Phishing

Phising adalah tindakan meminta pengguna untuk mengungkapkan informasi rahasia dengan cara mengirimkan pesan penting palsu, dapat berupa e-mail, atau komunikasi elektronik lainnya. Pesan palsu tersebut tampak seperti sungguhan dan meminta korban untuk segera mengirimkan informasi tertentu. Dalam melakukan phishing, pelaku biasanya melakukan hal-hal antara lain:

• Mengirimkan pesan melalui e-mail, SMS, halaman web, atau media komunikasi elektronik lainnya kepada calon korban yang menjadi targetnya.
• Meminta informasi personal yang sensitif, seperti user ID, password/PIN, nomor kartu kredit, masa berlaku kartu kredit.
• Memberikan batasan waktu yang singkat. Penjahat mengarahkan korban melakukan tindakan sebelum memikirkannya secara mendalam, sehingga mereka menciptakan suasana kegentingan dan menginformasikan konsekuensi buruk jika tidak ditindaklanjuti.

Selain ketiga hal di atas, suatu phishing dapat juga ditandai dengan adanya kesalahan ketik dan gaya bahasa yang kurang baik. Pesan phishing biasanya tidak melalui proses review dan editing yang baik, bahkan tidak jarang berupa terjemahan kasar dari bahasa asing. Namun demikian, sangat dimungkinkan bahwa pesan phishing menggunakan gaya bahasa yang baik untuk membuat nasabah merasa lebih yakin dan percaya bahwa pesan tersebut seolah-oleh merupakan pesan resmi dari bank. Sebagai contoh, pelaku akan mengirimkan pesan bahwa saat ini sedang terjadi pemeliharaan server untuk transaksi internet banking sehingga nasabah diminta untuk memasukkan data-data sensitif dan penting. Apabila nasabah tidak memasukkan, maka rekening nasabah tersebut akan menjadi tidak aktif dan tidak dapat digunakan. Hal-hal yang dapat dilakukan untuk meminimalisir bahaya phishing, antara lain:

• Jangan pernah mengirimkan informasi sensitif melalui e-mail. Perlu diketahui bahwa bank tidak akan meminta informasi sensitif melalui e-mail atau sarana elektronis lainnya yang tidak aman.
• Menggunakan anti virus yang terkini.
• Jangan mengklik link apapun pada pesan (e-mail) yang terindikasi phishing.
• Mengkonfirmasikan kepada pihak bank melalui call center yang resmi jika ada permintaan yang mencurigakan.
• Jangan pernah memasukkan user ID dan password pada suatu halaman web yang terbuka otomatis (pop up) atau dari link. Ketiklah alamat halaman web yang akan dibuka.
• Hati-hati mengunduh attachment e-mail karena dapat berisi virus/malware yang dapat mencuri data sensitif.

Malware

Malware adalah teknik pembobolan rekening internet banking dengan memanfaatkan software jahat (malware) yang telah menginfeksi browser internet nasabah. Malware tersebut dapat melakukan beberapa hal sesuai keingingan pembuatnya, misalnya:

• Mencuri data user ID dan password nasabah,
• Mengambil alih koneksi nasabah ke bank lalu memasukkan transaksi pemindahbukuan / transfer dari rekening nasabah ke rekening pelaku, dan
• Mengganti halaman web di browser nasabah sesuai keinginan pelaku. Dalam melakukan Malware, pelaku menggunakan beberapa langkah, antara lain:
  • Menyediakan program malware pada alamat web tertentu. Jika nasabah membuka web atau mengunduh sesuatu (software, gambar, video, dll) dari web tersebut, maka malware akan masuk ke komputer nasabah.
  • Setelah malware terinstal di komputer nasabah, malware tersebut merekam apa saja yang diketik oleh nasabah sehingga pelaku bisa mendapatkan data user ID dan password internet banking nasabah.
  • Malware mengambil alih koneksi internet banking milik nasabah lalu memasukkan transaksi sesuai keinginan pelaku, misalnya transfer dari rekening nasabah ke rekening pelaku.
  • Jika internet banking dilengkapi dengan otentikasi token, malware mengirimkan pesan palsu kepada nasabah, meminta kode token kepada nasabah dengan alasan, misalnya: sinkronisasi token.

Hampir seluruh proses malware bersifat transparan, berjalan di belakang layar, dan tidak dapat dilihat atau dirasakan oleh nasabah. Satu-satunya proses yang dapat dirasakan oleh nasabah adalah pada saat pelaku (malware) melakukan phishing, antara lain:

• Menampilkan layar pop up yang menginformasikan antara lain bank penyelenggara internet banking sedang melakukan pemeliharaan sistem atau data nasabah (misalnya sinkronisasi token).
• Meminta nasabah memasukkan kode token (one time password / OTP). Kode token tersebut digunakan oleh pelaku untuk menjalankan transaksi di internet banking nasabah.

Salah satu cara yang dapat digunakan nasabah sebagai tanda untuk lebih waspada yaitu adanya notifikasi melalui e-mail dari bank yang menginformasikan transaksi tertentu meskipun nasabah tidak melakukannya, misalnya informasi pendaftaran rekening tujuan transfer, informasi pendaftaran transaksi tunda, dan informasi transaksi berhasil dijalankan.

Hal-hal yang dapat dilakukan untuk meminimalisir bahaya Malware, antara lain:

• Menggunakan komputer pribadi dan jaringan yang terpercaya untuk mengakses layanan internet banking. Sebaiknya menghindari penggunaan komputer publik, misalnya di warnet, dan/atau jaringan yang tidak terpercaya, misalnya wifi access point yang disediakan oleh kafe atau toko di pusat perbelanjaan.
• Melengkapi komputer pribadi dengan anti virus yang terkini.
• Menghindari akses ke dan/atau mengunduh file dari alamat web yang tidak terpercaya.
• Mewaspadai permintaan informasi yang tidak wajar, misalnya permintaan untuk memasukkan kode token melalui layar pop up.
• Segera menindaklanjuti dengan menghubungi call center resmi apabila terdapat notifikasi dari bank mengenai adanya aktivitas pada rekening sementara nasabah tidak pernah melakukan hal tersebut.

Typosite

Typosite pada layanan internet banking adalah membuat halaman web yang alamatnya mirip dengan halaman web internet banking suatu bank. Tujuannya untuk menjebak nasabah agar memasukkan user ID, password, dan informasi rahasia lainnya pada halaman web palsu tersebut. Selanjutnya, informasi rahasia yang telah diperoleh, digunakan oleh pelaku untuk mengakses halaman web yang sebenarnya. Halaman web yang dibuat oleh pelaku sangat mirip dengan halaman web internet banking bank sehingga nasabah sulit mengenali kejahatan ini, namun biasanya halaman web tersebut tidak terkini dan tidak dapat merespon secara interaktif, misalnya menampilkan ucapan selamat dating dengan menyebut nama lengkap nasabah. Halaman web palsu tidak dapat menampilkan nama lengkap nasabah karena pelaku tidak memiliki informasinya. Dalam typosite, cara yang digunakan oleh pelaku, antara lain:

• Membuat situs yang namanya mirip dengan alamat web suatu bank. Setiap orang dapat menamai situsnya dengan nama apapun sepanjang belum ada yang menggunakannya. Misalnya, situs resminya adalah www.ibanking-bankABC. com, sementara situs palsunya adalah www.ibank-bankABC. com, www.ibanking-ACBbank.com, dan sebagainya.
• Menunggu hingga ada nasabah yang salah ketik sehingga masuk ke halaman web tersebut.
• Mencatat/merekam user ID dan password yang dimasukkan oleh nasabah.
• Menggunakan user ID dan password untuk membobol akun internet banking nasabah di situs yang resmi.

Jika internet banking dilengkapi dengan OTP, pelaku biasanya menggunakan teknik phishing untuk mendapatkan kode OTP, yaitu mengirimkan pesan disertai ancaman sehingga nasabah memberikan informasi OTP ke pelaku melalui halaman web palsu tersebut. Pelaku dapat juga menunggu hingga nasabah melakukan transaksi tertentu, misalnya transfer keluar, lalu mengubah pesan (challenge code) sesuai kebutuhan pelaku, menangkap OTP yang dimasukkan oleh nasabah, dan menggunakan OTP tersebut untuk menjalankan transaksi pelaku di halaman web resmi.

Hal-hal yang dapat dilakukan untuk meminimalisir bahaya typosite, antara lain:

• Selalu memeriksa kembali ejaan nama situs, jangan sampai ada kesalahan ketik, termasuk penggunaan sImbol.
• Mengklik View Certificate untuk melihat rincian sertifikat dan memastikan apakah alamat web dapat dipercayai. Jika keluar pesan warning mengenai sertifikat saat mengakses server internet banking, lebih baik tidak jadi mengakses situs tersebut atau mengecek ulang nama situs yang telah ketikkan.
• Menghentikan aktivitas transaksi jika merasa ada yang ganjil pada halaman web yang sedang diakses. Selanjutnya,tanyakan hal tersebut ke call center bank yang resmi.
• Membuat short cut atau menyimpan alamat situs resmi internet banking pada browser (bookmark) sehingga nasabah dapat menggunakan short cut dan bookmark tersebut untuk meminimalkan kesalahan pengitikan alamat situs internet banking.

Keylogger

Keylogger adalah suatu perangkat yang dipasang di antara keyboard dan CPU, digunakan untuk merekam apapun yang diketikkan oleh nasabah di keyboard. Tujuannya adalah untuk mendapatkan user ID dan password nasabah. Meskipun saat mengetikkan password yang tampil di layar hanyalah ‘*****’, namun isi password tersebut tetap dapat terekam dan terbaca oleh pelaku. Hasil rekamannya dapat dikirimkan melalui e-mail kepada pelaku atau dapat juga di-copy langsung dari perangkat keylogger. Seiring dengan perkembangan teknologi, keylogger dapat berupa software yang terinstal di komputer nasabah.

Hal-hal yang dapat dilakukan untuk meminimalisir bahaya keylogger, antara lain:

• Memastikan bahwa komputer yang digunakan aman dari perangkat keylogger
• Menghindari penggunaan komputer publik, seperti di warnet, bandara, dan kafe.
• Menghentikan aktivitas transaksi jika merasa ada yang ganjil pada komputer yang sedang diakses.
• Berhati-hati dalam mengunduh dan/atau menginstal software.

disadur dari bijak ber-ebanking-ojk