• Home
  • Berita
  • Menyoal Kebocoran Kredensial Internet Banking dan Antisipasinya

Menyoal Kebocoran Kredensial Internet Banking dan Antisipasinya

Redaksi
Aug 11, 2023
Menyoal Kebocoran Kredensial Internet Banking dan Antisipasinya
Jakarta -

Penjualan data kredensial yang melanda industri perbankan Indonesia di Breachforums beberapa pekan belakangan ini menimbulkan kekhawatiran bagi pengguna layanan perbankan atas keamanan data login layanan perbankan khususnya mobile banking dan internet banking.

Dari bukti dan sampel yang diberikan di forum tersebut, terlihat bahwa memang ada kebocoran kredensial mobile banking dan internet banking dari banyak bank termasuk bank besar.

Hanya saja kredensial yang bocor tersebut tidak bisa digunakan untuk melakukan transaksi pada internet banking karena persetujuan transaksi pada intenret banking membutuhkan Token One Time Password (TOTP) atau Token Password sekali pakai yang sulit disadap, unik untuk setiap rekening dan hanya dimiliki oleh pemegang rekening dan sistem TOTP server bank.

Bagaimana dengan keamanan m-banking?

Sedangkan untuk m-banking perlu mendapatkan perhatian khusus karena tidak ada perlindungan TOTP dan secara teknis jika peretas mengetahui kredensial m-banking seperti Username, Password, PIN transaksi dan berhasil menguasai SMS OTP ponsel korbannya maka pembobolan akun m-banking dapat dilakukan.

Karena itulah perlindungan tambahan untuk m-banking harus ditambahkan oleh setiap penyelenggara m-banking karena tidak dilindungi dengan TOTP.

Perlindungan OTP dengan SMS yang diterapkan oleh banyak bank tidak dapat menjamin keamanan m-banking karena SMS OTP masih kurang aman dan dapat disadap dengan program pencuri SMS dan sejatinya SMS adalah kanal komunikasi jadul yang melibatkan banyak pihak, mudah disadap dan dibaca karena tidak terenkripsi.

Sebenarnya cara mengamankan m-banking dari usaha pembobolan secara teknis tidak terlalu sulit, bank hanya perlu menambahkan verifikasi tambahan setiap kali m-banking ini diakses dari ponsel atau nomor ponsel yang berbeda sehingga sekalipun semua kredensial dan SMS OTP sudah didapatkan oleh penipu, mereka masih harus melakukan verifikasi tambahan ke CS bank atau ATM bank dengan kartu ATM pemilik akun guna menyetujui perpindahan akses m-banking. Atau mempertimbangkan menggantikan OTP SMS dengan OTP lain seperti Google Authenticator yang secara teknis lebih aman dari OTP SMS.

Data apa yang bocor?

Dari dua kebocoran data yang dilakukan di breachforums, bentuknya adalah screen capture login dari peramban dan database kebocoran data 22 GB. Untuk capture login dari browser secara umum dapat dikategorikan sebagai kebocoran data yang umum dan data tersebut kemungkinan besar didapatkan menggunakan keylogger atau program pencuri password yang berhasil ditanamkan pada komputer atau ponsel korbannya dan aksi phishing.

Aksi phishing adalah aksi mengelabui korbannya untuk memasukkan kredensial internet/mobile banking dengan menyaru sebagai pihak bank seperti ancaman kenaikan biaya administrasi sepihak bank dan jika tidak setuju maka korbannya harus mengisi form ke situs palsu yang mirip dengan situs bank yang telah dipersiapkan untuk mencuri data internet/mobile banking.

Perlindungan dari keylogger, trojan dan phishing dapat dilakukan menggunakan program antivirus yang memiliki perlindungan identity protection dan Phishing Shield (lihat gambar 1). Namun pengguna digital banking juga harus selalu awas dan tidak mudah dikelabui oleh aksi phishing yang kerap menggunakan rekayasa sosial yang ampuh dan sulit ditebak.

Gunakan antivirus untuk melindungi anda dari trojan dan phishing Foto: Dok. Vaksincom

Namun ada sampel kebocoran data lain yang cukup mengkhawatirkan dimana sampel data yang diberikan bukan berupa login melainkan data yang kelihatannya didapatkan dari database.

Hal ini cukup memprihatinkan dan ini mencerminkan pengelolaan database perbankan yang kurang aman. (lihat gambar 2)

Database pengguna digital banking yang bocor Foto: Dok. Vaksincom

Adapun beberapa field penting yang bocor dan dijual oleh peretas mengandung informasi sensitif seperti:

  1. Mbankid
  2. NIK
  3. Name
  4. Email
  5. Phone
  6. Mobile bank phone

Jika scammer mendapatkan data ini, mereka akan pestapora karena dapat mengetahui dengan persis nomor ponsel yang diincar dan nomor ponsel apa saja yang menggunakan m-banking untuk dijadikan sasaran phishing.

Andaikan rekayasa sosial yang mereka jalankan sukses dan berhasil mengakses SMS ponsel yang di incar. Maka rekening m-banking ponsel tersebut akan dapat dibobol dengan mudah. Khususnya jika m-banking tersebut hanya mengandalkan SMS OTP untuk verifikasi perpindahan ponsel yang mengakses m-banking.

Penjualan database ditakedown
Ada hal menarik yang luput dari perhatian banyak pihak dimana usaha penjualan database sebanyak 22 GB ini (lihat gambar 3) sempat mengalami perubahan beberapa kali dan akhirnya menghilang dari forum.

Posting penjualan data digital banking 22 GB yang akhirnya di takedown Foto: Dok. Vaksincom

Dengan menghilangnya posting penjualan informasi tersebut cukup melegakan, namun hal ini tidak menunjukkan bahwa ancaman sudah tidak ada. Kebocoran data digital berbeda dengan kebocoran ban. Ban yang bocor setelah ditambal lubangnya akan selesai dan tidak bocor lagi, tetapi data digital yang bocor mengikuti hukum internet yang disebut Digital Permanence."Once on internet, always on internet".

Jadi sekalipun posting penjualan data tersebut ditakedown, namun sebenarnya datanya sudah bocor dan ada di tangan peretas dan hanya tidak dijual di forum tersebut saja. Dan siapapun yang berhasil membeli data tersebut dari peretas tinggal mengkopi, menyebarkan dan mengeksploitasi data yang bocor tersebut.

Bahayanya adalah masyarakat pengguna digital banking jadi tidak menyadari dan tidak diberi informasi kalau data digital bankingnya bocor dan mereka lengah. Maka akun digital bankingnya akan rentan menjadi sasaran pembobolan.

Apa yang harus dilakukan?

  1. Pengguna Internet Banking disarankan untuk mengganti kredensial/password login Internet Banking atau mobile bankingnya.
  2. Pengguna Internet Banking memastikan menginstal antivirus di perangkat pengakses Internet Banking yang akan dapat mengidentifikasi adanya keylogger atau piranti lunak jahat pada komputer anda.
  3. Bank yang memberikan layanan m-banking dan hanya mengandalkan perlindungan OTP dari SMS disarankan menambahkan verifikasi tambahan setiap kali akun m-banking diakses dari ponsel baru atau nomor baru. Hal ini untuk berjaga-jaga kalau pengguna m-banking diperdaya oleh penipu melalui rekayasa sosial dimana sekalipun SMS OTP berhasil diketahui oleh penipu, akun m-banking tetap aman karena transaksi dari ponsel atau nomor ponsel yang berbeda harus melalui verifikasi tambahan seperti tatap muka dengan CS, verifikasi ke ATM atau melakukan verifikasi tambahan ke callcenter dengan video call atau face recognition.
  4. Pertimbangkan untuk menggantikan OTP SMS sebagai tulang punggung pengamanan transaksi penting.
  5. Bank menjalankan KYC untuk mencegah penyalahgunaan akun yang dibuka menggunakan KTP bodong dan pihak berwenang menindak dengan tegas setiap pemilik KTP yang menyalahgunakan kartu identitasnya guna membuka rekening bank dan menjual kepada penipu untuk menampung hasil kejahatan.
  6. OJK melakukan pengawasan kedisiplinan bank dalam melindungi data nasabah dan bank diharapkan menjalankan pengelolaan data nasabah dengan standar yang ketat dan disiplin.


Simak Video "Fenomena Alam Aneh di Laut Hitam, Sungai Dasar Laut!"
[Gambas:Video 20detik]
(asj/asj)
internet banking kolom telematika alfons tanujaya
Artikel Menarik Lainnya
Bayi Tertukar Setahun di Bogor, Begini Proses Tes DNA
Berita

Bayi Tertukar Setahun di Bogor, Begini Proses Tes DNA

8 Cara Download Lagu Mp3, Tetap Pilih yang Legal Ya
Berita

8 Cara Download Lagu Mp3, Tetap Pilih yang Legal Ya

EA Matikan Server Deretan Game Jadul Terkenal Ini
Berita

EA Matikan Server Deretan Game Jadul Terkenal Ini

back to top