#4/3 Solusi Untuk Audit SI Tentang Pembobolan Uang Pada E-Banking

Uang adalah motivasi utama seseorang dalam melakukan cybercrime. Berdasarkan fakta teresebut, keamanan layanan finansial menjadi prioritas utama pada sebuah bank. Setiap bank memilki 5 layanan finansial utama yang rentan terhadap cybercrime yaitu, Internet Banking, Mobile Banking, ATM, Kartu Kredit dan EDC. Kali ini kita akan membahas tentang keamanan Internet Banking.
Hingga kini layanan Internet Banking masih mengalami masalah, diantaranya adalah transaksi gagal namun saldo berkurang atau akun diblokir karena salah password. Ditambah lagi dengan fakta bahwa token sudah dapat dibobol dalam waktu 13 menit. Pada tahun 2012, Bank Mandiri pernah mendapatkan kasus Website Phising melalui email yang dikirim kepada nasabah. Sekilas email tersebut mirip email asli dari Bank Mandiri. Didalamnya terdapat link untuk mengupdate data nasabah internet banking mandiri, namun ketika pengguna melakukan update, data direkam dan dikirim ke alamat lain.

(sumber : sharingvision.com)
(sumber : sharingvision.com)
Solusi permasalahan tersebut diatas adalah pengguna harus menjaga keamanan database kunci token dan segera melakuakan penggantian kepada pelanggan ketika ada dugaan eksploitasi terhadap token yang beredar.
(sumber : sharingvision.com)
(sumber : sharingvision.com)
Pemecahan masalah tersebut bisa dilakukan jika Bank menggunakan SMS token dan menambahkan proses di back-end serta mengharuskan nasabah mendaftarkan terlebih dahulu rekening-rekening yang menjadi tujuan transfer.
(sumber : sharingvision.com)
(sumber : sharingvision.com)
Jalan keluar dari permasalahan diatas adalah bank diharuskan memperbaiki protokol untuk meningkatkan aspek atomicitu, juga problem handling yang cepat dan responsif jika kasus sudah terjadi seperti investigasi permasalahan dengan cepat, mengupdate informasi kepada nasabah secara proaktif minimal harian mengenai progres investigasi dan sesegera mungkin memberikan solusi bagi nasabah.(**)


#4/2 Solusi untuk audit SI tentang pembobolan uang pada uang virtual (cryotocurrency)

Cryptocurrency terdiri dari kata Crypto dan Currency, jadi bila ditinjau dari segi bahasa maka artinya adalah “Mata Uang Rahasia“, karena Crypto artinya Rahasia dan Currency adalah Mata Uang. Arti ini sedikit mirip dengan pengertian dari segi istilahnya, yaitu “Mata uang yang bersifat digital dan rahasia“.Jadi Cryptocurrency adalah mata uang yang berbentuk digital (digital/virtual currency) dan juga bersifat rahasia. Tentu saja karena berbentuk digital maka tidak ada bentuk fisiknya, kecuali anda buat sendiri dari emas atau logam lain dengan nilai sama. Tetapi walaupun tidak berbentuk fisik, mata uang ini tetap mempunyai nilai, karena bisa digunakan sebagai alat pembayaran,  contoh : digunakan untuk membeli Laptop atau Smartphone dari Apple menggunakan Bitcoin.

Cryptocurrency pertama
 yang dibuat adalah Bitcoin, makanya Bitcoin yang paling terkenal dimana-mana. Bitcoin dibuat oleh seorang “Anonymous” bernama Satoshi Nakamoto. Setelah Bitcoin muncul, akhirnya muncul juga coin-coin lain yang disebut Altcoin (Alternative Coin), Seperti Litecoin dan Dogecoin.

Sifat yang membedakan Cryptocurrency
 dengan uang biasa adalah sifatnya ter Desentralisasi dan rahasia. Terdesentralisasi artinya mata uang ini tidak diatur oleh orang/organisasi tertentu, termasuk pembuatnya sendiri. Jadi harganya bisa naik turun, bisa menjadi sangat mahal dan bisa sebaliknya turun drastis menjadi sangat murah.
Cryptocurrency juga bersifat rahasia, karena namanya juga “Crypto”. Cryptocurrency menggunakan metode kriptografi untuk mengamankan dan merahasiakan transaksi. Perlu diketahui bahwa banyak penjahat di Deepweb yang bertransaksi menggunakan Cryptocurrency karena memang FBI pun tidak akan tahu seseorang melakukan transaksi dengan pihak manapun untuk membayar sesuatu, jika menggunakan Cryptocurrency.
Melihat fenomena berkembangnya mata uang virtual bernama Bitcoin dan alternatif cryptocurrency yang lain, Cryptolocho melihat begitu pentingnya untuk segera menyampaikan langkah-langkah preventif dapat mengamankan bitcoin dan cryptocurrency yang kalian miliki dari gangguan dan ancaman para pelaku tindak kejahatan siber. Terdapat 3 kategori kejahatan terbesar dalam dunia cryptocurrency sebagai berikut:
  • Kode Error
  • Skema Phising
  • Manajemen Dompet

A. KODE ERROR

Mungkin contoh yang paling terkenal dari Kode Error ini adalah serangan yang terjadi kepada DAO (Decentralized Autonomous Organization).
DAO alias Organisasi Otonomi Terdesentralisasi adalah kontrak cerdas (smart contract) yang kompleks dan bertujuan untuk merevolusi sistem Ethereum. DAO berperan sebagai penghimpun dana modal ventura yang terdesentralisasi yang dimaksudkan untuk mendanai semua DAPPS (Decentralized Application) masa depan yang dibuat dalam ekosistem Ethereum. Cara kerjanya cukup mudah dipahami, misalnya jika kalian tertarik dan bermaksud untuk mendanai suatu proyek aplikasi yang berbentuk DAPPS, maka kalian akan membeli “DAO Tokens” untuk sejumlah Ether. Token DAO adalah indikator bahwa kalian sekarang secara resmi merupakan bagian dari sistem DAO dan memberi hak suara dalam proyek tersebut.
Jika dalam suatu kasus, kalian sebagai pendana dalam DAO dan sekelompok orang lain tidak senang dengan suatu DAO, maka kalian bisa memisahkan diri dari DAO tersebut dengan menggunakan “Split Function” yang disediakan dalam platform tersebut. Dengan menggunakan fungsi ini, kalian akan mendapatkan kembali Ethereum yang telah diinvestasikan dan terdapat kemungkinan juga untuk kalian menciptakan “DAO” sendiri atau “Child DAO”.
Namun ada satu syarat dalam kontrak yang perlu diperhatikan, bahwa setelah berpisah dari DAO kalian tida dapat menggunakan Ether yang kalian dapatkan kembali selama 28 hari setelah perpisahan tersebut.
Dan inilah celah yang digunakan oleh para penjahat siber untuk merampok aset kalian. Para pendiri DAO menganggap masalah ini tidak cukup serius dan tidak akan berdampak signifikan bagi platform mereka, tapi sepertinya mereka salah.
dao-attack-times-figures-infographic
Pada tanggal 17 Juni 2016, seseorang mengeksploitasi celah yang berada dalam DAO tersebut dan merampok dana sebesar $50 juta USD. Celah ini bagi hacker adalah celah yang cukup mudah ditemukan. Jadi dalam sistem DAO, apabila seorang pengguna bermaksud memisahkan diri dari sebuah DAO maka harus ada 2 langkah yang akan dilakukan:
  1. Memberikan kembali sejumlah Ether kepada pengguna tersebut sebagai ganti token DAO mereka;
  2. Meregister transaksi kedalam buku besar dan mengupdate saldo token internal.
Apa yang dilakukan oleh hacker adalah dengan membuat fungsi rekursif dalam permintaan pemisahan tersebut, maka beginilah skema pemisahan yang terjadi setelah ditembus oleh hacker:
  1. Mengambil Token DAO dan memberikan sejumlah Ether yang diminta oleh pengguna;
  2. Sebelum mereka meregister transaksi tersebut, fungsi rekursif itu tadi akan membuat pengulangan kode-kode dan memungkinkan pentransferan Ether secara berulang-ulang untuk token DAO yang sama.
Hal tersebut diatas terjadi terus menerus dan berlanjut sampai kerugian mencapai $50 juta USD. Apa yang terjadi kemudian, kalian pasti sudah dapat menebaknya, komunitas ether panik dan harga Ether turun dari $20 menjadi $13 dalam semalam. Sampai sekarang, kejadian ini masih merupakan kejadian hacking dalam dunia ICO yang terburuk yang pernah ada sepanjang sejarah. Adapun akibat lain dari adanya kejadian hacking ini adalah pembagian mata uang kripto Ethereum menjadi 2: Ethereum dan Ethereum Classic.

B. SKEMA PHISING

Hal inilah yang paling PENTING diperhatikan bagi kalian para pemula dan pasti akan sangat menggangu pikiran dan perasaan. Namun pertama-tama yang perlu kalian ketahui, apa sih Phising itu? Phising adalah sebuah perbuatan dimana para pelaku kejahatan memiliki informasi sensitif atau rahasia yang kalian miliki (seperti detail kartu kredit) dengan berpura-pura sebagai seorang yang kalian kenal atau memiliki reputasi. Para pelaku kejahatan ini biasanya menggunakan email, sosial media atau kalau yang niat ya membuat website dengan tampilan yang sama 100% (seratus persen).
Jika kalian aktif menggunakan Slack sebagai media untuk berkomunikasi dan bekerja sebagai tim, maka salah satu fungsi dalam Slack yaitu Slackbot seringkali mengirimkan pesan yang mengatasnamakan Tim Ether atau Tim ICO tertentu dan mengharuskan kalian melakukan sesuatu.
Misalnya, pemberitahuan tentang Segwit atau Hardfok atau apalah namanya dan dalam pesan tersebut kalian diwajibkan untuk login di akun wallet kalian melalui link yang mereka sediakan. Biasanya link tersebut akan membawa kalian ke website yang sama persis dengan website aslinya, namun jika kalian perhatikan secara seksama nama domain dan detail-detail lainnya, maka jelas, bahwa website tersebut adalah tipu-tipu. Hal yang sama seringkali terjadi pada situs-situs yang menjanjikan memberikan sesuatu yang luar biasa dengan cuma-cuma, kalian patut curiga dan sebaiknya menghindari mengunjungi situs-situs seperti itu. Percayalah, tidak ada sesuatu yang cuma-cuma dibawah matahari ini kecuali oksigen.
Jika kalian cukup lugu menanggapi pemberitahuan-pemberitahuan seperti itu, maka kalian akan segera panik dan bermaksud menyelamatkan aset kalian. Alih-alih untung, malah buntung, kalian memberikan private key kalian dengan sukarela kepada para penipu tersebut. Jadi tolong, jadi orang jangan panikan, kuasai diri, kuasai emosi dan perbanyak informasi.

C. MANAJEMEN DOMPET

Baik sebagai pengguna maupun sebagai developer, salah satu cara untuk mengamankan bitcoin dan cryptocurrency kalian adalah dengan memiliki manajemen dompet digital yang baik. Karena biasanya, manajemen dompet yang buruk meningkatkan kemungkinan kalian lalai melakukan sesuatu hal yang bodoh yang mengakibatkan kerugian finansial. Diantara banyak macam dompet itu, ada dompet pribadi yang berbentuk perangkat keras (trezor) yang dapat dibawa kemana saja, ada dompet di pasar bursa crypto, ada dompet di masing-masing cryptocurrency platform dan sebagainya.
Misalnya, di sebuah forum bitcoin kalian bermaksud menuliskan alamat publik kalian, eh kok malah yang ditulis kunci privat dan mungkin hanya dalam hitungan detik *puffffff* aset token telah tertransfer ke alamat ether yang lain. Sebagaimana kita ketahui, platform myetherwallet tidak dapat menyediakan two user autentification karena memang fiturnya yang demikian dan sedihnya lagi satu-satunya hal yang mampu membantu kalian hanyalah fungsi “Generate New Address”. Oleh karena itu, sebaik-baiknya langkah pencegahan untuk mengamankan bitcoin dan cryptocurrency kalian adalah dengan mengawasi diri sendiri akan apa yang hendak kalian lakukan.
Ada pula beberapa orang menyarankan menggunakan aplikasi atau adds-on penyimpan password, tapi sepertinya selalu ada masalah yang mengganjal terkait keamanan dan kenyamanan apabila tidak disimpan secara mandiri. Seaman apapun tetap ada kemungkinan si pemilik aplikasi menggunakan data-data yang kita tulis dalam aplikasi tersebut apabila ada sambungan ke internet dan semacamnya. Ingatlah, dalam keadaan apapun tidak ada satupun orang lain yang dapat dipercaya selain diri sendiri, karena kalian juga menyadari bahwa diri kalianpun tidak bisa dipercaya. Oleh karena itu simpanlah resiko dan kewajiban untuk mengatur dompet-dompet kalian pada diri kalian sendiri.
Bagi kalian yang berprofesi sebagai bounty hunter yang menerima token dari berbagai macam developer, adalah disarankan untuk menggunakan dompet ERC20 yang berbeda-beda setiap kali ikut kampanye bounty tersebut untuk menerima pembayaran. Hal ini dapat meminimalisir resiko hilangnya token kalian secara sekaligus, setidaknya apabila ada hal-hal yang tidak diharapkan terjadi, masih ada beberapa aset kalian yang bisa dimanfaatkan di dompet yang lain. Dengan melakukan manajemen dompet yang baik, kemungkinan kelalaian yang berakibat merugikan diri kita sendiri dapat dihindari.
Daftar Pustaka :
https://cryptocr.blogspot.co.id/2017/04/crypto-currency.html
http://cryptolocho.com/2017/10/19/cara-mengamankan-bitcoin/

#4/1 Penjelasan dan Solusi Pembobolan uang pada mesin ATM




1. PENDAHULUAN

ATM (Automatic Teller Machine atau Automated Teller Machine, yang di Indonesia juga kadang merupakan singkatan bagi Anjungan Tunai Mandiri) adalah sebuah alat elektronik yang mengijinkan nasabah bank untuk mengambil uang dan mengecek rekening tabungan mereka tanpa perlu dilayani oleh seorang "teller" manusia. Banyak ATM juga mengijinkan penyimpanan uang atau cek, transfer uang atau bahkan membeli perangko.

Konsep ATM pertama kali lahir pada tahun 1968. Mesin ini ditemukan oleh Don Wetzel, Vice President of Product Planning pada perusahaan Docutel, bersama dengan rekan-rekannya yaitu Tom Barnes, Kepala Mekanik dan George Chastian, seorang insinyur listrik.

Pada perkembangannya, demi menjaga keamanan nasabah, ATM ini tidak terlepas dari kriptografi, terutama pada saat transmisi nomor PIN dari mesin ATM ke pusat data bank. Oleh karena itu pada bab ini akan dijelaskan terlebih dahulu metode-metode kriptografi terkait dan dihubungkan dengan mekanisme kerja ATM secara singkat.


1.1 Metode

Seperti telah disebutkan sebelumnya bahwa algoritma yang digunakan dalam meng-enkripsi nomor PIN yang di-entry pengguna sebelum ditransmisikan ke komputer host adalah algoritma DES dengan mode ECB. Berikut akan dijelaskan secara singkat algoritma DES dan mode ECB yang dimaksud.

1.1.1 Algoritma DES

Algoritma DES atau Data Encryption Standard adalah sebuah block cipher yang merupakan kriptografi kunci simetri dan menggunakan algoritma DEA (Data Encryption Algorithm). DES beroperasi pada ukuran blok 64 bit, dengan panjang kunci sama dengan ukuran blok, aitu 64 bit juga, tetapi hanya terpakai 56 bit (8 bit lainnya tidak terpakai).
Pada algoritma DES, setiap blok dienkripsi sebanyak 16 kali putaran dengan kunci internal yang berbeda-beda yang dibangkitkan dari kunci eksternal. Selain itu juga dilakukan permutasi awal dan inversi permutasi awal (kadang disebut permutasi akhir).
2. PEMBAHASAN

Hasil penyelidikan terhadap pelaku pembobolan ATM yang berhasil ditangkap menyebutkan bahwa terdapat beberapa cara yang biasa dilakukan oleh pembobol ATM di Indonesia.

Modus pertama, pelaku mencuri data digital kartu ATM nasabah dengan skimmer yang terpasang di mesin ATM. Kemudian untuk mencuri nomor PIN nasabah, pelaku menggunakan bantuan kamera pengintai yang terpasang di dalam ruang ATM atau dengan mengintip langsung ketika nasabah mengetik nomor PIN. Pelaku kemudian menyalin data ke kartu palsu dan selanjutnya menguras tabungan nasabah.

Modus kedua, pelaku memasang suatu alat di dalam mesin ATM untuk menjepit kartu ketika nasabah memasukkan kartu. Pelaku juga memasang stiker palsu di body mesin. Di stiker tertulis nomor hotline palsu yang dapat dihubungi jika mengalami gangguan. Setelah kartu tertahan di dalam mesin, korban kemudian menghubungi nomor hotline tersebut dan diterima oleh petugas bank gadungan. Petugas palsu tersebut lalu berpura-pura meminta identitas nasabah, seperti nama, alamat, tanggal lahir. Kemudian pada akhirnya dia meminta nomor PIN. Lalu petugas menyuruh korban untuk pergi dan mengambil kartunya di kemudian hari. Setelah korban pergi, pelaku kemudian mendatangi mesin ATM dan mengambil kartu korban lalu menguras isi dari tabungannya.

Modus ketiga hampir sama dengan modus kedua. Namun pada modus ketiga, pelaku tidak menggunakan stiker, tetapi pelaku sendiri yang menghampiri korban dan menyarankan kepada korban untuk menghubungi call center 14000. Namun ketika dihubungi, yang menerima panggilan adalah operator palsu.. Selanjutnya sama dengan modus ketiga.

Modus keempat, pelaku mencuri data digital kartu ATM beserta nomor PIN lalu menjualnya kepada pelaku lain seharga Rp 1 juta per data.

Modus kelima, pelaku menyadap transmisi antara mesin ATM dengan komputer host di bank pusat, kemudian berusaha mendekripsi nomor PIN yang telah terenkripsi dengan pendekatan known plaintext attack atau bahkan dengan chosen plaintext attack.

Modus pertama hingga modus keempat merupakan masalah teknis yang tidak terlalu berkaitan dengan masalah kriptografi. Sedangkan modus kelima termasuk salah satu serangan terhadap kriptografi dimana terdapat kriptanalis yang berusaha memecahkan ciphertext yang telah dibuat.

Aksi yang dilakukan oleh pembobol ATM pada modus kelima diatas kurang lebih dapat digambarkan sebagai berikut :
Pertama-tama, kriptanalis ke-1 masuk ke dalam bilik ATM lalu meng-entry-kan beberapa alternatif nomor


PIN, baik itu secara acak maupun ditentukan sedemikian sehingga mengarah kepada ditemukannya kunci serta algoritma yang sesuai. Nomor PIN tersebut akan ditransmisikan melalui jaringan dari mesin ATM ke komputer host di pusat data bank. Pada saat yang sama, kriptanalis ke-2 melakukan penyadapan terhadap jaringan tersebut untuk mendapatkan nomor PIN yang telah dienkripsi oleh sistem. Setelah itu para kriptanalis mempelajari padanan antara plaintext dan ciphertext yang telah didapat tadi untuk kemudian melakukan deduksi kunci k.

3. KESIMPULAN DAN SARAN


Pembobolan ATM yang terjadi beberapa waktu ke belakang dilakukan dengan berbagai macam modus/cara, salah satunya adalah dengan melakukan serangan terhadap kriptografi. Kriptanalis menyadap transmisi dari mesin ATM ke host bank pusat, kemudian melakukan chosen plaintext attack terhadap nomor PIN yang dimasukkan pengguna.

Beberapa solusi yang dapat dilakukan adalah dengan menambah kerumitan algoritma enkripsi nomor PIN, sehingga sulit dipecahkan kuncinya. Selain itu, pemanjangan digit nomor PIN juga dapat mempersulit kriptanalis melakukan pemecahan.