Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Menilik kejadian serangan dan mitigasinya (bagian1 dari 3 tulisan)

internet-banking tokenDi awal tahun 2015, dunia perbankan di Indonesia diresahkan dengan terjadinya serangan cyber fraud yang menyasar ke layanan internet banking beberapa bank papan atas. Metode serangannya cukup unik, yaitu dengan mengintervensi proses transaksi internet banking yang tengah berlangsung. Nasabah yang sedang melakukan transaksi diminta untuk mengentri token secara berulang, melalui pop up window yang meminta sinkronisasi token. Prosedur sinkronisasi token tersebut, belakangan terungkap, bukanlah merupakan prosedur yang valid yang memang dibuat oleh penyedia layanan, namun merupakan mekanisme ilegal yang disisipkan oleh penyerang guna mengelabui korban. Setelah menjalankan perintah dari pop-up window ini, seorang korban dilaporkan mendapati rekeningnya terdebit sebesar 13 juta rupiah karena terjadi transfer secara tidak sah ke tujuan rekening yang tidak dikenalnya. Mengenai jumlah korban, pihak BCA sempat menyebutkan adanya seribu nasabah yang menjadi korban serangan ini (sumber: 1.000 Nasabah Terkena “Sinkronisasi Token”, kompas online, 6/3/15), yang kemudian diralat menjadi hanya 43 nasabah. (sumber: Hanya 43 Nasabah yang Terkena “Sinkronisasi Token”, kompas online, 6/3/15). Selain BCA, nasabah Bank Mandiri juga menjadi korban dari serangan ini. (sumber:Nasabah Mandiri juga Terkena Malware Pencuri Uang, CNN Indonesia Online, 6/3/15).

Sangat menarik untuk kita kaji, kerawanan apakah dalam sistem internet banking yang berhasil dieksploitasi oleh penyerang.

Pihak BCA menyatakan bahwa, serangan dapat terjadi karena nasabah menggunakan personal computer (PC) yang sudah terinfeksi virus. Virus inilah yang mengintervensi proses transaksi internet banking yang normal. Sistem token sendiri dinyatakan masih tetap aman. Sebagai respon terhadap kasus ini, Otoritas Jasa Keuangan (OJK) telah meminta bank untuk mengaudit ulang pengamanan IT untuk fasilitas internet banking, menyusul maraknya kasus pembobolan rekening nasabah akibat mengakses fasilitas tersebut. (sumber: OJK Minta Bank Audit Sistem Keamanan IT, Kompas Online, 9/3/15).

Bank sebagai penyedia layanan telah menerapkan langkah-langkah mitigasi untuk menurunkan risiko berulangnya insiden serangan di atas. Ini terutama dilakukan dengan memberikan sejumlah tips, yang ditampilkan dalam halaman web internet banking, agar nasabah memastikan keamanan transaksi internet banking dengan cara; (1) membersihkan personal computer yang digunakan dari  infeksi virus, (2) menghentikan transaksi ketika muncul permintaan sinkronisasi token dan segera melaporkan kejadian tersebut kepada customer service, dan (3) memeriksa bahwa alamat web internet banking adalah alamat yang benar.

Himbauan dan sosialisasi tips pengamanan tersebut sudah baik, mengingat bahwa tingkat pemahaman dan kepedulian pengguna merupakan faktor kunci dalam kemananan internet banking secara keseluruhan. Namun demikian, jelas bahwa efektifitas upaya mitigasi tersebut akan sangat bergantung pada kemampuan nasabah untuk memahami dan juga menjalankan berbagai tips serta himbauan yang disampaikan oleh pihak bank. Kita tetap perlu mencermati beberapa hal yang mungkin menghambat efektifitasi mitigasi tersebut, diantaranya adalah:

1. Tidak selalu mudah bagi nasabah untuk memastikan bahwa personal computer yang digunakan telah benar-benar bersih dari virus.

Nasabah mungkin tidak cukup terampil untuk men-scan dan membersihkan virus,  tidak memiliki software antivirus yang cukup handal ataupun tidak secara rutin melakukan update software antivirus. Perlu juga kita pertimbangkan kenyataan bahwa masih cukup banyak pengguna PC di Indonesia yang menggunakan sistem operasi bajakan yang tentu berpotensi membawa virus. Kegagalan dalam langkah ini akan meningkatkan risiko serangan secara signifikan.

2. Virus bukanlah satu-satunya cara untuk melakukan serangan terhadap pengguna internet banking.

Tipe serangan yang dilancarkan dalam kasus ini adalah man-in-the-middle-attack (MITM) dan menanamkan virus bukan satu-satunya cara untuk melancarkan serangan jenis ini. MITM akan dijelaskan dalam bagian artikel berikutnya.

3. Nasabah tidak memiliki informasi yang cukup untuk membedakan prosedur valid yang memang berasal dari bank, dari prosedur tidak valid yang disisipkan oleh penyerang.

Penyerang mungkin saja menggunakan berbagai cara untuk mengelabui nasabah. Untuk kasus yang sudah terjadi, penyerang memang meminta nasabah untuk melakukan sinkronisasi token. Namun untuk serangan berikutnya, sangat mungkin penyerang menggunakan cara lain untuk meminta token dari nasabah, misalnya dengan meminta nasabah untuk kembali memasukkan token karena proses sebelumnya gagal. Strategi apapun yang dipilih, pada intinya penyerang akan mencari cara baru, yang mencakup tampilan web palsu serta prosedur tambahan, yang punya peluang cukup besar untuk mengelabui nasabah.

4. Nasabah mungkin ceroboh atau tidak teliti ketika memeriksa validitas alamat internet banking yang valid.

Penyerang dapat memancing nasabah untuk mengakses halaman internet banking palsu melalui serangan phishing ke email nasabah.

5. Tetap ada kemungkinan bahwa sebagian nasabah tetap tidak mengindahkan ataupun lalai terhadap himbauan atau tips mitigasi yang diberikan.

Dengan memperhatikan hambatan-hambatan di atas, penulis memperkirakan bahwa masih terdapat peluang kegagalan yang signifikan dari langkah mitigasi yang saat ini sudah dijalankan. Bank masih perlu memikirkan strategi mitigasi lain yang tidak hanya bergantung pada kapabilitas dan kepatuhan nasabah. Bank perlu mengambil langkah untuk memperbaiki protokol ataupun mekanisme keamanan yang ada saat ini.

Untuk melakukan hal ini, bank perlu terlebih melakukan analisis dan kemudian mencari solusi terhadap serangan internet banking yang telah terjadi, yang mencakup:

1. Mengidentifikasi titik kerawanan yang mana yang berhasil dieksploitasi oleh penyerang dan juga  mekanisme keamanan yang mana yang berhasil dipatahkan atau tidak berjalan dengan efektif?

2. Mengidentifikasi skenario dasar serangan yang ada dan juga mengkaji berbagai alternatif kemungkinan serangan yang dapat dibangun berdasarkan skenario dasar tersebut.

3. Merumuskan alternatif solusi perbaikan keamananan sistem internet banking yang dapat menangkal skenario dasar serangan di atas. Rumusan solusi ini hendaknya juga mempertimbangkan tingkat kesulitan serta biaya dalam implementasi.

BI dan OJK hendaknya mendorong pihak bank untuk melakukan langkah-langkah perbaikan keamanan sistem internet banking. Rangkaian artikel ini akan membahas langkah-langkah di atas dengan maksud untuk membantu institusi perbankan dan juga regulator dalam mencegah terjadinya serangan yang serupa di masa datang.

Referensi link berita terakhir:

Penulis:

  • Dr. Budi Sulistyo CISA adalah Security Expert dari Lembaga Riset Telematika Sharing Vision, Bandung. (budi@sharingvision.com)
  • Masagus Krisna, ST. adalah White Hat Hacker dan Reseacher dari Lembaga Riset Telematika Sharing Vision, Bandung. (krisna@sharingvision.com)

3 pemikiran pada “Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Menilik kejadian serangan dan mitigasinya (bagian1 dari 3 tulisan)

  1. Ping balik: Memoles e-Banking Guna Menangkal Serangan Sinkronisasi Token: Usulan Perbaikan Keamanan Internet Banking (bagian 3 dari 3 tulisan) | Hidup ini indah

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s