Mengkaji Ulang 'Satpam' Internet Banking

Jakarta - Keberhasilan jajaran kepolisian mengungkap dua pelaku kejahatan perbankan dari Ukraina, Olexsandr Sulima dan Dmitry Gryadskiy, awal pekan ini sangat patut diapresiasi.

Dua orang ini diduga merupakan sindikat internasional pelaku kejahatan finansial yang menyasar pengguna layanan internet banking, membuat FBI bahkan bekerjasama dengan Polri mendalami kasus ini. Kerugian hingga saat ini dilaporkan mencapai Rp 40 miliar. Modusnya memodifikasi transaksi nasabah dan kemudian membelokkan transaksi ke rekening lain.

Kasus ini bukan yang pertama terjadi di Indonesia. Sebelumnya, April lalu, sempat marak kasus serangan sinkronisasi token internet banking yang menimpa beberapa nasabah Bank Mandiri dan BCA, sehingga penulis tertarik mengulasnya di detikINET beberapa waktu lalu.

Saat itu, Polri mengungkap kerugian yang ditimbulkan mencapai Rp 120 miliar yang kemudian dikoreksi oleh BI dan OJK menjadi kurang lebih Rp 5 miliar. Berikutnya, kita juga menemui kasus pengalihan tujuan transaksi internet banking yang menimpa dua nasabah Bank Mandiri cabang Bengkulu.

Berkaca seluruh kasus tersebut, kita patut menduga bahwa pada dasarnya pelaku mengeksploitasi titik kerawanan yang sama yakni kelemahan di sisi nasabah. Lebih jauh lagi, penulis juga mengamati adanya perbedaan mendasar antara serangan sinkronisasi token dengan serangan-serangan berikutnya.

Dalam serangan sinkronisasi token, nasabah diminta melakukan suatu prosedur yang jauh berbeda dengan prosedur transaksi normal, yaitu meminta nasabah menjawab challenge token untuk keperluan sinkronisasi. Untuk kasus-kasus berikutnya, nasabah hanya menjalankan prosedur mutasi rekening normal yang belakangan diketahui ternyata mengarah ke rekening lain tanpa sepengetahuan nasabah.

Dari fakta ini, tampak bahwa metode serangan selalu berevolusi. Karena itulah, kita perlu mengidentifikasi pola dasar serangan yang terjadi guna merumuskan langkah mitigasi yang efektif.

Modus Serangan Internet Banking

Bagaimana sebenarnya modus serangan tersebut? Benarkah bahwa serangan virus merupakan pangkal mula dari serangan ini? Hal Ini penting untuk kita jawab. Kesalahan dalam mengidentifikasi pola dasar serangan akan berlanjut langkah mitigasi yang juga keliru.

Untuk mengubah detil transaksi dan sekaligus membelokkan tujuan mutasi rekening, penyerang harus menerapkan teknik serangan yang dikenal sebagai man-in-the-middle-attack (MITM). Prinsip MITM dalam kasus ini adalah penyerang harus dapat mencegat jalur komunikasi antara terminal milik nasabah dan server internet banking sebelum pengamanan https terbentuk.

Dengan demikian, praktis seluruh komunikasi di jalur tersebut dapat disadap dan bahkan dimodifikasi oleh penyerang. Untuk menerapkan MITM, penyerang dapat menularkan virus ke PC pengguna. Virus ini akan menyisipkan tabel routing di PC pengguna untuk membelokkan koneksi ke server penyerang. Selanjutnya, server penyerang inilah yang akan memodifikasi dan menyadap komunikasi antara terminal pengguna dan server internet banking.

Cara lain, virus ini tertanam di browser pengguna dan secara langsung menyadap dan memodifikasi detil transaksi tanpa harus membelokkan trafik ke server lain.

MITM juga dapat diterapkan dengan cara melakukan menyerang DNS (DNS poisoning) atau menanamkan tool ke dalam server proxy. Dengan skenario serangan ini, bahkan PC yang bersih dari virus sekalipun tetap dapat terkena MITM.

Sementara itu, beberapa pihak menyatakan bahwa desain keamanan internet banking sebenarnya relatif kuat karena sudah menerapkan berbagai persyaratan keamanan yang ditetapkan BI. Serangan yang terjadi tidak dilakukan dengan memanfaatkan lubang keamanan di sistem internet banking, namun dilakukan dengan mengeksploitasi kelemahan di sisi nasabah.

Menurut penulis, pernyataan ini kurang tepat. Untuk menilai kondisi keamanan sistem secara obyektif, kita perlu mengungkap terlebih dulu asumsi atau persyaratan dasar apa saja yang menjadi sandaran keamanan sistem ini.

Sistem keamanan internet banking saat ini, yang menggunakan protokol https dan OTP-token (one time password - token), dapat secara efektif menangkal serangan hanya jika terminal (PC, smartphone, tablet) milik nasabah bersifat trusted.

Trusted dalam kasus ini berarti bahwa: (1) tidak ada kode jahat dalam terminal nasabah yang dapat membelokkan koneksi ke server penyerang dan sekaligus menggagalkan terbentuknya protokol https antara terminal nasabah dan server internet banking, atau (2) tidak ada kode jahat dalam terminal yang dapat memanipulasi data yang diinput ataupun yang ditampilkan lewat layar ke nasabah.

Berdasarkan penjelasan sebelumnya, perlu setidaknya satu asumsi lagi yaitu (3) DNS yang digunakan bersifat trusted yakni tidak terkena DNS-poisoning, atau jika menggunakan proxy maka proxy ini juga trusted, yaitu tidak mengandung tool jahat yang dapat digunakan untuk melancarkan MITM.

Jika seluruh tiga syarat atau asumsi ini terpenuhi, maka kita dapat menyatakan bahwa protocol https dan mekanisme OTP-token masih cukup efektif menangkal serangan MITM. (Bersambung)

*) Penulis, Dr. Budi Sulistyo, CISA adalah Security Expert dari Lembaga Riset Telematika Sharing Vision, Bandung. Dapat dihubungi pada surel di budi@sharingvision.biz.

(ash/ash)