Teknologi baru akan memudahkan konsumen dalam melakukan transaksi
pembayaran dengan menggunakan perangkat elektronik. Namun, bukan berarti
sistem pembayaran semacam ini akan aman-aman saja. Ada ancaman bahaya
yang datang melalui sistem pembayaran dengan menggunakan perangkat
elektronik, seperti para penipu memanipulasi ATM, menyusup ke dalam
mesin kasir di toko-toko, menyembunyikan malware dalam QR code, dan
mencuri jutaan nomor kartu kredit hanya dengan sekali serangan. Untuk
menambah kewaspadaan Anda semua, berikut ini akan kami berikan sedikit
gambaran bagaimana kejahatan melalui transaksi pembayaran dengan
penggunaan perangkat elektronik ini bisa dilakukan oleh oknum-oknum yang
tidak bertanggung jawab, selain itu juga cara mengantisipasinya.
NFC: Kartu kredit terbuka
Sudah diketahui bersama bahwa data dalam kartu kredit dengan chip NFC
tidak dienkripsi. Bahkan, seorang hacker ShmooCon di Washington DC
Kristin Paget, menunjukkan bagaimana caranya memata-matai nomor kartu
kredit. Saat ini pun terdapat aplikasi smartphone yang bisa mencatat
data kartu kredit.
Sebuah percobaan yang telah dilakukan oleh CHIP ketika hendak
mengetahui semudah apa melihat data kartu kredit dapat dimata-matai,
telah berhasil mengumpulkan beberapa data, namun hanya data saat ada
kontak langsung antara smartphone dan kartu. Dengan perangkat baca
performa tinggi, pembacaan dapat dilakukan pada jarak hingga 10 cm.
Namun masih ada informasi penting yang tidak tersimpan dalam chip
NFC, yaitu 3 digit CVV (Card Verification Value) yang tercetak di sisi
belakang kartu. Jadi, bila pencuri intin belanja di internet, ia hanya
bisa melakukannya di toko-toko online yang tidak meminta nomor tersebut.
Untuk MasterCard dan Visa, risikonya sama seperti pada kartu kredit
biasa. Begitu pelanggan memberikan kartu kreditnya ke orang lain saat
pembayaran, seperti di restoran misalnya, siapa saja dapat mencatat
nomor kartu berikut CVVnya. Keamanan yang kurang ini dikompensasi oleh
lembaga kredit yang bersangkutan. Bila pemilik kartu melaporkan
penyalahgunaan dalam waktu 30 hari, ia mendapatkan uangnya kembali.
Sebenarnya, data pada kartu model lama juga tidak terenkripsi dan
dapat diakses oleh siapa saja. Jadi, tidak ada risiko yang lebih besar
dalam teknologi NFC. Namun, bila Anda masih khawatir orang lain dapat
membaca data Anda, ada sebuah trik sederhana, yaitu dengan cara
menyimpan kartu dalam casing logam atau aluminium foil.
Serangan relay: Potensi bahaya NFC
Dua orang ilmuwan dari Universitas Tel Aviv di Israel menunjukkan
risiko serangan data lalu lintas nirkabel. Dengan metode yang disebut
"Serangan Relay" hacker mampu merekam seluruh lalu lintas data, walau
kartu dan pembaca kartu menggunakan algoritma otentifikasi dan enkripsi.
Untuk itu mereka membuat pembaca kartu khusus (Leech) dan kartu palsu
(Ghost) yang menjadi sejenis "repeater" antara kartu asli dan terminal
di toko".
Skenario yang bisa terjadi antara lain, pencuri mendekati seseorang
di jalan dan dengan Leech mengaktivasu kartu kredit orang tersebut.
Selanjutnya, Leech mengirimkan data kartu tersebut pada Ghost yang
digunakan komplotan pencuri untuk membayar di kasir toko/ Pembayaran ini
tentunya dibebankan kepada pemilik kartu asli.
Leech hanya bisa mendeteksi kartu dalam jarak 10 cm (standar ISO).
Namun hacker juga pintar mengakalinya dengan meningkatkan kekuatan
sinyal sehingga jarak maksimal mencapai 50 cm. Agar data kartu
ditransfer dengan bersih, sebuah software digunakan untuk menyaring
noise. Leech meneruskan data kartu kepada Ghost yang bisa berjarak 50
cm. Ghost tidak berisi chip NFC pasif seperti kartu asli, melainkan,
melainkan chip aktif. Serangan Relay ini memang masih dalam percobaan
karena kartu NFC belum digunakan secara luas, namun tetap saja
menunjukkan bahaya yang bisa mengancam di masa depan.
Layanan online : Peluang mencuri data
Layanan online merupakan sasaran favorit karena sekali serang ia bisa
mendapatkan ribuan nama, alamat, email, data account, dan nomor kartu
kredit. Banyak orang menggunakan data login yang sama untuk berbagai
platform. Dengan demikian, hacker hanya perlu membandingkan data curian
dengan data dari layanan seperti PayPal Amazon Checkout untuk menguras
account tersebut.
Kita ingat skandal terbesar dalan sejarah internet, Sony-hack tahun
lalu. Tidak hanya nama, alamat, dan password sekitar 100 juta pengguna
yang dicuri, namun juga nomor kartu kredit para penggunanya. Data
tersebut tersimpan tanpa enkripsi pada server Sony yang hanya
memproteksi CVV. Layanan lain seperti Xbox Live dan iTunes juga
merupakan sasaran yang disukai hacker. Masalahnya, pengguna sulit
melindungi diri sendiri, terutama bila harus menunjukkan kartu kredit.
Walau demikian, Anda masih dapat membatasi risiko pencurian data.
QR Code : Malware yang dicetak
Pada salah metode pembayaran baru, QR code, pemalsuan sulit dikenali.
Metode ini semakin sering digunakan untuk menawarkan info tambahan
melalui smartphone atau mengarahkan pengguna ke website toko online.
Karena QR Code tidak mengungkapkan link mana yang ada di baliknya, maka
malware dapat disusupkan atau Anda dibelokkan ke website phising. Memang
lebih mudah mengintegrasikan QR code daripada link ke dalam email untuk
memancing pengguna ke webiste yang menawarkan diskon. Akhir tahun lalu,
Kapersky Lab menemukan banyak QR Code berbahaya di berbagai website.
Ketika dihubungan dengan PayPal, walaupun berisiko pengguna tetap
dapat berbelanja dengan menggunakan QR code. Penyedia layanan
infrastruktur layanan QRShopping dan para pengembangnya menyadari risiko
yang bisa ditimbulkan. Untuk mencegah penyalahgunaan, PayPal code hanya
berfungsi dengan aplikasi resmi untuk iOS dan Android. Data juga
dikirim ke sebuah server otorisasi sehingga PayPal-QRShopping tampaknya
terproteksi dengan baik. Namun, seperti pada setiap sistem pembayaran
online, malware pada smartphone pun semakin sering digunakan untuk
memanfaatkan celah keamanan. Misalnya sebuah trojan dapat memanipulasi
smartphone dan mengirimkan uang ke account PayPal lain. Dan seperti pada
phising pengguna yang tidak berpengalaman "digiring" untuk membaca QR
code dengan sembarang scanner dan dibelokkan ke website PayPal palsu.
Smartphone : Perangkat skimming baru
Saat ini sedang diuji coba sistem pembayaran "PayPal Here", yang
memungkinkan setiap smartphone bisa menerima pembayaran kartu kredit.
pengguna tinggal menghubungkan perangkat baca dengan smartphone melalui
input mikrofon dan menginstall aplikasi yang dibutuhkan. Ide besarnya
adalah, setiap orang bisa menerima pembayaran melalui kartu kredit.
Sayangnya, konsep seperti ini rawan disalahgunakan karena smartphone
mudah dimanipulasi. Penipu hanya perlu mengaktivasi malware di
background atau membuat aplikasi palsu dalam desain PayPal. Bahkan,
penjual jujur juga bisa secara tidak sengaja menjadi kaki tangan hacker.
Ia bisa tanpa sadar menyalin malware ke perangkat baca.
Skimmer : Perangkat pembaca PIN
Pita magnetik dianggap sudah kuno dan tidak aman. Namun sampai saat
ini, setiap kartu kredit dan debit masih dilengkapi dengan feature itu.
Celah ini bisa dimanfaatkan penjahat digital untuk memasang skimmer di
mesin-mesin ATM. Untuk mencegahnya, bank-bank pun meningkatkan keamanan
diantaranya dengan menerapkan metode jittering dan mulut katak pada
mesin ATM. Dengan metode jittering kartu disedot masuk sambil digetarkan
agar pita magnetik tidak dapat dibaca. Sementara mulut katak
mempersulit skimmer memasang perangkat pembaca data pada kartu.
Mekanisme pengamanan internal juga digunakan untuk menangkal serangan
skimmer. Tren sekarang ini, skimmer menyusup ke dalam toko untuk
memanipulasi perangkat di toko. Di Eropa proteksi juga ditingkatkan
dengan menggunakan chip EMV (Europay Internatioanl, MasterCard, dan
Visa) yang digunakan untuk otorisasi. Namun metode ini juga memiliki
celah keamanan. Peneliti di Universitas Cambridge pada tahun 2010 lalu
menunjukkan proteksi EMV dapat diakali agar kartu curian dapat menerima
semua PIN. Pada konferensi keamanan CansecWest tahun 2011 di Vancouver,
Kanada, para peneliti mendemonstrasikan PIN tetap dapat dimata-matai
dengan EMV-skimmer yang sangat tipis yang ditempelkan dalam slot kartu
ATM. Namun karena skimmer tidak dapat membaca data lainnya, maka nomor
PIN tidaklah berguna tanpa kartu asli ataupun kartu duplikat.
Remote Access : Terminal kartu yang telah di hack
manipulasi ATM dan terminal di kasir biasanya membutuhkan suatu
hardware yang ditempelkan pada perangkat. Pakar keamanan Thomas Roth
dari Security Research Labs (SRLAbs) di Berlin telah menemukan metode
sejenis tanpa hardware sehingga aktivitas pencurian data tidak akan
disadari oleh penjual atau pelanggan. Mereka membobol sendiri terminal
di kasus dan mengubah software-nya sesuka hati. Kode berbahaya
disusupkan dengan buffer overrun melalui Internet saat alamat IP
perangkat di ketahui.
Celah keamanan itu dapat diatasi dengan patch, tetapi serangan lokal,
menurut SRLabs, tidak dapat ditangkal. Hacker akan mengakses langsung
profesor aplikasi melalui interface Debug (ITAG) untuk membelokkan
transaksi, mengubah jumlah dana dan memata-matai PIN. ModelArtema Hybrid
dari Verifone menjadi perangkat yang paling rentan terhadap serangan
ini.
Cara bank melacak penipu
Cara yang dilakukan bank penyedia kartu kredit dalam melindungi dan
menanggulangi pencurian data nasabahnya biasanya dirahasiakan. Selain
memiliki pakar khusus kemanan TI, bank juga mempekerjakan para spesialis
yang bekerja sama dengan pihak berwajib. Agar dapat mengungkap penipuan
dan membatasi kerugian, bank juga menggunakan sistem pengawasan dengan
alarm khusus yang akan berbunyi bila menemukan perilaku yang tidak
wajar. Bank juga memiliki sistem monitoring sendiri untuk mengumpulkan
dan memeriksa transaksi secara realtime. Software yang dimiliki akan
memeriksa transaksi berdasar berbagai kriteria, seperti jumlah transaksi
berdasar berbagai kriteria, seperti jumlah transaksi dan bank pemenima
yang tidak biasa. Karyawan bank juga memeriksa apakah transaksi sesuai
demham profil pelanggan atau tidak. Misalnya, bila seorang nasabah
tiba-tiba berbelanja hingga batas maksimal kreditnya atau bila tujuan
penggunaan pada online transfer tidak jelas. Jika terjadi kasus semacam
itu, maka bank akan segera mengontak nasabah yang bersangkutan dan
menanyakan kebenaran transaksi.
Bila kasus penipuan terjadi secara bersamaan, maka bank bisa
menggunakan analisis POC (Point of Compromise). Analisis ini menggunakan
kesamaan data pengguna. Bila ada terminal yang dimanipulasi di sebuah
SPBU, maka bank bisa memperingatkan nasabah lainnya yang juga sering
berbelanja di sana. Sekitar 75% kasus penipuan kartu kredit berasal dari
internet. Pihak bank pun kadang kesulitan dalam menemukan pelakunya.
Hal terpenting bagi nasabah adalah jangan sampai tertarik dengan
iming-iming para penipu berupa imbalan berjumlah besar. Kita bisa
mencegahnya dengan pengenalan secara diri.
Bereaksi dalam kasus penipuan
- Memblokir kartu kredit dan kartu debit. Bila kartu Anda hilang, blokirlah kartu tersebut. Anda juga dapat memblokir rekening online banking dan SIM Card ponsel.
- Melaporkan penyalahgunaan kartu kredit dan rekening. Bila menemukan transaksi yang tidak jelas, anda harus melaporkannya ke bank atau perusahaan kartu kredit untuk mendapatkan kembali uang Anda. Nomor telepon biasanya tercantum pada tagihan atau laporan rekening. Namun yang harus diperhatikan, jangka waktu pelaporan biasanya hingga 30 hari saja.
- Memanfaatkan proteksi pembeli di payPal. Bila membeli suatu produk melalui PayPal dan produk tersebut tidak Anda terima, dalam waktu 45 hari Anda harus mengontak penjual. Di PayPal, Anda bisa menghubunginya lewat menu "Conflict Solution." Bila tidak tercapai kesepakatan, selambat-lambatnya 20 hari setelah melapor Anda harus mengajukan permintaan "proteksi pembeli". Apakah uang Anda dikembalikan atau tidak, tergantung kausnya. PayPal memutuskan berdasarkan keterangan kedua belah pihak.
- Melaporkan account PayPal yang dihack. Bila account Anda dihack, Anda perlu mengubah password di website PayPal. Selanjutnya, lakukan langkah seperti "proteksi pembeli" di atas. Bila Anda tidak lagi bisa login, hubungi PayPal melalui telepon.
- Memblokir layanan online lainnya. Bila terjadi pencurian pada rekening Anda, solusinya hanya mengubah password. Di layanan bayar, Anda juga perlu memblokir kartu Anda yang dibajak. Laporkan juga kepada penyedia layanan untuk mencegah hacker melakukan hal-hal yang merugikan atas nama Anda.
0 komentar:
Posting Komentar
tolong komentarnya berhubungan dengan artikel yang ada