Keberhasilan jajaran kepolisian mengungkap dua pelaku kejahatan perbankan dari Ukraina, Olexsandr Sulima dan Dmitry Gryadskiy, awal pekan ini sangat patut diapresiasi.
Dua orang ini diduga merupakan sindikat internasional pelaku kejahatan finansial yang menyasar pengguna layanan internet banking, membuat FBI bahkan bekerjasama dengan Polri mendalami kasus ini. Kerugian hingga saat ini dilaporkan mencapai Rp 40 miliar. Modusnya memodifikasi transaksi nasabah dan kemudian membelokkan transaksi ke rekening lain.
Kasus ini bukan yang pertama terjadi di Indonesia. Sebelumnya, April lalu, sempat marak kasus serangan sinkronisasi token internet banking yang menimpa beberapa nasabah Bank Mandiri dan BCA, sehingga penulis tertarik mengulasnya di detikINETbeberapa waktu lalu.
Saat itu, Polri mengungkap kerugian yang ditimbulkan mencapai Rp 120 miliar yang kemudian dikoreksi oleh BI dan OJK menjadi kurang lebih Rp 5 miliar. Berikutnya, kita juga menemui kasus pengalihan tujuan transaksi internet banking yang menimpa dua nasabah Bank Mandiri cabang Bengkulu.
Berkaca seluruh kasus tersebut, kita patut menduga bahwa pada dasarnya pelaku mengeksploitasi titik kerawanan yang sama yakni kelemahan di sisi nasabah. Lebih jauh lagi, penulis juga mengamati adanya perbedaan mendasar antara serangan sinkronisasi token dengan serangan-serangan berikutnya.
Dalam serangan sinkronisasi token, nasabah diminta melakukan suatu prosedur yang jauh berbeda dengan prosedur transaksi normal, yaitu meminta nasabah menjawab challenge token untuk keperluan sinkronisasi. Untuk kasus-kasus berikutnya, nasabah hanya menjalankan prosedur mutasi rekening normal yang belakangan diketahui ternyata mengarah ke rekening lain tanpa sepengetahuan nasabah.
Dari fakta ini, tampak bahwa metode serangan selalu berevolusi. Karena itulah, kita perlu mengidentifikasi pola dasar serangan yang terjadi guna merumuskan langkah mitigasi yang efektif.
Modus Serangan Internet Banking
Bagaimana sebenarnya modus serangan tersebut? Benarkah bahwa serangan virus merupakan pangkal mula dari serangan ini? Hal Ini penting untuk kita jawab. Kesalahan dalam mengidentifikasi pola dasar serangan akan berlanjut langkah mitigasi yang juga keliru.
Untuk mengubah detil transaksi dan sekaligus membelokkan tujuan mutasi rekening, penyerang harus menerapkan teknik serangan yang dikenal sebagai man-in-the-middle-attack (MITM). Prinsip MITM dalam kasus ini adalah penyerang harus dapat mencegat jalur komunikasi antara terminal milik nasabah dan server internet banking sebelum pengamanan https terbentuk.
Dengan demikian, praktis seluruh komunikasi di jalur tersebut dapat disadap dan bahkan dimodifikasi oleh penyerang. Untuk menerapkan MITM, penyerang dapat menularkan virus ke PC pengguna. Virus ini akan menyisipkan tabel routing di PC pengguna untuk membelokkan koneksi ke server penyerang. Selanjutnya, server penyerang inilah yang akan memodifikasi dan menyadap komunikasi antara terminal pengguna dan server internet banking.
Cara lain, virus ini tertanam di browser pengguna dan secara langsung menyadap dan memodifikasi detil transaksi tanpa harus membelokkan trafik ke server lain.
MITM juga dapat diterapkan dengan cara melakukan menyerang DNS (DNS poisoning) atau menanamkan tool ke dalam server proxy. Dengan skenario serangan ini, bahkan PC yang bersih dari virus sekalipun tetap dapat terkena MITM.
Kondisi Keamanan Internet Banking
Sementara itu, beberapa pihak menyatakan bahwa desain keamanan internet banking sebenarnya relatif kuat karena sudah menerapkan berbagai persyaratan keamanan yang ditetapkan BI. Serangan yang terjadi tidak dilakukan dengan memanfaatkan lubang keamanan di sistem internet banking, namun dilakukan dengan mengeksploitasi kelemahan di sisi nasabah.
Menurut penulis, pernyataan ini kurang tepat. Untuk menilai kondisi keamanan sistem secara obyektif, kita perlu mengungkap terlebih dulu asumsi atau persyaratan dasar apa saja yang menjadi sandaran keamanan sistem ini.
Sistem keamanan internet banking saat ini, yang menggunakan protokol https dan OTP-token (one time password – token), dapat secara efektif menangkal serangan hanya jika terminal (PC, smartphone, tablet) milik nasabah bersifat trusted.
Trusted dalam kasus ini berarti bahwa: (1) tidak ada kode jahat dalam terminal nasabah yang dapat membelokkan koneksi ke server penyerang dan sekaligus menggagalkan terbentuknya protokol https antara terminal nasabah dan server internet banking, atau (2) tidak ada kode jahat dalam terminal yang dapat memanipulasi data yang diinput ataupun yang ditampilkan lewat layar ke nasabah.
Berdasarkan penjelasan sebelumnya, perlu setidaknya satu asumsi lagi yaitu (3) DNS yang digunakan bersifat trusted yakni tidak terkena DNS-poisoning, atau jika menggunakan proxy maka proxy ini juga trusted, yaitu tidak mengandung tool jahat yang dapat digunakan untuk melancarkan MITM.
Jika seluruh tiga syarat atau asumsi ini terpenuhi, maka kita dapat menyatakan bahwa protocol https dan mekanisme OTP-token masih cukup efektif menangkal serangan MITM.
Pertanyaannya adalah apakah saat ini ketiga asumsi perangkat trusted tersebut masih valid? Mengenai serangan virus terhadap terminal nasabah, sangat sering kita temukan fakta bahwa tidak mudah bagi kebanyakan nasabah untuk memastikan bahwa terminalnya bebas virus.
Beberapa virus bahkan sangat sulit dideteksi dan dibersihkan karena memiliki mekanisme stealth yang cukup kompleks. Virus-virus ini juga terus berevolusi untuk dapat lolos dari cegatan produk antivirus yang terbaru. Jadi, asumsi ke satu dan dua dapat dikatakan tidak valid karena butuh kecakapan khusus untuk mendeteksi dan menyingkirkan virus.
Di sisi lain, validitas asumsi ketiga juga sangat bergantung otoritas pihak lain di luar penyedia layanan internet banking dan juga nasabah. Nasabah sangat mungkin mengakses internet melalui access point yang tersedia ruang publik seperti kafe, restoran, ataupun bandara.
Menurut penulis, cukup berisiko jika keamanan layanan internet banking disandarkan pada validitas asumsi ketiga ini. Jadi, bagaimana status keamanan internet banking saat ini? Berdasarkan pembahasan di atas, kita sangat layak meragukan validitas tiga asumsi tersebut.
Kesimpulannya adalah sistem keamanan internet banking yang ada saat ini dapat kita nyatakan sudah tidak lagi efektif menangkal serangan man-in-the-middle-attack (MITM). Penyerang yang berhasil melancarkan MITM, selanjutnya dengan mudah menyadap dan sekaligus memodifikasi seluruh pertukaran pesan, termasuk detil transaksi, antara terminal nasabah dengan server internet banking.
Solusi Keamanan Internet Banking
Jika terminal tidak sepenuhnya trusted dan juga DNS ataupun proxy server juga tidak sepenuhnya trusted, bagaimana solusi sistem keamanan yang dapat menjamin keamanan transaksi internet banking? Kita singgung sedikit skenario serangan terhadap sistem keamanan yang ada saat ini.
Anggap MITM terjadi, maka penyerang dapat memodifikasi detil transaksi dan sekaligus memancing pengguna untuk menjawab challenge token-OTP.Terdapat beberapa permasalahan dalam skenario ini.
Pertama, integritas atau keutuhan detil transaksi tidak dapat dijaga. Penyerang dapat dengan mudah mengubah detil transaksi yang dimasukkan oleh nasabah. Kedua, nasabah memberikan persetujuan untuk transaksi yang tidak sepenuhnya dia ketahui. Ketika nasabah menerimachallenge-token dan menjawabnya, nasabah sebenarnya tidak hanya sedang menjawab challenge untuk otentikasi what-you-have.
Pada saat itu, nasabah sekaligus juga memberikan persetujuan terhadap transaksi tertentu. Masalahnya adalah nasabah tidak dapat memastikan bahwa detil transaksi yang dia setujui adalah benar-benar identik dengan detil transaksi yang telah dia input sebelumnya ke halaman web.
Pada umumnya, sejumlah digit paling belakang dari challenge-token akan identik dengan sejumlah yang sama digit paling belakang dari nomor rekening tujuan.
Mekanisme ini tentu dapat membantu pengguna untuk memastikan validitas dari detil transaksi yang akan dia setujui.
Namun, penyerang dapat saja menyisipkan beberapa langkah tambahan untuk memanipulasi nasabah sedemikian rupa sehingga pada akhirnya nasabah akan menjawab challenge-token yang tidak berkorelasi dengan detil transaksi yang dia masukkan sebelumnya.
Dua permasalahan dalam skenario di atas dapat menuntun kita untuk merumuskan solusi keamanan. Penulis mengusulkan beberapa prinsip solusi sebagai berikut:
(1) Anggap terjadi MITM, maka solusi keamanan harus memiliki mekanisme untuk menjaga integritas detil transaksi. Dengan mekanisme ini, penyerang tidak mungkin lagi mengubah detil transaksi yang telah disetujui oleh nasabah. Kita dapat menggunakan berbagai algoritma kriptografi untuk menerapkan mekanisme ini.
(2) Anggap terjadi MITM, maka solusi keamanan harus memberikan mekanisme bagi nasabah untuk memeriksa dan memastikan kebenaran detil transaksi sebelum memberikan persetujuan terhadap transaksi.
(3) Anggap terjadi MITM, maka prinsip ke-1 dan 2 harus diimplementasikan dalam sub-sistem yang trusted. Karena terminal diasumsikan tidak sepenuhnya trusted,maka sub-sistem ini dapat saja berupadedicated-device sebagaimana token-device yang ada saat ini.
Dengan mengungkap beberapa asumsi dasar yang sebelumnya tidak dinyatakan secara eksplisit, kita dapat menyatakan bahwa sistem keamanan internet banking yang ada saat ini tidak dapat menangkal skenario serangan yang mutakhir. Maka selanjutnya kita dapat menyusun asumsi yang lebih realistis dan kemudian merumuskan solusi keamanan yang baru. Selesai.
