Evaluasi Pengamanan Internet Banking Bisnis 4 Bank Besar Indonesia

05 Mei 2014
Evaluasi Pengamanan Internet Banking Bisnis 4 Bank Besar Indonesia
Ibarat Coke Bottle yang disukai banyak orang. Pengguna internet banking jelas menjadi calon mangsa paling disenangi kriminal cyber. Jika berhasil menembus pengamanan transaksi internet banking, sudah pasti pemilik akun yang menjadi korban akan mengalami Heart Attack. Namun kali ini serangan jantungnya bukan karena masalah cinta tetapi karena masalah ekonomi alias saldo banknya Frozen alias dikuras habis. Dan untuk mencegah korban kejahatan perbankan pasrah sambil bernyanyi Let It Go.... Let It Go bank penyedia jasa internet banking sangat berhati-hati dalam memberikan pengamanan transaksi internet bankingnya dan menjaga server dengan sangat ketat 24 jam sehari. Lalu sejauh mana pengamanan yang dilakukan oleh kalangan perbankan ini bisa melindungi nasabahnya ? Vaksincom melakukan riset kecil membandingkan pengamanan transaksi yang dilakukan oleh beberapa bank besar penyedia jasa internet banking di Indonesia. Dalam percobaan ini Vaksincom melakukan transaksi internet banking pada internet banking bisnis beberapa bank papan atas Indonesia yang menurut catatan Vaksincom merupakan 4 bank yang paling diminati oleh kriminal cyber termasuk pemilik toko online abal-abal.


Dalam mengamankan transaksi internet banking, bank melakukan pengamanan berlapis dan semua bank yang dites semuanya sudah menggunakan enkripsi RSA2048 bit untuk mengamankan data yang dikirimkan dari browser ke server internet banking. Dengan enkripsi 2048 bit yang secara teori membutuhkan milyaran tahun untuk dipecahkan oleh bruteforce tingkat lanjut sehingga secara teknis lalu lintas data transaksi internet banking aman dari resiko kebocoran akibat penyadapan. Lucunya, ada satu bank (Bank C) yang selain melindungi dengan enkripsi juga memberikan perlindungan tambahan dengan mewajibkan koneksi VPN Virtual Private Network untuk mengamankan lalu lintas data. Sebenarnya tanpa pengamanan tambahan dengan VPN pun lalu lintas data antar klien dengan server internet banking sudah sangat memadai. Malahan tambahan VPN ini berpotensi menambah masalah teknis dan mempersulit nasabah awam untuk mengakses layanan internet banking dengan mudah. Salah satu sebabnya adalah karena terkadang muncul masalah kompatibilitas antara piranti lunak komputer yang digunakan dengan aplikasi VPN yang digunakan. Dalam prakteknya hal ini diatasi oleh bank tersebut dengan akses VPN menggunakan alamat internet tertentu yang telah dipersiapkan, namun sebenarnya terjadi pengamanan berganda.


Login dengan OTP One Time Password

Walaupun semua bank sudah mengimplementasikan TFA Two Factor Authentication dan OTP One time Password untuk melindungi transaksi internet bankingnya, apalagi untuk internet banking bisnis (korporat) yang diposisikan untuk perusahaan dan berpotensi mengalami kerugian finansial lebih besar dibandingkan dengan rekening perorangan jika terjadi fraud. Namun implementasi OTP pada saat login pertama kali ke akun internet banking binis hanya diterapkan oleh bank C. Tiga bank lainnya tidak menerapkan OTP pada login pertama kali dan hanya mengandalkan kredensial username dan password yang bisa dipakai berulang-ulang. Sebanyak apapun kredensial yang diminta, jika dipakai berulang terkandung resiko kredensial bocor cukup besar. Khususnya jika komputer pengguna internet banking tertanam trojan yang akan merekam semua ketukan keyboard dan mengirimkan informasi ini kepada kriminal sehingga tanpa memerlukan token kriminal bisa mengakses akun dan informasi akun koporat namun TIDAK BISA melakukan transaksi finansial karena untuk melakukan hal ini membutuhkan TFA.

Resiko terbesar dari kebocoran ini adalah kebocoran informasi transaksi akun perusahaan seperti sisa saldo akun, sejarah transaksi, mutasi dan kegiatan non transaksional lainnya. Namun kebocoran data transaksi tentunya bermuatan informasi yang jika jatuh ke tangan yang salah akan berpotensi untuk disalahgunakan. Karena itu cukup penting untuk para penyedia internet banking untuk mengimplementasikan OTP pada saat login pertama kali. Dengan implementasi OTP pada login, tingkat keamanan terhadap akses ilegal ke akun meningkat. Bahkan jika pemilik akun melakukan login dari komputer umum yang tertanam trojan sekalipun akan tetap terlindung dari akses ilegal karena password login yang digunakannya hanya bisa dipakai satu kali alias berubah setiap kali login. Dalam hal ini, pengamanan bank C lebih baik setingkat dari 3 bank lainnya karena implementasi loginnya mengharuskan penggunaan TFA / token.


Extended Validation

Satu hal yang paling ditakuti oleh pengguna internet banking adalah ia mengunjungi situs internet banking palsu yang dirancang sedemikian rupa sangat mirip dengan situs internet banking aslinya. Pengamanan sertifikasi keamanan yang banyak digunakan saat ini oleh bank DV Domain Validated masih belum mengakomodir resiko ini. Otoritas penerbit sertifikat keamanan dalam sertifikasi kemanan DV pada umumnya hanya melakukan pengecekan ke data whois untuk memastikan kalau nama orang yang meminta sertifikat keamanan sama dengan yang tercantum di Whois. Bahkan banyak proses penerbitan sertifikat DV terjadi secara otomatis oleh mesin dan tidak melibatkan manusia, alasan utamanya adalah biaya penerbitan DV yang sangat murah. Masalahnya adalah informasi di Whois sifatnya sukarela dan tidak ada keharusan bagi registrar (perusahaan pendaftar domain) untuk mengecek keabsahannya data pemilik domain. Malahan sebaliknya registrar berkepentingan menjual sebanyak mungkin nama domain dan cenderung memudahkan pemilikan domain termasuk memudahkan administrasi data domain / Whois.

Hal ini sebenarnya sudah coba diperbaiki dengan keluarnya sertifikasi OV Organization Validation, yang menambahkan beberapa prosedur penunjang untuk memastikan keabsahan pemilik domain lebih detail. Namun masalahnya, bagi pengguna komputer awam sertifikat DV dan OV secara kasat mata tidak bisa dibedakan di peramban. Karena itu sertifikasi keamanan baru EV Extended Validation diperkenalkan. Dari sisi keamanan enkripsi, EV 100 % sama dengan DV dan OV. Tetapi proses sertifikasi EV jauh lebih sulit dan membutuhkan biaya lebih tinggi. Hal ini terjadi karena untuk penerbit sertifikat harus melakukan :
  •     Verifikasi alamat
  •     Verifikasi nomor telepon perusahaan
  •     Verifikasi organisasi memiliki hak menggunakan domain
  •     Verifikasi orang yang meminta sertifikat memang sah mewakili organisasi
  •     Verifikasi organisasi tidak masuk daftar hitam pemerintah.

Selain itu, penampakan sertifikasi EV di peramban juga berbeda dan memiliki informasi tambahan yang memudahkan pengguna jasa internet banking untuk mengidentifikasi keabsahan situs dan mempersulit kriminal melakukan phishing. Menurut pengetesan Vaksincom pada awal Januari 2014, dari 4 bank tersebut, hanya bank M yang sudah menerapkan sertifikasi Extended Valuation untuk pengamanan transaksi internet banking bisnisnya. Sekali lagi ada hal yang unik terjadi, dimana pengamanan internet banking bank C untuk perorangan sudah menerapkan sertifikasi EV tetapi untuk pengamanan internet banking bisnis masih belum menerapkan EV, walaupun untuk proses login akunnya lebih aman karena mengharuskan memasukkan OTP (One Time Password) dari token.

Sebagai gambaran dibawah ini Vaksincom menampilkan penampakan bank yang menggunakan EV dan non EV. (lihat gambar 1 dan 2)
20140505I_securityibank01
Gambar 1, Sertifikat keamanan non EV hanya menampilkan gambar gembok dan https tanpa identifikasi organisasi di sertifikat.
20140505I_securityibank02
Gambar 2, Sertifikat keamanan EV selain mengubah baris alamat browser menjadi hijau juga menampilkan nama organisasi pemilik sertifikat di sebelah gambar gembok dan identifikasi nama organisasi di sertifikat.
Bahaya Menyimpan Password di Peramban

Salah satu hal yang perlu menjadi perhatian para pengguna jasa internet banking adalah password yang disimpan oleh peramban anda. Jika anda sering mengakses satu situs berulang-ulang dan harus memasukkan password setiap kali tentunya agak merepotkan dan ada pilihan anda bisa meminta peramban anda untuk mengingat password tersebut sehingga anda tidak harus memasukkan password setiap kali mengunjungi situs tersebut. Hal ini bisa berbahaya jika ada orang yang bisa mengakses komputer anda dan membuka peramban tersebut karena menurut pengetesan Vaksincom, semua password akun bisa dilihat tanpa ada pengamanan lanjutan / memminta password login (pada setting default). Hal ini terjadi pada Firefox (lihat gambar 3) dan Google Chrome, sedangkan peramban Internet Explorer meminta anda memasukkan password login komputer sebelum menampilkan password tersebut. Karena itu Vaksincom menyarankan anda untuk berhati-hati dalam meminjamkan komputer anda. Seperti diutarakan di atas, login ke rekening 3 bank bisa dilakukan hanya dengan memasukkan password tanpa OTP.
20140505I_securityibank03
Gambar 3, Password akses situs yang disimpan oleh peramban Firefox dan Google Chrome bisa diakses jika ada yang bisa membuka komputer dan peramban anda
Email log aktivitas internet banking dan SMS transaksi via PIN.

Diluar dari hal yang diutarakan di atas, ada beberapa catatan kecil seperti bank R yang secara konsisten dan langsung melakukan pengiriman log informasi aktivitas internet banking ke email pemilik akun internet banking yang akan sangat membantu pemilik akun melakukan monitoring atas akses akun internet bankingnya dan melakukan deteksi dini jika akunnya diakses oleh orang yang tidak berhak tanpa sepengetahuannya. Hal ini kurang diperhatikan dengan baik oleh tiga bank lainnya. Namun sebaliknya metode OTP yang digunakan bank R untuk melakukan otorisasi transaksi keuangan internet banking bisnis kurang handal dan lebih rentan terhadap kebocoran karena tidak menggunakan kalkulator token melainkan dikirimkan melalui SMS terjadi penambahan faktor ketidakpasitan kondisi jaringan operator. Selain itu pengiriman PIN otorisasi ini dilakukan dalam bentuk gelondongan (lebih dari satu) dan memiliki masa berlaku yang cukup panjang sehingga agak melanggar prinsip OTP (One Time Password) yang sangat time sensitif. Penyimpanan PIN otorisasi transaksi dalam bentuk SMS di smartphone berpotensi bocor seiring dengan maraknya malware yang berkembang dan menyebar dengan cepat khususnya di smartphone Android.

Untuk daftar tabel perbandingan fitur internet banking ke empat bank yang diuji oleh Vaksincom dapat dilihat pada tabel di bawah ini.

Fitur

C

N

R

M

VPN

Ya

Tidak

Tidak

Tidak

Login OTP

Ya

Tidak

Tidak

Tidak

Vendor

Cybertrust

Digicert

Verisign

Verisign

Extended Validation

Tidak

Tidak

Tidak

Ya

Token

Kalkulator

Kalkulator

SMS

Token

Enkripsi

2048 bits

2048 bits

2048 bits

2048 bits

Laporan Aktivitas

Tidak

Tidak

Ya

Tidak

OTP saat login awal

Ya

Tidak

Tidak

Tidak

Password disave di browser

Tidak / OTP

Tidak

Tidak

Ya


Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: