidak merasa terganggu oleh
program jahat yang sebenarnya sedang mengunduh (download) data dan
dokumen dari komputernya. Ajaibnya, pemakai tetap merasa nyaman
download, browsing, dan memasukkan data perbankan elektronik, padahal di
komputernya sudah bersarang malware yang mencuri data rahasia itu.
Malware itu umumnya ditempatkan di web server. Tujuannya agar
malware tidak cepat terdeteksi oleh antivirus dan makin mudah
dimodifikasi. Bahkan kini ada malware yang disebar menggunakan
Trojan-Downloader, yang bisa menghancurkan dirinya sendiri setelah
beraksi.
Nomor rekening
Tapi pelaku cyber crime mengetahui pula bahwa cara seperti itu
pun akan cepat diketahui, dan pihak berwajib bisa menangkap mereka.
Untuk menghindarinya, pelaku kejahatan cyber mengembangkan teknik baru,
yakni merekrut orang untuk dijadikan money mule. Orang yang direkrut
sebagai money mule memberikan nomor rekening bank mereka dan nantinya
rekening itu bisa diisi dengan uang.
Teknik untuk mendapatkan nomor rekening bisa bermacam-macam.
Misalnya, penyebaran informasi kredit tanpa agunan (KTA) melalui SMS.
Dalam SMS itu disebutkan, misalnya, pinjaman dari Rp 5 juta sampai Rp
250 juta. Persyaratannya, cukup dengan fotokopi buku tabungan (di sini
ada nomor rekening), fotokopi kartu kredit, dan meterai. Mereka yang
diminta memfotokopi nomor rekening atau kartu kredit tidak menyadari hal
tersebut.
Dengan maraknya bisnis online, seperti cybermall, cyberstore,
cyber ticket, dan transaksi online, maka nomor rekening makin mudah
beredar di dunia maya. Apabila nomor rekening jatuh ke tangan yang tidak
bertanggung jawab, rekening tersebut nantinya akan dialiri uang hasil
jarahan dari suatu bank, lalu 85-90 persen hasil jarahan ditransfer ke
rekening pembuat malware dengan menggunakan layanan transfer uang,
seperti MoneyGram dan E-Gold.
Melalui money mule, pelaku cyber crime menjadi sulit terdeteksi.
Andai money mule dan bank berada dalam negara yang sama, mungkin tidak
terlalu sulit membongkar kejahatan ini. Tapi, apabila sudah melibatkan
banyak rekening dengan bank dan negara berbeda, kejahatan ini sangat
sulit dilacak.
Phishing
Maraknya penggunaan transaksi elektronik dengan memakai media
Internet juga menyuburkan kejahatan cyber yang disebut phishing. Tujuan
utama phishing adalah mencuri data dan informasi. Para pelaku kejahatan
akan menyamar sebagai organisasi legal, termasuk bank, kemudian meminta
berbagai informasi mengenai kartu kredit hingga nomor rekening. Medianya
biasanya melalui e-mail atau halaman situs web.
Phishing melalui e-mail biasanya berisi permintaan dari pihak
bank tertentu agar nasabah memperbarui data pribadi, termasuk nomor
rekening. Dalam e-mail tersebut ada link menuju formulir tertentu untuk
memperbarui informasi pribadi. Link ini sudah pasti tidak menuju situs
web bank Anda, melainkan milik para cybercrime. Di sini nasabah akan
dikelabui, karena tampilannya dibuat sama seperti situs web bank pada
umumnya. Karena website tersebut tampak seperti asli, nasabah tidak akan
mencurigainya, sehingga dengan senang hati mereka akan memperbarui data
dan informasi pribadi, termasuk informasi yang sebetulnya bersifat
rahasia.
Cara lain adalah memodifikasi file "host" di server, sehingga
penjahat bisa "membelokkan" browser ke situs lain saat melakukan
browsing. Umpamanya, Anda sedang melakukan browsing ke situs bank Anda,
misalnya http://www.abc.com. Browser yang digunakan tidak akan membuka
situs web bank tersebut, melainkan dibelokkan ke halaman situs web lain
yang tampilannya sama. Dan Anda akan mengisi data pribadi di halaman web
tersebut, termasuk PIN Anda.
Solusi keamanan
Untuk mengatasi masalah keamanan Internet, pihak perbankan harus
mengeluarkan biaya tidak sedikit, dari antivirus hingga anti-spam.
Soalnya, username dan password tradisional saja tidak bisa mengamankan
transaksi online.
Perbankan juga harus menerapkan kode otentifikasi, sehingga
nasabah, selain memasukkan username dan password, harus memasukkan kode
otentifikasi. Sistem kedaluwarsa kode otentifikasi itu penting
diaktifkan agar penjahat cyber tidak bisa menggunakan kode otentifikasi
yang sudah didapatnya.
Pemerintah juga harus terlibat, termasuk dalam mengikat kerja
sama dengan negara lain, mengingat kejahatan ini borderless. Atas dasar
ini pula, Polda Metro Jaya, misalnya, bekerja sama membangun kantor
cyber crime dengan Mabes Polri dan kepolisian Australia. Namun, yang tak
kalah penting, Anda sebagai calon korban harus pula berhati-hati.*
0 komentar :
Posting Komentar