Dr. Yudi Prayudi, M.Kom.  Kepala Pusat Studi Forensika Digital FTI UII

 

Ledakan teknologi informasi serta kemajuan teknologi telekomunikasi telah mengubah banyak hal dari manusia dalam cara hidup, bekerja dan berkomunikasi. Hal ini pula yang mendasari munculnya perubahan secara fundamental dalam teknologi perbankan, dari bank dengan konsep lama paper based menjadi bank modern dengan layanan digital. Muncullah kemudian konsep baru layanan perbankan dengan prinsip anytime – anywhere banking. Sebuah layanan perbankan yang memungkan interaksi antara nasabah dan perbankan dilakukan setiap saat, kapanpun dan dimanapun. Layanan tersebut adalah sebagai upaya perbankan untuk mengatasi keterbatasan penggunaan kartu ATM yang terbatas dari aspek fisik penggunaannya.

Secara umum terdapat 3 layanan digital perbankan, yaitu: SMS Banking, m-Banking (mobile banking) dan internet banking. Internet banking adalah layanan digital perbankan yang paling sederhana, platform utamanya adalah adanya koneksi internet. Layanan ini bisa dinikmati oleh nasabah menggunakan komputer desktop ataupun smartphone. Kuncinya adalah pada akun yang diverifikasi oleh pihak bank sebagai akun yang berkorelasi langsung dengan data diri nasabah. Sementara untuk SMS Banking dan m-Banking, selain verifikasi data nasabah, hal penting untuk dapat menjalankan layanan ini adalah verifikasi data nomor handphone serta SIM Card dari nasabah. Dalam hal ini, nomor handphone dan SIMCard harus didaftarkan kepada pihak bank agar nasabah dapat menjalankan layanan SMS Banking ataupun m- Banking. Melihat kemudahan layanan dalam menjalankan transaksi perbankan, m-banking cenderung meningkat penggunanya dibandingkan dengan SMS Banking.

Untuk internet banking, jenis kejahatan perbankan yang umumnya dilakukan adalah melakukan pencurian username dan password nasabah. Teknik phising melalui web aspal dari layanan perbankan sering dijadikan sebagai langkah awal untuk menjalankan jenis kejahatan pada internet banking ini. Nasabah harus cermat apabila akan membuka situs bank yang menjadi penyedia layanan perbankannya. Pelaku kejahatan akan membuat situs yang mirip dengan situs resminya baik dari sisi alamat ataupun tampilannya. Apabila nasabah terpedaya oleh web aspal ini, maka dengan modal username dan password yang dimasukkan kedalam web aspal tersebut, pelaku kejahatan akan melakukan langkah-langkah berikutnya untuk menggunakan username dan password tersebut untuk kepentingan dirinya. Termasuk didalamnya adalah melakukan transaksi perbankan tanpa sepengetahuan si pemilik nasabahnya.

Sementara untuk SMS Banking dan m-banking, jenis kejahatan yang dilakukan adalah melakukan SIM Card Swap, yaitu upaya untuk mengelabui operator selular untuk meminta pergantian SIM Card dari nomor tertentu. Teknik ini dilakukan untuk dapat mengambil alih nomor handphone dengan target melakukan akses terhadap akun perbankan yang terdaftar pada nomor handphone tersebut. Dalam hal ini, pelaku harus terlebih dahulu meyakinkan operator selular bahwa permohonan dirinya untuk melakukan pergantian SIM Card adalah valid dan dapat disetujui. Prosedur pergantian SIM Card itu sendiri sebenarnya sangatlah ketat, setiap operator selular walaupun memiliki SOP yang berbeda namun mereka berusaha untuk mencegah terjadinya pergantian SIM Card oleh orang yang tidak bertanggung jawab. Karena itu, adanya indikasi ke arah kejahatan terorganisasi adalah sebuah kesimpulan yang sangat wajar apabila ternyata proses pergantian SIM Card oleh orang yang tidak bertanggung jawab dapat dilakukan dengan mudah dan cepat. Pelaku kejahatan SIM Card Swap ini mengetahui dengan baik calon korbannya serta posisi terakhir dan rekam jejak transaksi perbankan dari calon korbannya. Mustahil pelaku melakukan SIM Card Swap pada calon korban yang tidak memiliki rekap jejak nasabah calon korbannya.

Salah satu indikasi bahwa telah terjadi upaya SIM Card Swap terhadap nomor selular milik kita adalah apabila ternyata tiba-tiba nomor handphone dan SIM Card tersebut tiba-tiba tidak bisa aktif digunakan. Dugaan wajar dari pemilik SIM Card adalah adanya keruksakan pada SIM Card miliknya atau adanya gangguan jaringan sehingga nomor handphone tidak bisa digunakan. Karena itu, apabila SIM Card pada ponsel kita mendadak tidak bisa digunakan maka harus secepatnya menghubungi operator selular kita. Hal lain yang juga menjadi prosedur pergantian SIM Card adalah harus melakukan mematikan handphone dimana SIM Card lama terpasang. Maka apabila tiba-tiba mendapat telepon/ SMS atasnama operator selular yang meminta kita untuk mematikan sementara handphone dengan dalih apapun, harus diabaikan dan dicurigai sebagai upaya untuk melakukan pengambil alihan SIM Card. Selain tidak dapat digunakannya SIM Card, maka identifikasi lain bahwa kemungkinan telah telah terjadi SIM Card Swap adalah adanya notifikasi bahwa terdapat aktifitas kita di tempat lain diluar kebiasaan dengan perangkat yang berbeda. Banyak aplikasi yang melakukan proses monitoring fraud melalui deteksi lokasi dan perangkat yang terkoneksi pada nomor handphone tertentu. Bila terdapat perubahan, maka aplikadi tersebut akan memberikan notifikasi via email adanya perubahan tersebut.

Mengaktifkan keamanan authentikasi dua faktor (2FA, Two Factor Authentication) adalah menjadi kontrol terhadap akun perbankan kita dari aktivitas illegal yang dilakukan diluar kendali kita. Melalui konsep keamanan tersebut, maka apabila terdapat permintaan kepada sistim untuk melakukan perubahan sesuatu dari data pada akun kita, maka akan melakukan konfirmasi dengan cara mengirimkan password OTP (One Time Password) kepada kita melalui media lainnya yang berada dalam kontrol kita (umumnya adalah konfirmasi melalui email dan SMS). Maka apabila tiba-tiba mendapat SMS/ Email yang berisi OTP dari akun perbankan yang kita miliki, harus segera dicurigai sebagai upaya untuk melakukan pengambil alihan akun tersebut. Konsep 2FA dan OTP ini menjadi tidak berlaku apabila ternyata telah dilakukan upaua SIM Card Swap. Karena begitu, proses penggantian SIM Card ini disetujui oleh operator selular, maka mekanisme 2FA dan OTP akan berpindah pada handphone yang berada dalam kendali di pelaku kejahatan. Selain itu, semua penyedia layanan m-banking menyediakan fitur untuk mengirimkan notifikasi via SMS dan Email apabila telah terjadi transaksi debit maupun kredit pada akun bank nasabahnya. Walaupun layanan ini umumnya membebankan biaya pengiriman SMS/Email pada nasabahnya, namun sangatlah penting sebagai bagian dari kontrol terhadap berbagai transaksi finansial pada rekening perbankan kita.

Kelemahan utama dari konsep 2FA adalah pada pesan OTP via SMS. Pesan text OTP yang dikirimkan melalui SMS/email ini dipandang adalah salah satu kelemahan yang dimanfaatkan oleh pelaku SIM Card Swap. Karena begitu, SIM Card sudah diambil alih, maka semua mekanisme OTP dari layanan yang terkoneksi pada SIM Card tersebut akan dengan sendirinya dapat diambil alih. Karena itu banyak analis keamanan system mulai mempertimbangkan penggunaan OTP melalui SMS. Teknologi alternative lainnya adalah penggunaan layanan dari Google Authenticator, Microsoft Authenticator, dan Authy sebagai bagian dari mekanisme 2FA. Teknologi tersebut tidak melakukan proses transmisi OTP melalui teks atau email,namun mensyaratkan akses fisik pada handphone langsung, sehingga selama hanbphone tersebut tidak berpindah kendalinya secara fisik maka maka proses OTP akan dapat dikendalikan langsung oleh si pemilik handphonenya.

Melakukan profiling melalui media sosial adalah salah satu tahapan dari pelaku kejahatan perbankan. Penggunaan Social Engingering Attack adalah salah satu mekanismenya.

Ketersediaan data data yang didapat dengan mudah melalui sosial media seperti: email, KTP, nomor handphone, nama anggota keluarga, aktivitas sehari-hari, posisi terakhir, jenis barang yang dibeli, toko tempat belanja, adalah data-data yang dapat dioleh oleh pelaku untuk menentukan layak tidaknya seseorang dijadikan target SIM Card Swap. Karena itu, untuk preventif kedepannya dari kemungkinan menjadi korban berbagai kejahatan perbankan, membedakan data pada akun media social dengan data perbankan adalah menjadi pilihan bijak. Memiliki nomor handphone dan email khusus untuk transaksi perbankan adalah menjadi pilihan aman bagi masyarakat. Memang menjadi tidak nyaman, tapi hal itu akan mempersempit celah bagi pihak tertentu yang mencoba melakuan profiling melalui ketersediaan data diri yang tersebar melalui media social.

Yogyakarta, 21 Januari 2020