A.
Pengertian E - Banking
Electronic Banking, atau e-banking
bisa diartikan sebagai aktifitas perbankan di internet. Layanan ini
memungkinkan nasabah sebuah bank dapat melakukan hampir semua jenis transaksi
perbankan melalui sarana internet, khususnya via web. Mirip dengan penggunaan
mesin ATM, lewat sarana internet seorang nasabah dapat melakukan pengecekan
rekening, transfer dana antar rekening, hingga pembayaran tagihan-tagihan rutin
bulanan (listrik, telepon, dsb.) melalui rekening banknya. Jelas banyak
keuntungan yang akan bisa didapatkan oleh nasabah dengan memanfaatkan layanan
ini, terutama bila dilihat dari waktu dan tenaga yang dapat dihemat karena
transaksi e-banking jelas bebas antrian dan dapat dilakukan dari mana saja
sepanjang nasabah dapat terhubung dengan jaringan internet.
Untuk dapat menggunakan layanan ini, seorang nasabah akan
dibekali dengan login dan kode akses ke situs web dimana terdapat fasilitas
e-banking milik bankbersangkutan. Selanjutnya, nasabah dapat melakukan login
dan dapat melakukan aktifitas perbankan melalui situs web bank bersangkutan.
E-banking sebenarnya bukan barang baru di internet, tapi di
Indonesia sendiri, baru beberapa tahun belakangan ini marak diaplikasikan oleh
beberapa bank papan atas. berkaitan dengan keamanan nasabah yang tentunya menjadi
perhatian utama dari para pengelola bank disamping masalah infrastruktur bank
bersangkutan.
Keamanan merupakan isu utama dalam e-banking karena
sebagaimana kegiatan lainnya seperti di internet, transaksi perbankan di
internet juga rawan terhadap pengintaian dan penyalahgunaan oleh tangan-tangan
yang tidak bertanggung jawab.Oleh karena itu sebuah situs e-banking diwajibkan
untuk menggunakan standar keamanan yang sangat ketat untuk menjamin bahwa
setiap layanan yang mereka sediakan hanya dimanfaatkan oleh mereka yang memang
betul-betul berhak. Salah satu teknik pengamanan yang sering dugunakan dalam
e-banking adalah melalui SSL ( Secure Socket Layer ) maupun lewat protokol
HTTPS ( Secure HTTP )
Pengertian dan
penjelasan dari berbagai fasilitas E-Bankking yang berada di Indonesia
1. ATM,
Automated Teller Machine atau Anjungan Tunai Mandiri, ini adalah saluran
e-Banking paling populer yang kita kenal. Setiap kita pasti mempunyai kartu ATM
dan menggunakan fasilitas ATM. Fitur tradisional ATM adalah untuk mengetahui
informasi saldo dan melakukan penarikan tunai. Dalam perkembangannya, fitur
semakin bertambah yang memungkinkan untuk melakukan pemindahbukuan antar
rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l.
voucher dan tiket), dan yang terkini transfer ke bank lain (dalam satu
switching jaringan ATM). Selain bertransaksi melalui mesin ATM, kartu ATM dapat
pula digunakan untuk berbelanja di tempat perbelanjaan, berfungsi sebagai kartu
debit. Bila kita mengenal ATM sebagai mesin untuk mengambil uang, belakangan
muncul pula ATM yang dapat menerima setoran uang, yang dikenal pula sebagai
Cash Deposit Machine/CDM. Layaklah bila ATM disebut sebagai mesin sejuta umat
dan segala bisa, karena ragam fitur dan kemudahan penggunaannya.
2. Phone
Banking, ini adalah saluran yang memungkinkan nasabah untuk melakukan transaksi
dengan bank via telepon. Pada awalnya lazim diakses melalui telepon rumah,
namun seiring dengan makin populernya telepon genggam/HP, maka tersedia pula
nomor akses khusus via HP bertarif panggilan flat dari manapun nasabah berada.
Pada awalnya, layanan Phone Banking hanya bersifat informasi yaitu untuk
informasi jasa/produk bank dan informasi saldo rekening serta dilayani oleh
Customer Service Operator/CSO. Namun profilnya kemudian berkembang untuk
transaksi pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit,
listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan transfer ke bank
lain; serta dilayani oleh Interactive Voice Response (IVR). Fasilitas ini boleh
dibilang lebih praktis ketimbang ATM untuk transaksi non tunai, karena cukup
menggunakan telepon/HP di manapun kita berada, kita bisa melakukan berbagai
transaksi, termasuk transfer ke bank lain.
3. Internet
Banking, ini termasuk saluran teranyar e-Banking yang memungkinkan nasabah
melakukan transaksi via internet dengan menggunakan komputer/PC atau PDA. Fitur
transaksi yang dapat dilakukan sama dengan Phone Banking yaitu informasi
jasa/produk bank, informasi saldo rekening, transaksi pemindahbukuan antar
rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l.
voucher dan tiket), dan transfer ke bank lain. Kelebihan dari saluran ini
adalah kenyamanan bertransaksi dengan tampilan menu dan informasi secara
lengkap tertampang di layar komputer/PC atau PDA.
4. SMS/m-Banking,
saluran ini pada dasarnya evolusi lebih lanjut dari Phone Banking, yang
memungkinkan nasabah untuk bertransaksi via HP dengan perintah SMS. Fitur
transaksi yang dapat dilakukan yaitu informasi saldo rekening, pemindahbukuan
antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), dan
pembelian voucher. Untuk transaksi lainnya pada dasarnya dapat pula dilakukan,
namun tergantung pada akses yang dapat diberikan bank. Saluran ini sebenarnya
termasuk praktis namun dalam prakteknya agak merepotkan karena nasabah harus
menghapal kode-kode transaksi dalam pengetikan sms, kecuali pada bank yang
melakukan kerjasama dengan operator seluler, menyediakan akses banking menu –
Sim Tool Kit (STK) pada simcardnya.
Di balik kemudahan e-Banking tersimpan pula risiko, untuk
itu diperlukan pengaman yang baik. Lazimnya untuk ATM, nasabah diberikan kartu
ATM dan kode rahasia pribadi (PIN); sedangkan untuk Phone Banking, Internet
Banking, dan SMS/m-Banking, nasabah diberikan kode pengenal (userid) dan PIN.
Sebagai pengaman tambahan untuk internet banking, pada bank tertentu diberikan
piranti tambahan untuk mengeluarkan PIN acak/random. Sedangkan untuk SMS
Banking, nasabah diminta untuk meregistrasikan nomor HP yang digunakan.
Dengan beragamnya kemudahan transaksi via e-Banking, kini
pilihan ada di tangan kita untuk memanfaatkannya atau tidak. Namun mengingat
tidak semua bank menyediakan layanan-layanan tersebut, maka seberapa pintarkah
bank kita? Untuk dapat bertransaksi pintar, kini saatnya memilih bank pintar
kita, tentunya sesuai kebutuhan transaksi.
B. Jenis-Jenis
Teknologi E-Banking
1) Automated
Teller Machine (ATM). Terminal elektronik yang disediakan lembaga keuangan atau
perusahaan lainnya yang membolehkan nasabah untuk melakukan penarikan tunai
dari rekening simpanannya di bank, melakukan setoran, cek saldo, atau pemindahan
dana.
2) Computer
Banking. Layanan bank yang bisa diakses oleh nasabah melalui koneksi internet
ke pusat data bank, untuk melakukan beberapa layanan perbankan, menerima dan
membayar tagihan, dan lain-lain.
3) Debit (or
check) Card. Kartu yang digunakan pada ATM atau terminal point-of-sale (POS)
yang memungkinkan pelanggan memperoleh dana yang langsung didebet (diambil)
dari rekening banknya.
4) Direct
Deposit. Salah satu bentuk pembayaran yang dilakukan oleh organisasi (misalnya
pemberi kerja atau instansi pemerintah) yang membayar sejumlah dana (misalnya
gaji atau pensiun) melalui transfer elektronik. Dana ditransfer langsung ke
setiap rekening nasabah.
5) Direct
Payment (also electronic bill payment). Salah satu bentuk pembayaran yang
mengizinkan nasabah untuk membayar tagihan melalui transfer dana elektronik.
Dana tersebut secara elektronik ditransfer dari rekening nasabah ke rekening
kreditor. Direct payment berbeda dari preauthorized debit dalam hal ini,
nasabah harus menginisiasi setiap transaksi direct payment.
6) Electronic
Bill Presentment and Payment (EBPP). Bentuk pembayaran tagihan yang disampaikan
atau diinformasikan ke nasabah atau pelanggan secara online, misalnya melalui
email atau catatan dalam rekening bank. Setelah penyampaian tagihan tersebut,
pelanggan boleh membayar tagihan tersebut secara online juga. Pembayaran
tersebut secara elektronik akan mengurangi saldo simpanan pelanggan tersebut.
7) Electronic
Check Conversion. Proses konversi informasi yang tertuang dalam cek (nomor
rekening, jumlah transaksi, dll) ke dalam format elektronik agar bisa dilakukan
pemindahan dana elektronik atau proses lebih lanjut.
8) Electronic
Fund Transfer (EFT). Perpindahan “uang” atau “pinjaman” dari satu rekening ke
rekening lainnya melalui media elektronik.
9) Payroll
Card. Salah satu tipe “stored-value card” yang diterbitkan oelh pemberi kerja
sebagai pengganti cek yang memungkinkan pegawainya mengakses pembayaraannya
pada terminal ATM atau Point of Sales. Pemberi kerja menambahkan nilai
pembayaran pegawai ke kartu tersebut secara elektronik.
10) Preauthorized
Debit (or automatic bill payment). Bentuk pembayaran yang mengizinkan nasabah
untuk mengotorisasi pembayaran rutin otomatis yang diambil dari rekening
banknya pada tanggal-tangal tertentu dan biasanya dengan jumlah pembayaran
tertentu (misalnya pembayaran listrik, tagihan telpon, dll). Dana secara
elektronik ditransfer dari rekening pelanggan ke rekening kreditor (misalnya
PLN atau PT Telkom).
11) Prepaid
Card. Salah satu tipe Stored-Value Card yang menyimpan nilai moneter di
dalamnya dan sebelumnya pelanggan sudah membayar nilai tersebut ke penerbit
kartu.
12) Smart
Card. Salah satu tipe stored-value card yang di dalamnya tertanam satu atau lebih
chips atau microprocessors sehingga bisa menyimpan data, melakukan perhitungan,
atau melakukan proses untuk tujuan khusus (misalnya validasi PIN, otorisasi
pembelian, verifikasi saldo rekening, dan menyimpan data pribadi). Kartu ini
bisa digunakan pada sistem terbuka (misalnya untuk pembayaran transportasi
publik) atau sistem tertutup (misalnya MasterCard atau Visa networks).
13) Stored-Value
Card. Kartu yang di dalamnya tersimpan sejumlah nilai moneter, yang diisi
melalui pembayaran sebelumnya oleh pelanggan atau melalui simpanan yang
diberikan oleh pemberi kerja atau perusahaan lain. Untuk single-purpose stored
value card, penerbit (issuer) dan penerima (acceptor) kartu adalah perusahaan
yang sama dan dana pada kartu tersebut menunjukkan pembayaran di muka untuk
penggunaan barang dan jasa tertentu (misalnya kartu telpon). Limited-purpose
card secara umum digunakan secara terbatas pada terminal POS yang
teridentifikasi sebelumnya di lokasi-lokasi tertentu (misalnya vending machines
di sekolah-sekolah). Sedangkan multi-purpose card dapat digunakan pada beberapa
penyedia jasa dengan kisaran yang lebih luas, misalnya kartu dengan logo
MasterCard, Visa, atau logo lainnya dalam jaringan antar bank.
C. Manfaat
E-Banking
Electronic Banking (e-banking)
merupakan suatu aktifitas layanan perbankan yang menggabungkan antara sistem
informasi dan teknologi, e-banking meliputi phone banking, mobile banking, dan
internet banking. Fungsi penggunaannya mirip dengan mesin ATM dimana sarananya
saja yang berbeda, seorang nasabah dapat melakukan aktifitas pengecekan saldo
rekening, transfer dana antar rekening atau antar bank, hingga pembayaran
tagihan-tagihan rutin bulanan seperti: listrik, telepon, kartu kredit, dll.
Dengan memanfaatkan e-banking banyak keuntungan yang akan diperoleh nasabah
terutama apabila dilihat dari banyaknya waktu dan tenaga yang dapat dihemat
karena e-banking jelas bebas antrian dan dapat dilakukan dari mana saja
sepanjang nasabah memiliki sarana pendukung untuk melakukan layanan e-banking
tersebut.
Seorang nasabah akan dibekali dengan login dan kode akses ke
situs web dimana terdapat fasilitas e-banking milik bank bersangkutan.
Selanjutnya, nasabah dapat melakukan login dan melakukan aktifitas perbankan
melalui situs web bank bersangkutan. Sebenarnya e-banking bukan barang baru di
internet, tapi di Indonesia sendiri baru beberapa tahun belakangan ini marak
diaplikasikan oleh beberapa bank papan atas. Konon ini berkaitan dengan
keamanan nasabah yang tentunya menjadi perhatian utama dari para pengelola bank
disamping masalah infrastruktur bank bersangkutan.
Keamanan memang merupakan isu utama dalam e-banking karena
sebagaimana kegiatan lainnya di internet, transaksi perbankan di internet juga
rawan terhadap pengintaian dan penyalahgunaan oleh tangan-tangan yang tidak
bertanggung jawab.
Sebuah situs e-banking diwajibkan untuk menggunakan standar
keamanan yang sangat ketat untuk menjamin bahwa setiap layanan yang mereka
sediakan hanya dimanfaatkan oleh mereka yang memang betul-betul berhak. Salah
satu teknik pengamanan yang sering dugunakan dalam e-banking adalah melalui SSL
(Secure Socket Layer) maupun lewat protokol HTTPS (Secure HTTP).
BCA salah satu bank pelopor e-banking di Indonesia
contohnya. BCA menawarkan produk perbankan elektronik berupa KlikBCA, yang
memberikan kemudahan untuk melakukan transaksi perbankan melalui komputer dan
jaringan internet. KlikBCA dilengkapi dengan security untuk menjamin keamanan
dan kerahasiaan data dan transaksi yang dilakukan oleh nasabah. Untuk menambah
keamanan pihak bank melengkapi juga dengan KeyBCA, yaitu alat pengaman tambahan
untuk lebih mengamankan transaksi finansial di KlikBCA. Alat ini berfungsi
untuk mengeluarkan password yang selalu berganti setiap kali melakukan
transaksi finansial. Dengan demikian, keamanan nasabah bertransaksi akan makin
terjaga.
Dengan hadirnya e-banking tidak hanya nasabah saja yang
mendapatkan manfaat melainkan juga menciptakan efek manfaat yang lain bagi
bank, yakni meningkatkan pendapatan berbasis komisi atau biaya (fee based
income). Sebagian besar fee berasal dari layanan transaksi yang ditawarkan
e-banking, misalnya untuk pembayaran tagihan listrik dikenai biaya Rp 2.500 per
transaksi. Semakin sering nasabah bertransaksi lewat e-banking, semakin banyak
pula fee yang diperoleh bank. Belakangan ini jenis pendapatan nonbunga tumbuh
lebih cepat ketimbang pendapatan bunga. Selain itu biaya operasional juga
menjadi sangat murah dibandingkan dengan biaya transaksi melalui kantor cabang,
biaya di cabang relatif lebih besar karena untuk membayar karyawan, pengamanan,
listrik, dan biaya sewa gedung. Dengan segala manfaat yang bisa didapat melalui
e-banking beberapa bank rela menanamkan investasi yang mahal untuk
mengembangkan e-banking. Akan tetapi tidak banyak bank yang bisa
mengembangkannya karena terbenturnya masalah biaya.
D. Keamanan Dalam Menggunakan Fasilitas E-Banking
Bagaimana Virus dan Phising digunakan untuk mengalahkan
pengamanan Token. Bagaimana caranya mengirimkan dokumen digital rahasia dengan
cepat, aman dan praktis ke alamat email rekan atau kolega bisnis, yang mungkin
sedang berada di Yogya dan tidak memiliki komputer dan terkoneksi ke internet
hanya dari warnet ? Kalau filenya di kompres (zip) dan diberi password atau
dokumen MS office di beri password dan relatif mudah dibuka oleh orang yang
tidak berhak dengan tools pembuka password (password cracker) yang banyak
tersedia di internet (underground seperti www.astalavista.com). Dengan
menggunakan dictionary attack atau brute force hanya masalah waktu saja
password tersebut akan dapat ditemukan. Password Recovery Tools yang sering
disalahgunakan untuk membuka file orang lain yang dipassword
Salah satu cara yang lebih aman adalah mengenkrip file yang
dikirim dan lebih afdol lagi jika file tersebut diberikan time limit, sehingga
seperti film Mission Impossible, selewat dari waktu yang anda tentukan file
tersebut akan rusak (self destruct). Tetapi, diluar itu ada satu hal krusial
yang harus anda perhatikan dan jalankan dengan baik jika ingin mendapatkan
perlindungan sekuriti yang baik, karena meskipun enkripsi sudah dilakukan,
tetapi password ekripsi juga dikirimkan ke alamat email yang sama. Ibarat kata
Gito Rollies itu namanya “Sama Juga Bohong”. Karena siapapun yang memiliki
akses untuk mendapatkan file yang anda kirim melalui email di tengah jalan
sudah pasti memiliki akses untuk mendapatkan email berikutnya yang berisi
password. Lalu bagaimana cara menghadapi masalah ini ?
Jawabannya “Two Factor Authentication” / T-FA. Seperti kita
ketahui, ada tiga faktor universal (“sesuatu”) yang digunakan untuk
autentifikasi individu. Pertama adalah “Sesuatu yang kamu tahu” seperti
password, PIN atau identitas yang ada didompet anda seperti nomor KTP, SIM dan
Kartu Mahasiswa. Kedua adalah “Sesuatu yang kamu miliki” seperti Handphone,
kartu kredit atau security token. Ketiga “Sesuatu yang ada di diri kamu”
seperti sidik jari, sidik retina atau biometrik lain.
Lalu bagaimana jawaban dari masalah di atas ? Mudah, setelah
anda melakukan “pekerjaan rumah” mengenkripsi file dengan baik dan aman
(gunakan Norman Privacy untuk mengenkripsi file dan membuat self extracting exe
dan memberi password pada dokumen yang ingin anda enkripsi), kirimkan password
dekripsi melalui media lain, seperti telepon, SMS atau alamat website rahasia
berisi password yang hanya anda ketahui berdua.
Jika anda melakukan praktek ini, tingkat keamanan data anda
menjadi selevel dengan pengamanan yang dilakukan oleh Bank dalam melindungi
nasabahnya yang melakukan Internet Banking. Bahkan dibandingkan beberapa bank
di Indonesia yang hanya mengandalkan password dan tidak mengandalkan Two Factor
Authentication (T-FA), dokumen anda terlindung jauh lebih aman.
Seberapa mampu teknologi mengamankan transaksi internet
Banking anda ? Bagaimana para kriminal mengeksploitasi hal ini ? Lalu bagaimana
sebaiknya anda bersikap ?
Seperti kita ketahui, sekuriti dengan kenyamanan berbanding
terbalik. Makin aman suatu transaksi, makin sulit di implementasikan. Makin
nyaman suatu transaksi, makin mudah ditembus. Walaupun dalam beberapa kasus,
analisa dan kreativitas dari penyedia layanan internet banking dapat memberikan
keamanan dan kenyamanan pada tingkat yang dapat diserap dengan baik oleh segala
lapisan masyarakat sehingga dapat di implementasikan dengan cepat dan baik.
Tetapi ada satu “ground rule” yang harus disadari oleh penyedia jasa internet
banking, “Teknologi selalu berkembang dan tidak ada satupun pengamanan yang
kekal”. Dengan kata lain, kriminal akan selalu mencari cara (dan berhasil)
menembus teknik pengamanan transaksi yang ada dan para penyedia jasa layanan
keamanan harus “selalu” mengikuti perkembangan dan melakukan teknik baru dalam
pengamanan transaksi.
Tools yang paling sering digunakan untuk menembus
perlindungan internet banking adalah malware. Seperti kita ketahui, ada program
berbahaya yang untuk merekam semua ketukan keyboard komputer yang anda (nasabah
internet banking) lakukan pada keyboard, yaitu key logger. Dengan key logger,
semua ketukan keyboard yang anda lakukan akan direkam dan biasanya dimasukkan
pada trojan horse yang menumpang pada game, virus atau program gratisan yang
anda download dari internet. Harga yang anda bayar untuk program gratisan jika
mengandung Trojan Horse yang berhasil mengeksploitasi data rahasia anda bisa
jauh lebih mahal daripada anda membeli program original.
Lalu ada beberapa bank yang menggunakan papan keyboard
virtual yang muncul di layar komputer dengan susunan huruf dan angka yang
berubah-ubah setiap kali tampil dan nasabah memasukkan data / pin dengan
mengklik huruf atau angka yang terpampang di keyboard virtual menggunakan
mouse. Dengan trojan horse yang sama, kriminal dengan mudah melakukan screen
capture (Print Screen) sehingga dapat mengetahui susunan keyboard virtual yang
muncul setiap kali dan dengan menganalisa waktu dan koordinat-koordinat dimana mouse
di klik oleh user… voila …..apapun di klik nasabah dengan mouse pada keyboard
virtual akan dapat diketahui.
Karena itu, salah satu perlengkapan yang harus dimiliki oleh
nasabah internet banking (must have) adalah program antivirus dan antispyware
yang handal yang mampu mendeteksi keylogger dan trojan horse yang berbahaya.
Lalu, bagaimana kriminal menghadapi pengamanan Two Factor
Authentication seperti token pin yang mulai populer digunakan oleh bank ?
Apakah sudah aman dan tidak mungkin ditembus ?
Apakah internet banking anda dengan Token benar-benar aman ?
Pick enemy your own size, carilah musuh yang sepadan dengan
anda. Kalau Chris John yang masih juara dunia tinju sekalipun di “adu” dengan
Mike Tyson yang notabene bukan juara dunia tinju lagi. Tentunya Chris John akan
pikir-pikir melawan Mike Tyson. Mengapa ? Karena kelasnya berbeda. Kalau Chris
John juara dunia kelas bulu, sedangkan Mike merupakan eks juara dunia kelas
berat. Hal tersebut mirip jika kriminal berhadapan head to head dengan server internet
banking. Server tersebut dijaga dengan berbagai pertahanan, firewall, team
pemantau aktivitas etc. Namun, tergantung tujuannya, apakah ingin membobol
server internet banking atau “mendapatkan uang” dari nasabah internet banking.
Kalau tujuannya membobol server internet banking, hal tersebut tidak dibahas
disini karena hanya komunitas hacker tertentu dengan skill yang diatas
rata-rata yang memiliki kemampuan dan jaringan untuk melakukan hal tersebut.
Namun jika tujuannya adalah mendapatkan uang dari rekening
internet banking, maka pameo “pick enemy your own size” berlaku. Jadi, kriminal
akan memilih lawan dengan pertahanan yang lebih lemah dari server internet
banking di bank. Siapa itu ? Tidak lain dan tidak bukan adalah pengguna
internet banking.
Seperti kita ketahui, dalam penerapan sekuriti, salah satu
hal kunci dalam keberhasilan penerapan sekuriti adalah partisipasi “user”.
Sebagai gambaran, sekalipun sudah menggunakan program antivirus terkenal, suatu
jaringan komputer dengan mudah akan terinfeksi virus jika usernya sering
mengunjungi website porno atau crack. Sebaliknya, user yang menggunakan
antivirus gratisan sekalipun akan lebih jarang terinfeksi virus jika menerapkan
kebiasaan sekuriti yang baik seperti tidak sembarangan melakukan full sharing,
berhati-hati dalam melakukan browsing dst.
Sebenarnya hal ini disadari sekali praktisi sekuriti oleh
bank penyelenggara internet bankingpun sudah melakukan pengamanan yang memadai,
salah satunya adalah dengan mengimplementasikan token (T-FA two factor authentication).
Tetapi tetap saja user merupakan titik terlemah dalam sekuriti karena sudah
menjadi hukumnya bahwa manusia itu unik dengan 1001 kebiasaan dan latar
belakang yang berbeda. Selain itu, sesuai hukum piramida, persentase user
internet banking yang tidak paham / perduli sekuriti jauh lebih besar dari
jumlah user yang paham / perduli sekuriti.
DNS cache poisoning dan website forging (Phising)
Salah satu teknik yang patut diwaspadai dalam berpotensi
menembus pertahanan internet banking dengan pengamanan Token adalah DNS cache
poisoning dan website forging. Website forging adalah pemalsuan website yang
dibuat sedemikian rupa sehingga pengakses percaya bahwa website palsu yang
diaksesnya adalah benar website bank yang bersangkutan dan aman untuk melakukan
transaksi.
DNS cache poisoning (DNS poisoning) adalah teknik “meracuni”
DNS Server untuk mengelabui pengguna internet untuk percaya bahwa website
“palsu” yang diaksesnya (yang dibuat benar-benar menyerupai website asli)
adalah website asli. Tetapi tentunya anda akan langsung bertanya, lho bukankah
DNS tersebut dimaintain oleh ISP dan tentunya dalam waktu singkat aksi DNS
poisoning ini terdeteksi dan dimentahkan.
Memang betul dan yang dimaksudkan disini bukan DNS poisoning
pada DNS server, tetapi DNS poisoning pada sasaran yang lebih kecil lagi,
tetapi tidak kalah berbahaya ….. DNS pada komputer user. Seperti kita ketahui,
OS komputer (baik XP maupun Vista) memiliki file “Host” yang berfungsi sebagai
“DNS server” bagi komputer yang bersangkutan. Jika file host tersebut berhasil
dimanipulasi, maka dengan mudah setiap akses ke website internet banking akan
diarahkan ke website palsu yang sudah di program sedemikian rupa sehingga dapat
mengelabui pengguna internet banking ketika melakukan transaksi internet
banking.
Tetapi tentunya anda bertanya, bagaimana dengan pengamanan
ganda pada internet banking yang menggunakan Token ? Bukankah angka PIN
(Personal Identification Number) tersebut merupakan one time PIN dan
berubah-ubah setiap kali pengguna komputer melakukan transaksi ?
Jika kita melihat sekilas kelihatannya pengamanan Token ini
sangat aman dan PIN internet banking yang berbeda untuk setiap pengguna,
berubah setiap kali (one time Password) sehingga sangat sulit diketahui kecuali
mendapatkan rumusannya dan memang hanya pemilik Token dan server internet
banking yang mengetahui PIN sehingga “hampir” tidak mungkin untuk mengetahui
PIN tersebut. Jangankan orang lain, pemilik Token saja kalau lupa PIN Tokennya,
sudah tidak ada harapan untuk berinternet banking lagi .
Tetapi dengan DNS poisoning dan website forging / phising
ini, kriminal tidak perlu mengetahui PIN dan pengguna internet banking yang
akan memasukkan semua data, baik username, password, account confirmation PIN
dan one time PIN.
Ambil contoh korban DNS poisoning ini melakukan logon ke
rekening internetnya. Karena sudah dialihkan, maka ia akan mengakses situs
palsu internet banking yang dibuat sedemikian rupa agar sama dengan situs
internet banking. Lalu si korban memasukkan Username dan Password yang secara
otomatis akan digunakan oleh server untuk login ke website internet banking
yang sebenarnya. Disini Tahap Pertama pengaksesan rekening sudah berhasil
dijalankan.
Lalu bagaimana caranya mendapatkan uang dari korban internet
banking ini ? Mudah saja, walaupun PIN tersebut merupakan one time PIN, tetapi
PIN tersebut tidak unik untuk setiap transaksi dan berlaku universal untuk
semua transaksi internet banking, baik pembayaran rekening telepon, pembayaran
asuransi, internet, listrik sampai dengan pengisian pulsa isi ulang.
Ketika user melakukan transaksi, website palsu akan meminta
one time PIN yang harus dimasukkan dan one time PIN yang dimasukkan itu
sekarang dapat dipergunakan untuk kriminal untuk melakukan transaksi non
transfer (EG. pembelian pulsa isi ulang) karena transaksi transfer akan meminta
account confirmation PIN.
Bagaimana memanipulasi Host file ?
Pertanyaan lain yang tentunya timbul adalah, bagaimana
caranya memanipulasi host file dan seberapa besar kemungkinan terjadinya
manipulasi Host file tersebut ?
Secara teknis, manipulasi Host file Windows sangat mudah dan
banyak dilakukan oleh virus-virus lokal yang beredar di Indonesia. Ambil contoh
virus Wayang memanipulasi host file komputer korbannya dan mengarahkannya
setiap akses ke situs sekuriti seperti www.vaksin.com, www.ansav.com,
www.jasakom.com, www.vbbego.com ke localhost (127.0.0.1) sehingga
website-website sekuriti tersebut praktis tidak bisa diakses komputer korban
virus Wayang (lihat gambar). Bahayanya, kalau website sekuriti ini dirubah
menjadi website internet banking dan diarahkan bukan ke localhost, tetapi IP
website palsu (forging) di internet yang telah dipersiapkan sebelumnya,
tentunya akan banyak sekali korban internet banking yang tidak menyadari kalau
website internet bankingnya sudah diarahkan ke alamat lain dan menjadi korban.
E. Peranan
Bank Indonesia Dalam Pencegahan Kejahatan Penipuan Internet di Perbankan
Salah satu tugas pokok Bank Indonesia sebagaimana
diamanatkan dalam UU No. 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah
diubah dengan UU No. 3 Tahun 2004 adalah mengatur dan mengawasi bank. Dalam
rangka pelaksanaan tugas tersebut Bank Indonesia diberikan kewenangan sbb:
1. Menetapkan peraturan perbankan termasuk
ketentuan-ketentuan perbankan yang memuat prinsip-prinsip kehati-hatian.
2. Memberikan dan mencabut izin atas kelembagaan dan
kegiatan usaha tertentu dari bank, memberikan izin pembukaan, penutupan dan
pemindahan kantor bank, memberikan persetujuan atas kepemilikan dan
kepengurusan bank.
3. Melaksanakan pengawasan bank secara langsung dan tidak
langsung.
4. Mengenakan sanksi terhadap bank sesuai dengan ketentuan
perundang-undangan.
Pelaksanaan kewenangan tugas-tugas tersebut di atas
ditetapkan secara lebih rinci dalam Peraturan Bank Indonesia (PBI). Terkait
dengan tugas Bank Indonesia mengatur dan mengawasi bank, salah satu upaya untuk
meminimalisasi internet fraud yang dilakukan oleh Bank Indonesia adalah melalui
pendekatan aspek regulasi. Sehubungan dengan hal tersebut, Bank Indonesia telah
mengeluarkan serangkaian Peraturan Bank Indonesia dan Surat Edaran Bank
Indonesia yang harus dipatuhi oleh dunia perbankan antara lain mengenai
penerapan manajemen risiko dalam penyelenggaraan kegiatan internet banking dan
penerapan prinsip Know Your Customer (KYC).
Penerapan prinsip Know Your Customer (KYC)
Upaya lainnya yang dilakukan oleh Bank Indonesia dalam
rangka meminimalisir terjadinya tindak kejahatan internet fraud adalah
pengaturan kewajiban bagi bank untuk menerapkan prinsip mengenal nasabah atau
yang lebih dikenal dengan prinsip Know Your Customer (KYC). Pengaturan tentang
penerapan prinsip KYC terdapat dalam Peraturan Bank Indonesia No. 3/10/PBI/2001
tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer Principles)
sebagaimana telah diubah dengan Peraturan Bank Indonesia No. 3/23/PBI/2001 dan
Surat Edaran Bank Indonesia 6/37/DPNP tanggal 10 September 2004 tentang
Penilaian dan Pengenaan Sanksi atas Penerapan Prinsip Mengenal Nasabah dan
Kewajiban Lain Terkait dengan Undang-Undang tentang Tindak Pidana Pencucian
Uang.
F. Manajemen Penyelenggaraan Kegiatan E-Banking
1. Manajemen resiko dalam penyelenggaraan kegiatan internet
banking
Peraturan yang dikeluarkan oleh Bank Indonesia terkait
dengan pengelolaan atau manajemen risiko penyelenggaraan kegiatan internet banking
adalah Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen
Risiko Bagi Bank Umum dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20
April 2004 tentang Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa
Bank Melalui Internet (Internet Banking)
Pokok-pokok pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan internet banking
wajib menerapkan manajemen risiko pada aktivitas internet banking secara
efektif.
b. Penerapan manajemen risiko tersebut wajib dituangkan
dalam suatu kebijakan, prosedur dan pedoman tertulis dengan mengacu pada
Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui
Internet (Internet Banking), yang ditetapkan dalam lampiran dalam Surat Edaran
Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko bagi bank yang
menyelenggarakan kegiatan internet banking adalah:
1) Adanya pengawasan aktif komisaris dan direksi bank, yang
meliputi:
a) Komisaris dan direksi harus melakukan pengawasan yang
efektif terhadap risiko yang terkait dengan aktivitas internet banking,
termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian untuk
mengelola risiko tersebut.
b) Direksi harus menyetujui dan melakukan kaji ulang
terhadap aspek utama dari prosedur pengendalian pengamanan bank.
2) Pengendalian pengamanan (security control)
a) Bank harus melakukan langkah-langkah yang memadai untuk
menguji keaslian (otentikasi) identitas dan otorisasi terhadap nasabah yang
melakukan transaksi melalui internet banking.
b) Bank harus menggunakan metode pengujian keaslian
transaksi untuk menjamin bahwa transaksi tidak dapat diingkari oleh nasabah
(non repudiation) dan menetapkan tanggung jawab dalam transaksi internet
banking.
c) Bank harus memastikan adanya pemisahan tugas dalam sistem
internet banking, database dan aplikasi lainnya.
d) Bank harus memastikan adanya pengendalian terhadap
otorisasi dan hak akses (privileges) yang tepat terhadap sistem internet
banking, database dan aplikasi lainnya.
e) Bank harus memastikan tersedianya prosedur yang memadai
untuk melindungi integritas data, catatan/arsip dan informasi pada transaksi
internet banking.
f) Bank harus memastikan tersedianya mekanisme penelusuran
(audit trail) yang jelas untuk seluruh transaksi internet banking.
g) Bank harus mengambil langkah-langkah untuk melindungi
kerahasiaan informasi penting pada internet banking. Langkah tersebut harus
sesuai dengan sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam
database.
3) Manajemen Resiko Hukum dan Risiko Reputasi
a) Bank harus memastikan bahwa website bank menyediakan
informasi yang memungkinkan calon nasabah untuk memperoleh informasi yang tepat
mengenai identitas dan status hukum bank sebelum melakukan transaksi melalui
internet banking.
b) Bank harus mengambil langkah-langkah untuk memastikan
bahwa ketentuan kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di
negara tempat kedudukan bank menyediakan produk dan jasa internet banking.
c) Bank harus memiliki prosedur perencanaan darurat dan
berkesinambungan usaha yang efektif untuk memastikan tersedianya sistem dan
jasa internet banking.
d) Bank harus mengembangkan rencana penanganan yang memadai
untuk mengelola, mengatasi dan meminimalkan permasalahan yang timbul dari
kejadian yang tidak diperkirakan (internal dan eksternal) yang dapat menghambat
penyediaan sistem dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan internet banking
dilakukan oleh pihak ketiga (outsourcing), bank harus menetapkan dan menerapkan
prosedur pengawasan dan due dilligence yang menyeluruh dan berkelanjutan untuk
mengelola hubungan bank dengan pihak ketiga tersebut.
2. Pokok-pokok pengaturannya antara lain sbb:
a. Prinsip Mengenal Nasabah adalah prinsip yang diterapkan
bank untuk mengetahui identitas nasabah, memantau kegiatan transaksi nasabah
termasuk pelaporan transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam mengidentifikasi
nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan terhadap
rekening dan transaksi nasabah.
4) Menetapkan kebijakan dan prosedur manajemen resiko yang
berkaitan dengan penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan identifikasi
nasabah, maka:
1) Sebelum melakukan hubungan usaha dengan nasabah, bank
wajib meminta informasi mengenai identitas calon nasabah, maksud dan tujuan
hubungan usaha yang akan dilakukan calon nasabah dengan bank, informasi lain
yang memungkinkan bank untuk dapat mengetahui profil calon nasabah dan
identitas pihak lain dalam hal calon nasabah bertindak untuk dan atas nama
pihak lain. Identitas calon nasabah tersebut harus dibuktikan dengan
dokumen-dokumen pendukung dan bank wajib meneliti kebenaran dokumen-dokumen
pendukung tersebut.
2) Bagi bank yang telah menggunakan media elektronis dalam
pelayanan jasa perbankan wajib melakukan pertemuan dengan calon nasabah
sekurang-kurangnya pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak sebagai perantara dan
atau kuasa pihak lain (beneficial owner) untuk membuka rekening, bank wajib
memperoleh dokumen-dokumen pendukung identitas dan hubungan hukum, penugasan
serta kewenangan bertindak sebagai perantara dan atau kuasa pihak lain. Dalam
hal bank meragukan atau tidak dapat meyakini identitas beneficial owner, bank
wajib menolak untuk melakukan hubungan usaha dengan calon nasabah e-banking.
Bank wajib menatausahakan dokumen-dokumen pendukung nasabah dalam jangka waktu
sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup rekening pada bank.
Bank juga wajib melakukan pengkinian data dalam hal terdapat perubahan terhadap
dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi yang dapat
mengidentifikasi, menganalisa, memantau dan menyediakan laporan secara efektif
mengenai karakteristik transaksi yang dilakukan oleh nasabah bank.
g. Bank wajib memelihara profil nasabah yang
sekurang-kurangnya meliputi informasi mengenai pekerjaan atau bidang usaha,
jumlah penghasilan, rekening lain yang dimiliki, aktivasi transaksi normal dan
tujuan pembukaan rekening.
h.Bank wajib memiliki kebijakan dan prosedur manajemen
risiko yang sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank (management oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit intern.
5) Program pelatihan karyawan mengenai penerapan Prinsip
Mengenal Nasabah.
3. Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan
Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh Bank Indonesia
terkait dengan upaya meminimalisir internet fraud adalah regulasi mengenai
penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan Kartu (APMK),
mengingat APMK merupakan alat atau media yang sering digunakan dalam kejahatan
internet fraud. Ketentuan mengenai penyelenggaraan APMK terdapat dalam
Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang Penyelenggaraan Kegiatan
Alat Pembayaran Dengan Menggunakan Kartu dan Surat Edaran Bank Indonesia No.
7/60/DASP, tanggal 30 Desember 2005 tentang Prinsip Perlindungan Nasabah dan
Kehati-hatian, serta Peningkatan Keamanan Dalam Penyelenggaraan Kegiatan Alat
Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
a). Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah
alat pembayaran yang berupa kartu kredit, kartu ATM, kartu debet, kartu
prabayar dan atau yang dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank yang merupakan
penyelenggara APMK harus menyerahkan bukti penerapan manajemen risiko.
c). Penerbit APMK wajib meningkatkan keamanan APMK untuk
meminimalkan tingkat kejahatan terkait dengan APMK dan sekaligus untuk
meningkatkan kepercayaan masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut dilakukan terhadap seluruh
infrastruktur teknologi yang terkait dengan penyelenggaraan APMK, yang meliputi
pengamanan pada kartu dan pengamanan pada seluruh sistem yang digunakan untuk
memproses transaksi APMK termasuk penggunaan chip pada kartu kredit. Selain
itu, Bank Indonesia juga mengeluarkan regulasi mengenai transparansi informasi
produk bank dan penggunaan data pribadi nasabah, sebagai upaya untuk
mengedukasi nasabah terhadap produk bank dan meningkatkan kewaspadaan nasabah
terhadap berbagai risiko termasuk internet fraud. Ketentuan tersebut terdapat
dalam Peraturan Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang
Transparansi Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Peraturan-peraturan
Ketentuan mengenai rahasia bank diatur dalam UU Perbankan
dan kemudian diatur lebih lanjut dalam Peraturan Bank Indonesia No.
2/19/PBI/2000 tentang Persyaratan dan Tata Cara Pemberian Perintah atau Izin
Tertulis Membuka Rahasia Bank. Berdasarkan ketentuan tersebut, pada prinsipnya
setiap Bank dan afiliasinya wajib merahasiakan keterangan mengenai nasabah
penyimpan dan simpanannya (Rahasia Bank). Sedangkan keterangan mengenai nasabah
selain sebagai nasabah penyimpan, tidak wajib dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi dengan izin terlebih
dahulu dari pimpinan Bank Indonesia untuk kepentingan perpajakan, penyelesaian
piutang bank oleh BUPN/PUPLN dan kepentingan peradilan perkara pidana dimana
status nasabah penyimpan yang akan dibuka rahasia bank harus tersangka atau
terdakwa. Terhadap Rahasia Bank dapat juga disimpangi tanpa izin terlebih
dahulu dari pimpinan Bank Indonesia yakni untuk kepentingan perkara perdata
antara bank dengan nasabahnya, tukar menukar informasi antar bank, atas permintaan/persetujuan
dari nasabah dan untuk kepentingan ahli waris yang sah.
Dalam hal diperlukan pemblokiran dan atau penyitaan simpanan
atas nama seorang nasabah penyimpan yang telah dinyatakan sebagai tersangka
atau terdakwa oleh pihak aparat penegak hukum, berdasarkan ketentuan Pasal 12
ayat (1) PBI Rahasia Bank, dapat dilakukan sesuai dengan ketentuan peraturan
perundang-undangan yang berlaku tanpa memerlukan izin terlebih dahulu dari
pimpinan Bank Indonesia.
Namun demikian untuk memperoleh keterangan mengenai nasabah
penyimpan dan simpanan nasabah yang diblokir dan atau disita pada bank, menurut
Pasal 12 ayat (2) PBI Rahasia Bank, tetap berlaku ketentuan mengenai pembukaan
Rahasia Bank dimana memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
G. Urgensi
Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) dan
Undang-Undang tentang Transfer Dana (UU Transfer Dana)
Payung hukum setingkat undang-undang yang khusus mengatur
tentang kegiatan di dunia maya hingga saat ini belum ada di Indonesia. Dalam
hal terjadi tindak pidana kejahatan di dunia maya, untuk penegakan hukumnya
masih menggunakan ketentuan-ketentuan yang ada di KUHP yakni mengenai pemalsuan
surat (Pasal 263), pencurian (Pasal 362), penggelapan (Pasal 372), penipuan (Pasal
378), penadahan (Pasal 480), serta ketentuan yang terdapat dalam Undang-Undang
tentang Tindak Pidana Pencucian Uang dan Undang-Undang tentang Merek.
Ketentuan-ketentuan tersebut tentu saja belum bisa
mengakomodir kejahatan-kejahatan di dunia maya (cybercrime) yang modus
operandinya terus berkembang. Selain itu dalam penanganan kasusnya seringkali
menghadapi kendala antara lain dalam hal pembuktian dengan menggunakan alat
bukti elektronik dan ancaman sanksi yang terdapat dalam KUHP tidak sebanding
dengan kerugian yang diderita oleh korban, misalnya pada kasus internet fraud,
salah satu pasal yang dapat digunakan adalah Pasal 378 KUHP (penipuan) yang
ancaman hukumannya maksimum 4 (empat) tahun penjara sedangkan kerugian yang
mungkin diderita dapat mencapai miliaran rupiah.
Terkait dengan hal-hal tersebut di atas, kehadiran
Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) dan
Undang-Undang tentang Transfer Dana (UU Transfer Dana) diharapkan dapat menjadi
faktor penting dalam upaya mencegah dan memberantas cybercrimes serta dapat
memberikan deterrent effect kepada para pelaku cybercrimes sehingga akan
berfikir jauh untuk melakukan aksinya. Selain itu hal yang penting lainnya
adalah pemahaman yang sama dalam memandang cybercrimes dari aparat penegak
hukum termasuk di dalamnya law enforcement.
Adapun Rancangan Undang-Undang (RUU) ITE dan RUU Transfer
Dana saat ini telah diajukan oleh pemerintah dan sedang dilakukan pembahasan di
DPR RI, dimana dalam hal ini Bank Indonesia terlibat sebagai narasumber
khususnya untuk materi yang terkait dengan informasi dan transaksi keuangan.
H. Kelebihan dan Kekurang :
Internet Banking: Jika
akses internet yang Anda gunakan lebih murah sebaiknya gunakan saja internet
banking, namun untuk aktivitas finansial kita harus lebih hati-hati. Karena
rentan terhadap cracking dan berbagai masalah lainnya, seperti terputusnya
aliran listrik, atau gagal koneksi. Pastikan Anda mengakses alamat ibank Anda
melalui alamat yang benar dan diawali dengan httpsbukan http,
gunakan virtual keyboard untuk menghindari keylog, dan pasang antispyware di
PC/Laptop Anda. Kelebihan lainnya, pembayaran dapat dilakukan secara terjadwal
dan mudah tentunya.
Sumber :
http://tugasgw.wordpress.com/2009/07/11/e-banking-sistem-informasi-manajemen/
http://h4nktrial.blogspot.com/2009/04/pengertian-e-banking.html