Sinkronisasi Token

16 April 2015
Sinkronisasi Token
(Artikel Info Komputer 1/3)
Internet memberikan banyak kemudahan bagi kehidupan manusia. Khususnya untuk dunia perbankan, internet memungkinkan nasabah melakukan transaksi keuangan (non tunai) seperti mengecek saldo, membeli pulsa isi ulang, membayar belanja atau tagihan atau transfer ke rekening bank lain tanpa perlu beranjak dari meja kerjanya dan hanya bermodalkan komputer atau smartphone. Lebih hebatnya lagi layanan ini tersedia selama 24 jam sehari (diluar waktu maintenance server). Bagi bank, internet banking memberikan penghematan luar biasa karena investasi yang diperlukan untuk mengadakan layanan internet banking memungkinkan layanan perbankan menjangkau jutaan pengguna yang memiliki akses ke internet dalam waktu singkat tanpa perlu melakukan investasi membuka kantor cabang fisik dan menghemat biaya tenaga kerja karena tidak perlu adanya teller yang melayani transaksi nasabah. Semua dilakukan oleh nasabah dari komputer atau smartphonenya. Tentunya pengamanan akses nasabah ke server internet banking menjadi perhatian utama dan selama ini pengamanan T-FA atau Two Factor Authentication yang mengandalkan token dan OTP One Time Password dijadikan sebagai pengaman utama dan secara teknis sangat sulit untuk diretas oleh kriminal.

Berbagai macam cara dicoba oleh kriminal untuk mengeksploitasi pengamanan internet banking dimana teknik yang paling sering digunakan adalah teknik phishing dimana nasabah dialihkan ke server internet banking palsu, karena itulah bank selalu menyarankan kepada nasabah untuk memastikan kalau alamat situs internet banking yang diaksesnya sudah benar, kalau perlu di simpan di favorite dan jangan mengklik dari tautan yang diberikan pihak ke tiga baik dari email maupun dari situs lain. Sebenarnya, sekalipun nasabah sudah berhasil ditipu untuk mengakses situs palsu, kriminal tetap mengalami kendala dalam eksploitasi ini karena ia membutuhkan OTP One Time Password yang hanya diketahui oleh token internet banking yang dimiliki nasabah dan server pengelola password internet banking yang terlindungi dengan baik di bank. Karena itu, kriminal lalu mencari teknik baru untuk mengeksploitasi pengamanan yang selama ini terbukti baik dan teknik yang baru-baru ini digunakan pada awal tahun 2015 adalah Sinkronisasi Token.


Sinkronisasi Token

Sinkronisasi Token sebenarnya adalah proses untuk menyamakan waktu token dengan waktu server PIN internet banking. Seperti kita ketahui, pengamanan OTP One Time Password yang dihasilkan oleh token internet banking berbasiskan waktu. Jadi PIN yang diberikan oleh Token internet banking anda hanya berlaku untuk waktu yang telah ditentukan. Jika waktu yang telah ditentukan untuk PIN sudah terlampaui, sekalipun PIN tersebut belum digunakan, maka PIN tersebut akan hangus atau tidak bisa digunakan untuk otorisasi transaksi. Namun untuk itu, jam pada token dan server PIN harus sinkron, karena kalau tidak maka PIN yang dihasilkan oleh Token akan ditolak oleh server PIN. Proses penyamaan itulah yang dinamakan sinkronisasi token. Rupanya hal iniyang dimanfaatkan oleh kriminal yang sebelumnya sudah berhasil menanamkan trojan pada komputer korban internet banking dengan memaksakan nasabah melakukan sinkronisasi token padahal tujuannya adalah untuk mendapatkan PIN token untuk melakukan transaksi internet banking fraud. Hebatnya, kali ini aksi dilakukan tidak pada situs palsu / phishing dan dilakukan pada situs internet banking yang sah dengan alamat yang asli dan terlindungi oleh enkripsi yang asli lengkap dengan gambar gembok dan akses https. Tentunya hal ini membingungkan nasabah dan banyak korban yang percaya dan menuruti proses sinkronisasi token yang diminta karena melihat bahwa situs yang meminta adalah situs sah dan bukan phishing. Rahasianya adalah “load inject script” yang diinjeksikan pada peramban korban dimana ia akan memunculkan layar tambahan / pop up yang sebelumnya sudah dirancang sedemikian rupa dengan desain dan warna yang sangat mirip dengan desain situs internet banking yang di eksploitasinya. Meskipun secara jumlah dapat dikatakan persentasenya tidak besar, perhitungan matematika yang simpel digunakan, berdasarkan data infeksi trojan internet banking dunia yang paling populer di bulan Maret 2015 ada sekitar 3.000 komputer di Indonesia yang terinfeksi GoZ dan diasumsikan 10 % dari komputer tersebut berhasil di eksploitasi maka hanya sekitar 300 komputer yang di eksploitasi. Dibandingkan pengguna internet banking yang jumlahnya jutaan, jumlah insiden ini kurang dari 0.003 % pengguna internet banking. Namun, jangan dilupakan bahwa bisnis bank adalah bisnis kepercayaan dan sekalipun uang nasabah yang menjadi korban fraud dikembalikan sepenuhnya oleh bank dengan kata lain kerugian atas fraud ini diserap oleh bank, namun apakah nasabah mau uang yang ada di rekening hasil keringat dan membanting tulang mendadak hilang dan nasabah harus mengharapkan “belas kasihan” atau “kebaikan hati” bank untuk menggantikan jika anda menjadi korban fraud. Itu pun dengan catatan kalau bank sudah melakukan investigasi dan menyimpulkan bahwa insiden ini memang bukan kesalahan nasabah. Karena itu tentu lebih baik nasabah juga berhati-hati dan melakukan langkah pengamanan dan pencegahan yang diperlukan.

Sebaliknya, bank sebagai penyedia layanan keuangan juga perlu melakukan langkah antisipasi yang diperlukan karena secara teknis komputer yang diserang dalam hal ini bukan komputer bank, melainkan komputer nasabah yang notabene di luar jangkauan bank dan bukan menjadi tanggung jawab bank untuk mengamankannya. Di samping itu, satu hal yang cukup mengkhawatirkan adalah sistem administrasi kependudukan di Indonesia yang kurang baik di mana tidak sulit untuk membuat KTP lebih dari satu, hal ini mempermudah kriminal untuk membuka rekening guna penampungan uang hasil kejahatannya.

Membuat jaringan malware dan pemanfaatan malware bagi kalangan tertentu sudah menjadi suatu bisnis, mirip investasi yang ingin balik modal. Bisnis ini termasuk high gain moderate risk. Berbeda dengan bisnis narkoba yang sifatnya high gain high risk yang terkadang bisa menyebabkan pelakunya mendapatkan hukuman mati. Kalau kriminal malware paling banter ditangkap dan masuk penjara, sejauh ini masih belum terdengar kriminal cyber yang mendapatkan hukuman mati. Hal ini tentu membuat para kriminal makin getol menjalankan aksinya

Pembuat malware harus melakukan targeted malware effort, jadi ada investasi yang dilakukan dalam coding seperti membuat script / coding eksploitasi dan terkadang melakukan kostumasi. Maksudnya script dan image untuk eksploitasi internet banking bank A tidak bisa 100 % langsung digunakan untuk eksploitasi bank B karena adanya perbedaan nama, tampilan, logo dan lainnya sehingga eksploitasi untuk setiap bank membutuhkan gambar pendukung dan logo yang berbeda. Hal ini tentu meningkatkan biaya implementasi malware dan hal ini akan makin memotivasi kriminal untuk mendapatkan keuntungan semaksimal mungkin. Kriminal tentunya akan mengincar pengguna internet banking dalam jumlah besar dan kemungkinan besar bank dengan pengguna internet banking kecil akan kurang menarik dibandingkan dengan bank dengan pengguna internet banking besar, khususnya market leader atau big 5. Salah satu keuntungan yang dimiliki kriminal yang berhasil menanamkan trojan pada pengguna interent banking adalah login untuk mengecek saldo dan mutasi transaksi pada banyak penyedia internet banking tidak membutuhkan OTP dan dengan bermodalkan data yang didapatkan oleh keylogger yang ditanamkannya kriminal bisa melakukan pengecekan terlebih dahulu atas korbannya dan memilih korban dengan dana yang besar.


Bersambung pada tulisan ke tiga. Antisipasi Nasabah dan Bank menghadapi fraud Interent banking
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: