Crime will find a way

19 September 2016
Crime Will Find a Way
Proteksi Otentikasi Dua Faktor T-FA kok masih bisa bobol ?
Life will find a way, kehidupan akan menemukan jalannya. Dalam film Jurassic Park, diceritakan bahwa seluruh dinosaurus produksi laboratorium yang ada di alam bebas dibatasi kelaminnya (jantan semua) sehingga tidak bisa berkembang biak, namun ternyata alam berkata lain, dinosaurus yang sejenis itu ternyata ada yang mampu mengubah dirinya sehingga tetap mampu berkembang biak. Meminjam istilah di atas, hal yang mirip rupanya terjadi dalam perkembangan perlindungan transaksi e-banking dan e-commerce Indonesia. Transaksi yang sebelumnya kurang aman karena kredensial dan data kartu yang mudah di curi dengan key logger, menjadi lebih aman dan sulit di eksploitasi karena pengamanan otentikasi dua faktor T-FA : Two Factor Authentication dan OTP : One Time Password sehingga turut berkontribusi pada ledakan transaksi online di Indonesia. Namun, istilah “Crime will find a way” mungkin tepat untuk menggambarkan apa yang sedang terjadi di dunia e-banking Indonesia dimana akun internet banking milik salah satu pemegang akun di bank swasta yang diamankan dengan perlindungan T-FA dan OTP ternyata berhasil dijebol dan mengakibatkan raibnya uang tabungan ratusan juta rupiah dari akun tersebut.

Titik lemah pengamanan T-FA dan OTP di Indonesia
Melihat fakta di atas, tentunya pengguna e-banking tentunya langsung was-was dan berpikir bahwa pengamanan T-FA dan OTP sudah tidak aman lagi karena akun yang terlindung oleh sistem tersebut sekarang sudah bisa dijebol. Suatu hal yang sebenarnya agak mustahil terjadi di beberapa negara lain, namun uniknya bisa terjadi di Indonesia.
Lalu bagaimana ceritanya pengamanan T-FA dan OTP yang nota bene hanya bisa diketahui oleh pemilik akun kok bisa-bisanya bocor dan digunakan oleh kriminal untuk menarik dana / melakukan transfer ke rekening lain secara ilegal berkali-kali ?
Setelah diteliti lebih jauh, penjebolan ini terjadi karena sistem pengamanan yang dibobol tersebut menggunakan pengamanan T-FA dan OTP yang memanfaatkan telepon seluler dimana kata sandi untuk otorisasi transaksi dikirimkan ke nomor telepon seluler yang telah di daftarkan oleh pemilik. Lalu dimana masalahnya ? Tetap saja kriminal tidak bisa mendapatkan OTP untuk verifikasi transaksi, kecuali handphone / SIM cardnya dicuri.
Setelah di teliti lebih jauh, ternyata kriminal berhasil mengkloning nomor telepon pemilik akun sehingga semua data yang dikirimkan ke nomor tersebut bisa diakses oleh kriminal. Dan cerdiknya lagi, nomor telepon tersebut diganggu dengan berbagai teknik sehingga pemiliknya memutuskan untuk tidak menggunakan nomor tersebut, namun rupanya ia lupa bahwa nomor tersebut digunakan untuk menerima kode verifikasi internet banking.

Caranya memang unik ala Indonesia, dimana teknik yang digunakan adalah kriminal mengunjungi penyedia layanan telko dan meminta penggantian kartu telepon baru. Hebatnya, mereka memiliki kartu tanda pengenal aspal sehingga bisa melewati proses identifikasi customer service telko. Jadi rupanya celah keamanan TFA yang tidak terkontrol oleh bank adalah kantor oknum kelurahan nakal atau pemalsu blangko KTP dan customer service perusahaan telko. Hal ini mungkin menjadi masukan berharga untuk pihak terkait, pemerintah mungkin perlu mempertimbangkan menyempurnakan sistem administrasi dan kontrol kependudukan sehingga tanda pengenal lebih sulit lagi dipalsukan, perusahaan telko tentunya perlu melakukan screening yang lebih ketat lagi pada pemilik kartu yang mengganti kartunya dengan meminta data pendukung lain yang valid seperti memperlihatkan dokumen pendukung seperti SIM, kartu kredit, email yang telah di daftarkan sebelumnya, jawaban atas pertanyaan rahasia tertentu ataupun verifikasi lain yang bisa memastikan identitas pemilik nomor telepon.

TFA dengan Token lebih aman
Bagi perbankan pengguna layanan pengamanan TFA dan OTP, mungkin sebaiknya perlu mempertimbangkan dengan masak-masak sebelum memutuskan memilih suatu sistem pengamanan. Pengamanan TFA dengan telepon selular mungkin merupakan pilihan paling diminati karena hampir semua orang memiliki telepon seluler sehingga tidak memerlukan biaya tambahan dibandingkan sistem yang menggunakan kalkulator token dan biasanya biayanya diserap oleh bank. Namun yang menjadi ancaman adalah jika kasus seperti di atas terjadi, dimana bank tidak memiliki wewenang untuk melakukan kontrol terhadap penggantian kartu SIM karena berbeda institusi dan lebih luas lagi bank tidak memiliki kontrol atas pemalsuan kartu pengenal yang masih marak di Indonesia. Jadi dibandingkan pengamanan dengan Token, pengamanan TFA dan OTP dengan smartphone lebih lemah karena melibatkan lebih banyak faktor ketiga di luar kontrol bank / penyedia jasa keuangan. Adapun faktor ketiga yang tidak bisa dikontrol tersebut adalah :
1. Kartu SIM yang sepenuhnya dikuasai prosesnya oleh perusahaan telko.
2. Kartu tanda pengenal yang rentan dipalsukan guna mendapatkan kloning kartu SIM
3. Adanya malware yang jika menginfeksi smartphone dan komputer juga memungkinkan terjadinya pencurian OTP tanpa perlu memalsukan kartu SIM.

Apa yang harus dilakukan pemilik akun ?
Namun, mengubah diri sendiri lebih mudah daripada mengubah orang lain. Daripada berharap pihak lain berubah untuk keamanan kita, jelas lebih baik jika kita berubah untuk keamanan kita.
Karena itu Vaksincom memberikan beberapa tips bagi pengguna e-banking dan e-commerce supaya terhindar dari aksi kejahatan fraud sebagai berikut :

Untuk pengguna TFA dan OTP dengan telepon seluler baik pengguna internet banking maupun kartu kredit :
1. Gunakan satu nomor telepon khusus yang anda monitor untuk otentikasi transaksi. Hindari menggunakan nomor telepon yang tidak permanen seperti nomor prepaid dimana nomor tersebut bisa berpindah tangan.
2. Daftarkan identitas diri dengan lengkap dan benar sesuai dengan Kartu Tanda Pengenal anda supaya jika terjadi kehilangan atau hal lain tidak mempersulit identifikasi atas diri anda.
3. Jaga kartu telepon anda dan segera laporkan dan blokir jika hilang
4. Jaga telepon telepon seluler anda selalu dan PASTIKAN diproteksi dengan kata sandi / password yang baik dan benar.
Untuk pengguna TFA dan OTP dengan token :
- Proteksi akses ke token dengan password yang baik dan hindari mencatat password, apalagi pada badan token.

Untuk pengguna internet banking :
1. Pastikan perangkat komputer / smartphone terproteksi dengan program antivirus yang memiliki proteksi tambahan terhadap BankGuard yang mampu . malware yang mengeksploitasi internet banking seperti G Data Antivirus.
2. Aktifkan notifikasi transaksi (kemail / SMS) dan pastikan anda menerima dan memonitor notifikasi tersebut setiap kali terjadi transaksi internet banking.
3. Audit mutasi secara berkala.
4. Hindari menyimpan dana dalam jumlah terlalu besar pada akun yang anda anggap rentan. Batasi pada jumlah tertentu yang benar-benar dibutuhkan dan tidak sampai mengganggu kenyamanan / operasional.

Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: