Celah Keamanan Transaksi OnLine

Teknologi baru akan memudahkan konsumen dalam melakukan transaksi pembayaran dengan menggunakan perangkat elektronik. Namun, bukan berarti sistem pembayaran semacam ini akan aman-aman saja. Ada ancaman bahaya yang datang melalui sistem pembayaran dengan menggunakan perangkat elektronik, seperti para penipu memanipulasi ATM, menyusup ke dalam mesin kasir di toko-toko, menyembunyikan malware dalam QR code, dan mencuri jutaan nomor kartu kredit hanya dengan sekali serangan. Untuk menambah kewaspadaan Anda semua, berikut ini akan kami berikan sedikit gambaran bagaimana kejahatan melalui transaksi pembayaran dengan penggunaan perangkat elektronik ini bisa dilakukan oleh oknum-oknum yang tidak bertanggung jawab, selain itu juga cara mengantisipasinya.

NFC: Kartu kredit terbuka
Sudah diketahui bersama bahwa data dalam kartu kredit dengan chip NFC tidak dienkripsi. Bahkan, seorang hacker ShmooCon di Washington DC Kristin Paget, menunjukkan bagaimana caranya memata-matai nomor kartu kredit. Saat ini pun terdapat aplikasi smartphone yang bisa mencatat data kartu kredit.
Sebuah percobaan yang telah dilakukan oleh CHIP ketika hendak mengetahui semudah apa melihat data kartu kredit dapat dimata-matai, telah berhasil mengumpulkan beberapa data, namun hanya data saat ada kontak langsung antara smartphone dan kartu. Dengan perangkat baca performa tinggi, pembacaan dapat dilakukan pada jarak hingga 10 cm.
Namun masih ada informasi penting yang tidak tersimpan dalam chip NFC, yaitu 3 digit CVV (Card Verification Value) yang tercetak di sisi belakang kartu. Jadi, bila pencuri intin belanja di internet, ia hanya bisa melakukannya di toko-toko online yang tidak meminta nomor tersebut. Untuk MasterCard dan Visa, risikonya sama seperti pada kartu kredit biasa. Begitu pelanggan memberikan kartu kreditnya ke orang lain saat pembayaran, seperti di restoran misalnya, siapa saja dapat mencatat nomor kartu berikut CVVnya. Keamanan yang kurang ini dikompensasi oleh lembaga kredit yang bersangkutan. Bila pemilik kartu melaporkan penyalahgunaan dalam waktu 30 hari, ia mendapatkan uangnya kembali.
Sebenarnya, data pada kartu model lama juga tidak terenkripsi dan dapat diakses oleh siapa saja. Jadi, tidak ada risiko yang lebih besar dalam teknologi NFC. Namun, bila Anda masih khawatir orang lain dapat membaca data Anda, ada sebuah trik sederhana, yaitu dengan cara menyimpan kartu dalam casing logam atau aluminium foil.
Serangan relay: Potensi bahaya NFC
Dua orang ilmuwan dari Universitas Tel Aviv di Israel menunjukkan risiko serangan data lalu lintas nirkabel. Dengan metode yang disebut "Serangan Relay" hacker mampu merekam seluruh lalu lintas data, walau kartu dan pembaca kartu menggunakan algoritma otentifikasi dan enkripsi. Untuk itu mereka membuat pembaca kartu khusus (Leech) dan kartu palsu (Ghost) yang menjadi sejenis "repeater" antara kartu asli dan terminal di toko".
Skenario yang bisa terjadi antara lain, pencuri mendekati seseorang di jalan dan dengan Leech mengaktivasu kartu kredit orang tersebut. Selanjutnya, Leech mengirimkan data kartu tersebut pada Ghost yang digunakan komplotan pencuri untuk membayar di kasir toko/ Pembayaran ini tentunya dibebankan kepada pemilik kartu asli.
Leech hanya bisa mendeteksi kartu dalam jarak 10 cm (standar ISO). Namun hacker juga pintar mengakalinya dengan meningkatkan kekuatan sinyal sehingga jarak maksimal mencapai 50 cm. Agar data kartu ditransfer dengan bersih, sebuah software digunakan untuk menyaring noise. Leech meneruskan data kartu kepada Ghost yang bisa berjarak 50 cm. Ghost tidak berisi chip NFC pasif seperti kartu asli, melainkan, melainkan chip aktif. Serangan Relay ini memang masih dalam percobaan  karena kartu NFC belum digunakan secara luas, namun tetap saja menunjukkan bahaya yang bisa mengancam di masa depan.
Layanan online : Peluang mencuri data
Layanan online merupakan sasaran favorit karena sekali serang ia bisa mendapatkan ribuan nama, alamat, email, data account, dan nomor kartu kredit. Banyak orang menggunakan data login yang sama untuk berbagai platform. Dengan demikian, hacker hanya perlu membandingkan data curian dengan data dari layanan seperti PayPal Amazon Checkout untuk menguras account tersebut.
Kita ingat skandal terbesar dalan sejarah internet, Sony-hack tahun lalu. Tidak hanya nama, alamat, dan password sekitar 100 juta pengguna yang dicuri, namun juga nomor kartu kredit para penggunanya. Data tersebut tersimpan tanpa enkripsi pada server Sony yang hanya memproteksi CVV. Layanan lain seperti Xbox Live dan iTunes juga merupakan sasaran yang disukai hacker. Masalahnya, pengguna sulit melindungi diri sendiri, terutama bila harus menunjukkan kartu kredit. Walau demikian, Anda masih dapat membatasi risiko pencurian data.
QR Code : Malware yang dicetak
Pada salah metode pembayaran baru, QR code, pemalsuan sulit dikenali. Metode ini semakin sering digunakan untuk menawarkan info tambahan melalui smartphone atau mengarahkan pengguna ke website toko online. Karena QR Code tidak mengungkapkan link mana yang ada di baliknya, maka malware dapat disusupkan atau Anda dibelokkan ke website phising. Memang lebih mudah mengintegrasikan QR code daripada link ke dalam email untuk memancing pengguna ke webiste yang menawarkan diskon. Akhir tahun lalu, Kapersky Lab menemukan banyak QR Code berbahaya di berbagai website.
Ketika dihubungan dengan PayPal, walaupun berisiko pengguna tetap dapat berbelanja dengan menggunakan QR code. Penyedia layanan infrastruktur layanan QRShopping dan para pengembangnya menyadari risiko yang bisa ditimbulkan. Untuk mencegah penyalahgunaan, PayPal code hanya berfungsi dengan aplikasi resmi untuk iOS dan Android. Data juga dikirim ke sebuah server otorisasi sehingga PayPal-QRShopping tampaknya terproteksi dengan baik. Namun, seperti pada setiap sistem pembayaran online, malware pada smartphone pun semakin sering digunakan untuk memanfaatkan celah keamanan. Misalnya sebuah trojan dapat memanipulasi smartphone dan mengirimkan uang ke account PayPal lain. Dan seperti pada phising pengguna yang tidak berpengalaman "digiring" untuk membaca QR code dengan sembarang scanner dan dibelokkan ke website PayPal palsu.
Smartphone : Perangkat skimming baru
Saat ini sedang diuji coba sistem pembayaran "PayPal Here", yang memungkinkan setiap smartphone bisa menerima pembayaran kartu kredit. pengguna tinggal menghubungkan perangkat baca dengan smartphone melalui input mikrofon dan menginstall aplikasi yang dibutuhkan. Ide besarnya adalah, setiap orang bisa menerima pembayaran melalui kartu kredit.
Sayangnya, konsep seperti ini rawan disalahgunakan karena smartphone mudah dimanipulasi. Penipu hanya perlu mengaktivasi malware di background atau membuat aplikasi palsu dalam desain PayPal. Bahkan, penjual jujur juga bisa secara tidak sengaja menjadi kaki tangan hacker. Ia bisa tanpa sadar menyalin malware ke perangkat baca.
Skimmer : Perangkat pembaca PIN
Pita magnetik dianggap sudah kuno dan tidak aman. Namun sampai saat ini, setiap kartu kredit dan debit masih dilengkapi dengan feature itu. Celah ini bisa dimanfaatkan penjahat digital untuk memasang skimmer di mesin-mesin ATM. Untuk mencegahnya, bank-bank pun meningkatkan keamanan diantaranya dengan menerapkan metode jittering dan mulut katak pada mesin ATM. Dengan metode jittering kartu disedot masuk sambil digetarkan agar pita magnetik tidak dapat dibaca. Sementara mulut katak mempersulit skimmer memasang perangkat pembaca data pada kartu.
Mekanisme pengamanan internal juga digunakan untuk menangkal serangan skimmer. Tren sekarang ini, skimmer menyusup ke dalam toko untuk memanipulasi perangkat di toko. Di Eropa proteksi juga ditingkatkan dengan menggunakan chip EMV (Europay Internatioanl, MasterCard, dan Visa) yang digunakan untuk otorisasi. Namun metode ini juga memiliki celah keamanan. Peneliti di Universitas Cambridge pada tahun 2010 lalu menunjukkan proteksi EMV dapat diakali agar kartu curian dapat menerima semua PIN. Pada konferensi keamanan CansecWest tahun 2011 di Vancouver, Kanada, para peneliti mendemonstrasikan PIN tetap dapat dimata-matai dengan EMV-skimmer yang sangat tipis yang ditempelkan dalam slot kartu ATM. Namun karena skimmer tidak dapat membaca data lainnya, maka nomor PIN tidaklah berguna tanpa kartu asli ataupun kartu duplikat.
Remote Access : Terminal kartu yang telah di hack
manipulasi ATM dan terminal di kasir biasanya membutuhkan suatu hardware yang ditempelkan pada perangkat. Pakar keamanan Thomas Roth dari Security Research Labs (SRLAbs) di Berlin telah menemukan metode sejenis tanpa hardware sehingga aktivitas pencurian data tidak akan disadari oleh penjual atau pelanggan. Mereka membobol sendiri terminal di kasus dan mengubah software-nya sesuka hati. Kode berbahaya disusupkan dengan buffer overrun melalui Internet saat  alamat IP perangkat di ketahui.
Celah keamanan itu dapat diatasi dengan patch, tetapi serangan lokal, menurut SRLabs, tidak dapat ditangkal. Hacker akan mengakses langsung profesor aplikasi melalui interface  Debug (ITAG) untuk membelokkan transaksi, mengubah jumlah dana dan memata-matai PIN. ModelArtema Hybrid dari Verifone menjadi perangkat yang paling rentan terhadap serangan ini.
Cara bank melacak penipu
Cara yang dilakukan bank penyedia kartu kredit dalam melindungi dan menanggulangi pencurian data nasabahnya biasanya dirahasiakan. Selain memiliki pakar khusus kemanan TI, bank juga mempekerjakan para spesialis yang bekerja sama dengan pihak berwajib. Agar dapat mengungkap penipuan dan membatasi kerugian, bank juga menggunakan sistem pengawasan dengan alarm khusus yang akan berbunyi bila menemukan perilaku yang tidak wajar. Bank juga memiliki sistem monitoring sendiri untuk mengumpulkan dan memeriksa transaksi secara realtime. Software yang dimiliki akan memeriksa transaksi berdasar berbagai kriteria, seperti jumlah transaksi berdasar berbagai kriteria, seperti jumlah transaksi dan bank pemenima yang tidak biasa. Karyawan bank juga memeriksa apakah transaksi sesuai demham profil pelanggan atau tidak. Misalnya, bila seorang nasabah tiba-tiba berbelanja hingga batas maksimal kreditnya atau bila tujuan penggunaan pada online transfer tidak jelas. Jika terjadi kasus semacam itu, maka bank akan segera mengontak nasabah yang bersangkutan dan menanyakan kebenaran transaksi.
Bila kasus penipuan terjadi secara bersamaan, maka bank bisa menggunakan analisis POC (Point of Compromise). Analisis ini menggunakan kesamaan data pengguna. Bila ada terminal yang dimanipulasi di sebuah SPBU, maka bank bisa memperingatkan nasabah lainnya yang juga sering berbelanja di sana. Sekitar 75% kasus penipuan kartu kredit berasal dari internet. Pihak bank pun kadang kesulitan dalam menemukan pelakunya. Hal terpenting bagi nasabah adalah jangan sampai tertarik dengan iming-iming para penipu berupa imbalan berjumlah besar. Kita bisa mencegahnya dengan pengenalan secara diri.
Bereaksi dalam kasus penipuan

• Memblokir kartu kredit dan kartu debit. Bila kartu Anda hilang, blokirlah kartu tersebut. Anda juga dapat memblokir rekening online banking dan SIM Card ponsel.
• Melaporkan penyalahgunaan kartu kredit dan rekening. Bila menemukan transaksi yang tidak jelas, anda harus melaporkannya ke bank atau perusahaan kartu kredit untuk mendapatkan kembali uang Anda. Nomor telepon biasanya tercantum pada tagihan atau laporan rekening. Namun yang harus diperhatikan, jangka waktu pelaporan biasanya hingga 30 hari saja.
• Memanfaatkan proteksi pembeli di payPal. Bila membeli suatu produk melalui PayPal dan produk tersebut tidak Anda terima, dalam waktu 45 hari Anda harus mengontak penjual. Di PayPal, Anda bisa menghubunginya lewat menu "Conflict Solution." Bila tidak tercapai kesepakatan, selambat-lambatnya  20 hari setelah melapor Anda harus mengajukan permintaan "proteksi pembeli". Apakah uang Anda dikembalikan atau tidak, tergantung kausnya. PayPal memutuskan berdasarkan keterangan kedua belah pihak.
• Melaporkan account PayPal yang dihack. Bila account Anda dihack, Anda perlu mengubah password di website PayPal. Selanjutnya, lakukan langkah seperti "proteksi pembeli" di atas. Bila Anda tidak lagi bisa login, hubungi PayPal melalui telepon.
• Memblokir layanan online lainnya. Bila terjadi pencurian pada rekening Anda, solusinya hanya mengubah password. Di layanan bayar, Anda juga perlu memblokir kartu Anda yang dibajak. Laporkan juga kepada penyedia layanan untuk mencegah hacker melakukan hal-hal yang merugikan atas nama Anda.

Posted in: Share Information