e-Banking yang telah diterapkan bank-bank di Indonesia :
1. ATM, Automated Teller Machine atau Anjungan Tunai Mandiri, merupakan saluran e-Banking paling populer yang kita kenal. Fitur tradisional ATM adalah untuk mengetahui informasi saldo dan melakukan penarikan tunai. Dalam perkembangannya, fitur semakin bertambah yang memungkinkan untuk melakukan pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan yang terkini transfer ke bank lain (dalam satu switching jaringan ATM). Selain bertransaksi melalui mesin ATM, kartu ATM dapat pula digunakan untuk berbelanja di tempat perbelanjaan, berfungsi sebagai kartu debit. Bila kita mengenal ATM sebagai mesin untuk mengambil uang, belakangan muncul pula ATM yang dapat menerima setoran uang, yang dikenal pula sebagai Cash Deposit Machine/CDM. Layaklah bila ATM disebut sebagai mesin sejuta umat dan segala bisa, karena ragam fitur dan kemudahan penggunaannya.
2. Phone Banking, merupakan saluran yang memungkinkan nasabah untuk melakukan transaksi dengan bank via telepon. Pada awalnya lazim diakses melalui telepon rumah, namun seiring dengan makin populernya telepon genggam/HP, maka tersedia pula nomor akses khusus via HP bertarif panggilan flat dari manapun nasabah berada. Pada awalnya, layanan Phone Banking hanya bersifat informasi yaitu untuk informasi jasa/produk bank dan informasi saldo rekening serta dilayani oleh Customer Service Operator/CSO. Namun profilnya kemudian berkembang untuk transaksi pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan transfer ke bank lain; serta dilayani oleh Interactive Voice Response (IVR). Fasilitas ini boleh dibilang lebih praktis ketimbang ATM untuk transaksi non tunai, karena cukup menggunakan telepon/HP di manapun kita berada, kita bisa melakukan berbagai transaksi, termasuk transfer ke bank lain.
3. Internet Banking, ini termasuk saluran teranyar e-Banking yang memungkinkan nasabah melakukan transaksi via internet dengan menggunakan komputer/PC atau PDA. Fitur transaksi yang dapat dilakukan sama dengan Phone Banking yaitu informasi jasa/produk bank, informasi saldo rekening, transaksi pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), pembelian (a.l. voucher dan tiket), dan transfer ke bank lain. Kelebihan dari saluran ini adalah kenyamanan bertransaksi dengan tampilan menu dan informasi secara lengkap tertampang di layar komputer/PC atau PDA.
4. SMS/m-Banking, saluran ini pada dasarnya evolusi lebih lanjut dari Phone Banking, yang memungkinkan nasabah untuk bertransaksi via HP dengan perintah SMS. Fitur transaksi yang dapat dilakukan yaitu informasi saldo rekening, pemindahbukuan antar rekening, pembayaran (a.l. kartu kredit, listrik, dan telepon), dan pembelian voucher. Untuk transaksi lainnya pada dasarnya dapat pula dilakukan, namun tergantung pada akses yang dapat diberikan bank. Saluran ini sebenarnya termasuk praktis namun dalam prakteknya agak merepotkan karena nasabah harus menghapal kode-kode transaksi dalam pengetikan sms, kecuali pada bank yang melakukan kerjasama dengan operator seluler, menyediakan akses banking menu – Sim Tool Kit (STK) pada simcardnya.
Di balik kemudahan e-Banking tersimpan pula risiko, untuk itu diperlukan pengaman yang baik. Lazimnya untuk ATM, nasabah diberikan kartu ATM dan kode rahasia pribadi (PIN); sedangkan untuk Phone Banking, Internet Banking, dan SMS/m-Banking, nasabah diberikan kode pengenal (userid) dan PIN. Sebagai pengaman tambahan untuk internet banking, pada bank tertentu diberikan piranti tambahan untuk mengeluarkan PIN acak/random. Sedangkan untuk SMS Banking, nasabah diminta untuk meregistrasikan nomor HP yang digunakan.
Dengan beragamnya kemudahan transaksi via e-Banking, kini pilihan ada di tangan kita untuk memanfaatkannya atau tidak. Namun mengingat tidak semua bank menyediakan layanan-layanan tersebut, maka seberapa pintarkah bank kita? Untuk dapat bertransaksi pintar, kini saatnya memilih bank pintar kita, tentunya sesuai kebutuhan transaksi.
Jenis-jenis Teknologi E-Banking :
1) Automated Teller Machine (ATM). Terminal elektronik yang disediakan lembaga keuangan atau perusahaan lainnya yang membolehkan nasabah untuk melakukan penarikan tunai dari rekening simpanannya di bank, melakukan setoran, cek saldo, atau pemindahan dana.
2) Computer Banking. Layanan bank yang bisa diakses oleh nasabah melalui koneksi internet ke pusat data bank, untuk melakukan beberapa layanan perbankan, menerima dan membayar tagihan, dan lain-lain.
3) Debit (or check) Card. Kartu yang digunakan pada ATM atau terminal point-of-sale (POS) yang memungkinkan pelanggan memperoleh dana yang langsung didebet (diambil) dari rekening banknya.
4) Direct Deposit. Salah satu bentuk pembayaran yang dilakukan oleh organisasi (misalnya pemberi kerja atau instansi pemerintah) yang membayar sejumlah dana (misalnya gaji atau pensiun) melalui transfer elektronik. Dana ditransfer langsung ke setiap rekening nasabah.
5) Direct Payment (also electronic bill payment). Salah satu bentuk pembayaran yang mengizinkan nasabah untuk membayar tagihan melalui transfer dana elektronik. Dana tersebut secara elektronik ditransfer dari rekening nasabah ke rekening kreditor. Direct payment berbeda dari preauthorized debit dalam hal ini, nasabah harus menginisiasi setiap transaksi direct payment.
6) Electronic Bill Presentment and Payment (EBPP). Bentuk pembayaran tagihan yang disampaikan atau diinformasikan ke nasabah atau pelanggan secara online, misalnya melalui email atau catatan dalam rekening bank. Setelah penyampaian tagihan tersebut, pelanggan boleh membayar tagihan tersebut secara online juga. Pembayaran tersebut secara elektronik akan mengurangi saldo simpanan pelanggan tersebut.
7) Electronic Check Conversion. Proses konversi informasi yang tertuang dalam cek (nomor rekening, jumlah transaksi, dll) ke dalam format elektronik agar bisa dilakukan pemindahan
dana elektronik atau proses lebih lanjut.
8) Electronic Fund Transfer (EFT). Perpindahan “uang” atau “pinjaman” dari satu rekening ke rekening lainnya melalui media elektronik.
9) Payroll Card. Salah satu tipe “stored-value card” yang diterbitkan oelh pemberi kerja sebagai pengganti cek yang memungkinkan pegawainya mengakses pembayaraannya pada terminal ATM atau Point of Sales. Pemberi kerja menambahkan nilai pembayaran pegawai ke kartu tersebut secara elektronik.
10) Preauthorized Debit (or automatic bill payment). Bentuk pembayaran yang mengizinkan nasabah untuk mengotorisasi pembayaran rutin otomatis yang diambil dari rekening banknya pada tanggal-tangal tertentu dan biasanya dengan jumlah pembayaran tertentu (misalnya pembayaran listrik, tagihan telpon, dll). Dana secara elektronik ditransfer dari rekening pelanggan ke rekening kreditor (misalnya PLN atau PT Telkom).
11) Prepaid Card. Salah satu tipe Stored-Value Card yang menyimpan nilai moneter di dalamnya dan sebelumnya pelanggan sudah membayar nilai tersebut ke penerbit kartu.
12) Smart Card. Salah satu tipe stored-value card yang di dalamnya tertanam satu atau lebih chips atau microprocessors sehingga bisa menyimpan data, melakukan perhitungan, atau melakukan proses untuk tujuan khusus (misalnya validasi PIN, otorisasi pembelian, verifikasi saldo rekening, dan menyimpan data pribadi). Kartu ini bisa digunakan pada sistem terbuka (misalnya untuk pembayaran transportasi publik) atau sistem tertutup (misalnya MasterCard atau Visa networks).
13) Stored-Value Card. Kartu yang di dalamnya tersimpan sejumlah nilai moneter, yang diisi melalui pembayaran sebelumnya oleh pelanggan atau melalui simpanan yang diberikan oleh pemberi kerja atau perusahaan lain. Untuk single-purpose stored value card, penerbit (issuer) dan penerima (acceptor) kartu adalah perusahaan yang sama dan dana pada kartu tersebut menunjukkan pembayaran di muka untuk penggunaan barang dan jasa tertentu (misalnya kartu telpon). Limited-purpose card secara umum digunakan secara terbatas pada terminal POS yang teridentifikasi sebelumnya di lokasi-lokasi tertentu (misalnya vending machines di sekolah-sekolah). Sedangkan multi-purpose card dapat digunakan pada beberapa penyedia jasa dengan kisaran yang lebih luas, misalnya kartu dengan logo
MasterCard, Visa, atau logo lainnya dalam jaringan antar bank.
Manfaat :
E-Banking merupakan suatu aktifitas layanan perbankan yang menggabungkan antara sistem informasi dan teknologi, e-banking meliputi phone banking, mobile banking, dan internet banking. Fungsi penggunaannya mirip dengan mesin ATM dimana sarananya saja yang berbeda, seorang nasabah dapat melakukan aktifitas pengecekan saldo rekening, transfer dana antar rekening atau antar bank, hingga pembayaran tagihan-tagihan rutin bulanan seperti: listrik, telepon, kartu kredit, dll. Dengan memanfaatkan e-banking banyak keuntungan yang akan diperoleh nasabah terutama apabila dilihat dari banyaknya waktu dan tenaga yang dapat dihemat karena e-banking jelas bebas antrian dan dapat dilakukan dari mana saja sepanjang nasabah memiliki sarana pendukung untuk melakukan layanan e-banking tersebut.
Seorang nasabah akan dibekali dengan login dan kode akses ke situs web dimana terdapat fasilitas e-banking milik bank bersangkutan. Selanjutnya, nasabah dapat melakukan login dan melakukan aktifitas perbankan melalui situs web bank bersangkutan. Sebenarnya e-banking bukan barang baru di internet, tapi di Indonesia sendiri baru beberapa tahun belakangan ini marak diaplikasikan oleh beberapa bank papan atas. Konon ini berkaitan dengan keamanan nasabah yang tentunya menjadi perhatian utama dari para pengelola bank disamping masalah infrastruktur bank bersangkutan.
Keamanan memang merupakan isu utama dalam e-banking karena sebagaimana kegiatan lainnya di internet, transaksi perbankan di internet juga rawan terhadap pengintaian dan penyalahgunaan oleh tangan-tangan yang tidak bertanggung jawab.
Sebuah situs e-banking diwajibkan untuk menggunakan standar keamanan yang sangat ketat untuk menjamin bahwa setiap layanan yang mereka sediakan hanya dimanfaatkan oleh mereka yang memang betul-betul berhak. Salah satu teknik pengamanan yang sering dugunakan dalam e-banking adalah melalui SSL (Secure Socket Layer) maupun lewat protokol HTTPS (Secure HTTP).
Dengan hadirnya e-banking tidak hanya nasabah saja yang mendapatkan manfaat melainkan juga menciptakan efek manfaat yang lain bagi bank, yakni meningkatkan pendapatan berbasis komisi atau biaya (fee based income). Sebagian besar fee berasal dari layanan transaksi yang ditawarkan e-banking. Semakin sering nasabah bertransaksi lewat e-banking, semakin banyak pula fee yang diperoleh bank. Belakangan ini jenis pendapatan nonbunga tumbuh lebih cepat ketimbang pendapatan bunga. Selain itu biaya operasional juga menjadi sangat murah dibandingkan dengan biaya transaksi melalui kantor cabang, biaya di cabang relatif lebih besar karena untuk membayar karyawan, pengamanan, listrik, dan biaya sewa gedung. Dengan segala manfaat yang bisa didapat melalui e-banking beberapa bank rela menanamkan investasi yang mahal untuk mengembangkan e-banking. Akan tetapi tidak banyak bank yang bisa mengembangkannya karena terbenturnya masalah biaya.
Seorang nasabah akan dibekali dengan login dan kode akses ke situs web dimana terdapat fasilitas e-banking milik bank bersangkutan. Selanjutnya, nasabah dapat melakukan login dan melakukan aktifitas perbankan melalui situs web bank bersangkutan. Sebenarnya e-banking bukan barang baru di internet, tapi di Indonesia sendiri baru beberapa tahun belakangan ini marak diaplikasikan oleh beberapa bank papan atas. Konon ini berkaitan dengan keamanan nasabah yang tentunya menjadi perhatian utama dari para pengelola bank disamping masalah infrastruktur bank bersangkutan.
Keamanan memang merupakan isu utama dalam e-banking karena sebagaimana kegiatan lainnya di internet, transaksi perbankan di internet juga rawan terhadap pengintaian dan penyalahgunaan oleh tangan-tangan yang tidak bertanggung jawab.
Sebuah situs e-banking diwajibkan untuk menggunakan standar keamanan yang sangat ketat untuk menjamin bahwa setiap layanan yang mereka sediakan hanya dimanfaatkan oleh mereka yang memang betul-betul berhak. Salah satu teknik pengamanan yang sering dugunakan dalam e-banking adalah melalui SSL (Secure Socket Layer) maupun lewat protokol HTTPS (Secure HTTP).
Dengan hadirnya e-banking tidak hanya nasabah saja yang mendapatkan manfaat melainkan juga menciptakan efek manfaat yang lain bagi bank, yakni meningkatkan pendapatan berbasis komisi atau biaya (fee based income). Sebagian besar fee berasal dari layanan transaksi yang ditawarkan e-banking. Semakin sering nasabah bertransaksi lewat e-banking, semakin banyak pula fee yang diperoleh bank. Belakangan ini jenis pendapatan nonbunga tumbuh lebih cepat ketimbang pendapatan bunga. Selain itu biaya operasional juga menjadi sangat murah dibandingkan dengan biaya transaksi melalui kantor cabang, biaya di cabang relatif lebih besar karena untuk membayar karyawan, pengamanan, listrik, dan biaya sewa gedung. Dengan segala manfaat yang bisa didapat melalui e-banking beberapa bank rela menanamkan investasi yang mahal untuk mengembangkan e-banking. Akan tetapi tidak banyak bank yang bisa mengembangkannya karena terbenturnya masalah biaya.
Keamanan :
Jika kita menggunakan “Two Factor Authentication” / T-FA dan mengenkripsi file dengan baik dan aman (gunakan Norman Privacy untuk mengenkripsi file dan membuat self extracting exe dan memberi password pada dokumen yang ingin anda enkripsi), kirimkan password dekripsi melalui media lain, seperti telepon, SMS atau alamat website rahasia berisi password, tingkat keamanan data anda menjadi selevel dengan pengamanan yang dilakukan oleh Bank dalam melindungi nasabahnya yang melakukan Internet Banking. Bahkan dibandingkan beberapa bank di Indonesia yang hanya mengandalkan password dan tidak mengandalkan Two Factor Authentication (T-FA), dokumen anda terlindung jauh lebih aman.
Sekuriti dengan kenyamanan berbanding terbalik. Makin aman suatu transaksi, makin sulit di implementasikan. Makin nyaman suatu transaksi, makin mudah ditembus. Walaupun dalam beberapa kasus, analisa dan kreativitas dari penyedia layanan internet banking dapat memberikan keamanan dan kenyamanan pada tingkat yang dapat diserap dengan baik oleh segala lapisan masyarakat sehingga dapat di implementasikan dengan cepat dan baik. Tetapi ada satu “ground rule” yang harus disadari oleh penyedia jasa internet banking, “Teknologi selalu berkembang dan tidak ada satupun pengamanan yang kekal”. Dengan kata lain, kriminal akan selalu mencari cara (dan berhasil) menembus teknik pengamanan transaksi yang ada dan para penyedia jasa layanan keamanan harus “selalu” mengikuti perkembangan dan melakukan teknik baru dalam pengamanan transaksi.
Tools yang paling sering digunakan untuk menembus perlindungan internet banking adalah malware. Seperti kita ketahui, ada program berbahaya yang untuk merekam semua ketukan keyboard komputer yang nasabah internet banking lakukan pada keyboard, yaitu key logger. Dengan key logger, semua ketukan keyboard yang anda lakukan akan direkam dan biasanya dimasukkan pada trojan horse yang menumpang pada game, virus atau program gratisan yang anda download dari internet.
Lalu ada beberapa bank yang menggunakan papan keyboard virtual yang muncul di layar komputer dengan susunan huruf dan angka yang berubah-ubah setiap kali tampil dan nasabah memasukkan data / pin dengan mengklik huruf atau angka yang terpampang di keyboard virtual menggunakan mouse. Dengan trojan horse yang sama, kriminal dengan mudah melakukan screen capture (Print Screen) sehingga dapat mengetahui susunan keyboard virtual yang muncul setiap kali dan dengan menganalisa waktu dan koordinat-koordinat dimana mouse di klik oleh user nasabah dengan mouse pada keyboard virtual akan dapat diketahui.
Karena itu, salah satu perlengkapan yang harus dimiliki oleh nasabah internet banking (must have) adalah program antivirus dan antispyware yang handal yang mampu mendeteksi keylogger dan trojan horse yang berbahaya.
Jika kriminal berhadapan head to head dengan server internet banking. Server tersebut dijaga dengan berbagai pertahanan, firewall, team pemantau aktivitas etc. Namun, tergantung tujuannya, apakah ingin membobol server internet banking atau “mendapatkan uang” dari nasabah internet banking. Kalau tujuannya membobol server internet banking, hal tersebut tidak dibahas disini karena hanya komunitas hacker tertentu dengan skill yang diatas rata-rata yang memiliki kemampuan dan jaringan untuk melakukan hal tersebut.
Namun jika tujuannya adalah mendapatkan uang dari rekening internet banking, maka pameo “pick enemy your own size” berlaku. Jadi, kriminal akan memilih lawan dengan pertahanan yang lebih lemah dari server internet banking di bank.
Seperti kita ketahui, dalam penerapan sekuriti, salah satu hal kunci dalam keberhasilan penerapan sekuriti adalah partisipasi “user”. Sebagai gambaran, sekalipun sudah menggunakan program antivirus terkenal, suatu jaringan komputer dengan mudah akan terinfeksi virus jika usernya sering mengunjungi website porno atau crack. Sebaliknya, user yang menggunakan antivirus gratisan sekalipun akan lebih jarang terinfeksi virus jika menerapkan kebiasaan sekuriti yang baik seperti tidak sembarangan melakukan full sharing, berhati-hati dalam melakukan browsing dst.
Sebenarnya hal ini disadari sekali praktisi sekuriti oleh bank penyelenggara internet bankingpun sudah melakukan pengamanan yang memadai, salah satunya adalah dengan mengimplementasikan token (T-FA two factor authentication). Tetapi tetap saja user merupakan titik terlemah dalam sekuriti karena sudah menjadi hukumnya bahwa manusia itu unik dengan 1001 kebiasaan dan latar belakang yang berbeda. Selain itu, sesuai hukum piramida, persentase user internet banking yang tidak paham / perduli sekuriti jauh lebih besar dari jumlah user yang paham / perduli sekuriti.
DNS cache poisoning dan website forging (Phising)
Salah satu teknik yang patut diwaspadai dalam berpotensi menembus pertahanan internet banking dengan pengamanan Token adalah DNS cache poisoning dan website forging. Website forging adalah pemalsuan website yang dibuat sedemikian rupa sehingga pengakses percaya bahwa website palsu yang diaksesnya adalah benar website bank yang bersangkutan dan aman untuk melakukan transaksi.
DNS cache poisoning (DNS poisoning) adalah teknik “meracuni” DNS Server untuk mengelabui pengguna internet untuk percaya bahwa website “palsu” yang diaksesnya (yang dibuat benar-benar menyerupai website asli) adalah website asli. Tetapi tentunya anda akan langsung bertanya, lho bukankah DNS tersebut dimaintain oleh ISP dan tentunya dalam waktu singkat aksi DNS poisoning ini terdeteksi dan dimentahkan.
DNS yang dimaksud adalah DNS poisoning pada sasaran yang lebih kecil, tetapi tidak kalah berbahaya dalam DNS pada komputer user. OS komputer (baik XP maupun Vista) memiliki file “Host” yang berfungsi sebagai “DNS server” bagi komputer yang bersangkutan. Jika file host tersebut berhasil dimanipulasi, maka dengan mudah setiap akses ke website internet banking akan diarahkan ke website palsu yang sudah di program sedemikian rupa sehingga dapat mengelabui pengguna internet banking ketika melakukan transaksi internet banking.
Jika kita melihat sekilas kelihatannya pengamanan Token ini sangat aman dan PIN internet banking yang berbeda untuk setiap pengguna, berubah setiap kali (one time Password) sehingga sangat sulit diketahui kecuali mendapatkan rumusannya dan memang hanya pemilik Token dan server internet banking yang mengetahui PIN sehingga “hampir” tidak mungkin untuk mengetahui PIN tersebut. Jangankan orang lain, pemilik Token saja kalau lupa PIN Tokennya, sudah tidak ada harapan untuk berinternet banking lagi.
Tetapi dengan DNS poisoning dan website forging / phising ini, kriminal tidak perlu mengetahui PIN dan pengguna internet banking yang akan memasukkan semua data, baik username, password, account confirmation PIN dan one time PIN.
Secara teknis, manipulasi Host file Windows sangat mudah dan banyak dilakukan oleh virus-virus lokal yang beredar di Indonesia.
Tools yang paling sering digunakan untuk menembus perlindungan internet banking adalah malware. Seperti kita ketahui, ada program berbahaya yang untuk merekam semua ketukan keyboard komputer yang nasabah internet banking lakukan pada keyboard, yaitu key logger. Dengan key logger, semua ketukan keyboard yang anda lakukan akan direkam dan biasanya dimasukkan pada trojan horse yang menumpang pada game, virus atau program gratisan yang anda download dari internet.
Lalu ada beberapa bank yang menggunakan papan keyboard virtual yang muncul di layar komputer dengan susunan huruf dan angka yang berubah-ubah setiap kali tampil dan nasabah memasukkan data / pin dengan mengklik huruf atau angka yang terpampang di keyboard virtual menggunakan mouse. Dengan trojan horse yang sama, kriminal dengan mudah melakukan screen capture (Print Screen) sehingga dapat mengetahui susunan keyboard virtual yang muncul setiap kali dan dengan menganalisa waktu dan koordinat-koordinat dimana mouse di klik oleh user nasabah dengan mouse pada keyboard virtual akan dapat diketahui.
Karena itu, salah satu perlengkapan yang harus dimiliki oleh nasabah internet banking (must have) adalah program antivirus dan antispyware yang handal yang mampu mendeteksi keylogger dan trojan horse yang berbahaya.
Jika kriminal berhadapan head to head dengan server internet banking. Server tersebut dijaga dengan berbagai pertahanan, firewall, team pemantau aktivitas etc. Namun, tergantung tujuannya, apakah ingin membobol server internet banking atau “mendapatkan uang” dari nasabah internet banking. Kalau tujuannya membobol server internet banking, hal tersebut tidak dibahas disini karena hanya komunitas hacker tertentu dengan skill yang diatas rata-rata yang memiliki kemampuan dan jaringan untuk melakukan hal tersebut.
Namun jika tujuannya adalah mendapatkan uang dari rekening internet banking, maka pameo “pick enemy your own size” berlaku. Jadi, kriminal akan memilih lawan dengan pertahanan yang lebih lemah dari server internet banking di bank.
Seperti kita ketahui, dalam penerapan sekuriti, salah satu hal kunci dalam keberhasilan penerapan sekuriti adalah partisipasi “user”. Sebagai gambaran, sekalipun sudah menggunakan program antivirus terkenal, suatu jaringan komputer dengan mudah akan terinfeksi virus jika usernya sering mengunjungi website porno atau crack. Sebaliknya, user yang menggunakan antivirus gratisan sekalipun akan lebih jarang terinfeksi virus jika menerapkan kebiasaan sekuriti yang baik seperti tidak sembarangan melakukan full sharing, berhati-hati dalam melakukan browsing dst.
Sebenarnya hal ini disadari sekali praktisi sekuriti oleh bank penyelenggara internet bankingpun sudah melakukan pengamanan yang memadai, salah satunya adalah dengan mengimplementasikan token (T-FA two factor authentication). Tetapi tetap saja user merupakan titik terlemah dalam sekuriti karena sudah menjadi hukumnya bahwa manusia itu unik dengan 1001 kebiasaan dan latar belakang yang berbeda. Selain itu, sesuai hukum piramida, persentase user internet banking yang tidak paham / perduli sekuriti jauh lebih besar dari jumlah user yang paham / perduli sekuriti.
DNS cache poisoning dan website forging (Phising)
Salah satu teknik yang patut diwaspadai dalam berpotensi menembus pertahanan internet banking dengan pengamanan Token adalah DNS cache poisoning dan website forging. Website forging adalah pemalsuan website yang dibuat sedemikian rupa sehingga pengakses percaya bahwa website palsu yang diaksesnya adalah benar website bank yang bersangkutan dan aman untuk melakukan transaksi.
DNS cache poisoning (DNS poisoning) adalah teknik “meracuni” DNS Server untuk mengelabui pengguna internet untuk percaya bahwa website “palsu” yang diaksesnya (yang dibuat benar-benar menyerupai website asli) adalah website asli. Tetapi tentunya anda akan langsung bertanya, lho bukankah DNS tersebut dimaintain oleh ISP dan tentunya dalam waktu singkat aksi DNS poisoning ini terdeteksi dan dimentahkan.
DNS yang dimaksud adalah DNS poisoning pada sasaran yang lebih kecil, tetapi tidak kalah berbahaya dalam DNS pada komputer user. OS komputer (baik XP maupun Vista) memiliki file “Host” yang berfungsi sebagai “DNS server” bagi komputer yang bersangkutan. Jika file host tersebut berhasil dimanipulasi, maka dengan mudah setiap akses ke website internet banking akan diarahkan ke website palsu yang sudah di program sedemikian rupa sehingga dapat mengelabui pengguna internet banking ketika melakukan transaksi internet banking.
Jika kita melihat sekilas kelihatannya pengamanan Token ini sangat aman dan PIN internet banking yang berbeda untuk setiap pengguna, berubah setiap kali (one time Password) sehingga sangat sulit diketahui kecuali mendapatkan rumusannya dan memang hanya pemilik Token dan server internet banking yang mengetahui PIN sehingga “hampir” tidak mungkin untuk mengetahui PIN tersebut. Jangankan orang lain, pemilik Token saja kalau lupa PIN Tokennya, sudah tidak ada harapan untuk berinternet banking lagi.
Tetapi dengan DNS poisoning dan website forging / phising ini, kriminal tidak perlu mengetahui PIN dan pengguna internet banking yang akan memasukkan semua data, baik username, password, account confirmation PIN dan one time PIN.
Secara teknis, manipulasi Host file Windows sangat mudah dan banyak dilakukan oleh virus-virus lokal yang beredar di Indonesia.
Tidak ada komentar:
Posting Komentar