Sabtu, 30 Desember 2017

Audit S.I Tentang Pembobolan E-Banking

Perbankan Elekronik (bahasa Inggris: E-banking) E-banking yang juga dikenal dengan istilah internet banking ini adalah kegiatan yang melakukan transaksi, pembayaran, dan transaksi lainnya melalui internet dengan website milik bank yang dilengkapi sistem keamanan. Dari waktu ke waktu, makin banyak bank yang menyediakan layanan atau jasa internet banking yang diatur melalui Peraturan Bank Indonesia No. 9/15/PBI/2007 Tahun 2007 tentang 7722Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Penyelenggaraan internet banking merupakan penerapan atau aplikasi teknologi informasi yang terus berkembang dan dimanfaatkan untuk menjawab keinginan nasabah perbankan yang menginginkan servis cepat, aman, nyaman murah dan tersedia setiap saat (24 jam/hari, 7 hari/minggu) dan dapat diakses dari mana saja baik itu dari HP, Komputer, laptop/ note book, PDA, dan sebagainya.

E-Banking menjadi sasaran favorit bagi pelaku Cybercrime karena kemungkinan diuntungkan secara finansial sangat besar. Metode yang paling umum digunakan adalah menggunakan web phising, dengan mengarahkan nasabah untuk mengunjungi website internet banking yang palsu. Proses pengarahannya sendiri bisa melalui email palsu yang seolah dikirimkan dari perbankan terkait dengan konten yang berisi link penggantian password kearah website palsu dan menjelaskan bahwa nasabah harus segera melakukan penggantian password karena suatu alasan. Jika nasabah mengunjungi dan tidak memperhatikan website palsu tersebut secara seksama kemungkinan besar nasabah akan menginput username dan password internet banking. Yang kemudian credential tersebut sebetulnya akan dikirimkan ke hacker.

E-Banking yang diterapkan saat ini setidaknya menggunakan dua autentikasi untuk memastikan pengguna tersebut memiliki autorisasi terhadap akun sebuah nasabah, pada internet banking biasanya pengguna menggunakan username password sebagai autentikasi pertama kemudian one time password berupa kode dari hard token. Terlebih kode dari hard token biasanya hanya valid kurang dari 5 menit baik digunakan atau tidak. Namun, nyatanya metode ini juga pernah di-hack dengan beberapa mekanisme, salah satunya yang paling populer di Indonesia adalah sinkronisasi token palsu.

Sinkronisasi token merupakan proses menyamakan waktu antara waktu yang ada di token dan di server perbankan. Mengapa hal tersebut perlu dilakukan ? karena kode yang di-generate keduanya selalu akan sama jika di-generate pada waktu yang sama sehingga valid untuk digunakan sebagai autentikasi, oleh karena itu perlu adanya sinkronisasi token. Istilah ini lebih populer dimasyarakat sebagai metode hacking karena banyaknya nasabah yang menjadi korban sinkronisasi token palsu. Metode ini diawali dengan PC/Smartphone nasabah yang terinfeksi malware sebelumnya, kemudian nasabah mengakses website internet banking dan memasukan username password, secara bersamaan credential tersebut dikirim ke website resmi dan oleh malware dikirim ke hacker. Sesaat setelah itu, muncul pop-up sinkronisasi token yang sebetulnya di-generate oleh malware namun seolah terlihat dari website perbankan. Ketika token dimasukan, yang terjadi adalah token dikirimkan ke hacker dan hacker menginput credential dan token tersebut untuk bertransaksi.

Dalam kondisi ini, hal pertama yang harus dilakukan adalah perbankan wajib mematuhi regulasi yang ISO 27000 yang merupakan standar keamanan yang diterapkan oleh instansi diseluruh dunia dan regulasi PCI-DSS yang khusus mengatur standar keamanan internasional bagi perbankan atau perusahaan yang memanfaatkan kartu debet dan kartu kredit sebagai media pembayaran. Dengan demikian, perusahaan yang terlibat dalam transaksi bisa dipastikan aman karena sudah memenuhi standar tersebut.

Evaluasi sistem keamanan internal perbankan perlu dilakukan secara berkala untuk memastikan sistem keamanan tersebut selalu up-to date dan meminimalisir cybercrime, hal ini tidak terbatas pada perangkat keamanan saja, melainkan juga sistem aplikasi yang selalu diperbaiki bugs dan vulnerability yang ada.

Peran aktif perbankan dalam mengedukasi nasabah juga harus dilakukan karena sistem keamanan akan tercipta jika perbankan dan nasabah memperhatikan keamanannya masing-masing.

referensi :

https://id.wikipedia.org/wiki/E-banking

Tidak ada komentar:

Posting Komentar