Sebagai salah satu pengguna internet banking sebuah bank terpercaya di Indonesia, saya masih memilliki rasa was-was terhadap layanan tersebut. Kekhawatiran saya bertambah karena saya sering menggunakan fasilitas internet banking. Berikut adalah beberapa keraguan tentang sistem keamanan internet banking khususnya untuk bank yang saya gunakan. Sekiranya pembaca adalah pakar keamanan internet banking pada sebuah bank mohon untuk menjawab beberapa pertanyaan-pertanyaan saya.
Berikut kegelisahan tersebut:
1. Apakah PIN/Password yang digunakan tidak terlalu pendek?
Bank yang saya pakai hanya menyediakan 6-10 angka sebagai password. Sistem login tidak mengijinkan adanya huruf dan spesial karakter. Apakah hal ini tidak terlalu rentan untuk sistem keamanan pengguna?. Bank yang saya pergunakan di jerman mengijinkan pasword yang panjang dengan kombinasi huruf, angka dan special karakter.
1. Apakah PIN/Password yang digunakan tidak terlalu pendek?
Bank yang saya pakai hanya menyediakan 6-10 angka sebagai password. Sistem login tidak mengijinkan adanya huruf dan spesial karakter. Apakah hal ini tidak terlalu rentan untuk sistem keamanan pengguna?. Bank yang saya pergunakan di jerman mengijinkan pasword yang panjang dengan kombinasi huruf, angka dan special karakter.
2. Mengapa tidak ada sistem challenge respon untuk memastikan keabsahan situs bank?
Hal ini menurut saya menunjukkan sifat semena-mena bank terhadap konsumennya. Kita sebagai konsumen tidak diberi kesempatan untuk memastikan apakah website bank tersebut asli atau tidak. Tentunya kita sebagai konsumen rentan terhadap serangan phishing. Bank saya hanya mengingatkan konsumennya untuk berhati-hati dengan selalu menuliskan alamat web secara lengkap di address bar saat mau menggunakan online banking. Sebagai perbandingan Yahoo mail saja yang gratis menyediakan fasilitas anti-pishing (typo site maupun email palsu) untuk memastikan bahwa kita login di web yang sebenarnya walaupun tidak murni menggunakan sistem challenge respon. Yahoo hanya menggunakan teks maupun gambar yang dapat kita set pada komputer pribadi kita. Paling tidak akan menambah rasa aman karena text unik yang kita tuliskan tentunya tidak diketahui oleh orang yang berusaha memasang web aspal. Untuk email antara bank dan epalngakan juga dapat digunakan suatu pengenal khusus sehingga pelanggan tidak tertipu oelh email palsu yang memang sangat banyak.
Hal ini menurut saya menunjukkan sifat semena-mena bank terhadap konsumennya. Kita sebagai konsumen tidak diberi kesempatan untuk memastikan apakah website bank tersebut asli atau tidak. Tentunya kita sebagai konsumen rentan terhadap serangan phishing. Bank saya hanya mengingatkan konsumennya untuk berhati-hati dengan selalu menuliskan alamat web secara lengkap di address bar saat mau menggunakan online banking. Sebagai perbandingan Yahoo mail saja yang gratis menyediakan fasilitas anti-pishing (typo site maupun email palsu) untuk memastikan bahwa kita login di web yang sebenarnya walaupun tidak murni menggunakan sistem challenge respon. Yahoo hanya menggunakan teks maupun gambar yang dapat kita set pada komputer pribadi kita. Paling tidak akan menambah rasa aman karena text unik yang kita tuliskan tentunya tidak diketahui oleh orang yang berusaha memasang web aspal. Untuk email antara bank dan epalngakan juga dapat digunakan suatu pengenal khusus sehingga pelanggan tidak tertipu oelh email palsu yang memang sangat banyak.
3.Mengapa tidak digunakan keamanan tambahan dengan sistem One Time Pad?
Saya sebagai nasabah tentu tidak mengetahui sistem keamanan bank secara detail. Yang saya tahu bank saya menggunakan protokol SSL. Data yang dikirimkan akan diacak dengan 128 bit enkripsi. Dalam SSL tentunya untuk autentikasi akan digunakan RSA, DSA atau ECDSA. Menurut saya yang tidak bergelut dibidang security sistem, gabungan antara public key kriptography tersebut dengan sistem one time pad akan lebih aman. Kesulitan penerapan sistem keamanan gabungan ini tidakkah bisa diatasi dengan meksanakan enkripsi dengan publik key kriptografi dahulu setelah itu diacak dengan OTP. Setelah sampe diserver dilakukan proses kebalikan. Keuntungan OTP adalah berubah-ubahnya chiper text setiap kali login. Yang saya khawatirkan jika tidak menggunakan OTP walaupun dienkripsi dengan public key kriptography tetap saja chiper text yang dikirim dari client ke server adalah cipher text yang statis.
Saya sebagai nasabah tentu tidak mengetahui sistem keamanan bank secara detail. Yang saya tahu bank saya menggunakan protokol SSL. Data yang dikirimkan akan diacak dengan 128 bit enkripsi. Dalam SSL tentunya untuk autentikasi akan digunakan RSA, DSA atau ECDSA. Menurut saya yang tidak bergelut dibidang security sistem, gabungan antara public key kriptography tersebut dengan sistem one time pad akan lebih aman. Kesulitan penerapan sistem keamanan gabungan ini tidakkah bisa diatasi dengan meksanakan enkripsi dengan publik key kriptografi dahulu setelah itu diacak dengan OTP. Setelah sampe diserver dilakukan proses kebalikan. Keuntungan OTP adalah berubah-ubahnya chiper text setiap kali login. Yang saya khawatirkan jika tidak menggunakan OTP walaupun dienkripsi dengan public key kriptography tetap saja chiper text yang dikirim dari client ke server adalah cipher text yang statis.
4. Seberapa amankah penggunaan kunci tambahan saat transaksi finansial?
Kunci tambahan pada saat transaksi finansial tentunya lebih menguatkan sitem keamanan. Ada sisi lemah yang terlintas di benak saya. Saya mempunyai pertanyaan tersendiri yang tidak saya publish demi alasan keamanan online banking bank yang saya gunakan.
Kunci tambahan pada saat transaksi finansial tentunya lebih menguatkan sitem keamanan. Ada sisi lemah yang terlintas di benak saya. Saya mempunyai pertanyaan tersendiri yang tidak saya publish demi alasan keamanan online banking bank yang saya gunakan.
Akhirnya sebagai nasabah kita hanya bisa berhati-hati. Bank tidak akan mau mengganti rugi dengan alasan apapun kalau terjadi penyalahgunaan account dan pasword kita di online banking. Ingatlah peraturan bank yang menyatakan bahwa saldo yang tercatat di bank dijadikan patokan bila terjadi selisih saldo. Kita hanya bisa menunggu sampai bank benar-benar adil terhadap nasabahnya.
Berikut saya sampaikan informasi tips keamanan internet banking dari bank yang saya gunakan. Saya sengaja menghapus nama banknya.
1. Tips Menjaga Kerahasiaan PIN
1. Tips Menjaga Kerahasiaan PIN
* Jangan pernah menggunakan PIN yang sama untuk memenuhi kebutuhan finansial maupun non finansial yang Anda lakukan lewat web, seperti e-mail, online shopping, dan pelayanan langganan online lainnya.
* Jangan membuat PIN yang merupakan pengulangan dari User ID
* Jangan menggunakan PIN yang dapat ditebak dengan mudah oleh orang lain, seperti nomor telepon, tanggal kelahiran, nomor kendaraan, atau data pribadi lainnya. Sebaiknya pilihlah nomor PIN yang unik dan tidak bermakna. Semakin acak, semakin bagus.
* Jangan menggunakan nomor PIN yang berurut seperti 123456 atau PIN yang merupakan pengulangan satu angka seperti : 111111
* Jangan pernah memberikan PIN (nomor identifikasi personal) Anda pada orang lain, termasuk orang-orang terdekat Anda dan bahkan pihak bank sekalipun.
* Jangan mencatat PIN pada kertas atau menyimpannya secara tertulis ditempat yang orang lain bisa membacanya, contoh : agenda atau kalender. Jangan pula menuliskan PIN Anda atau menyimpannya di hard disk komputer, disket, telepon seluler atau benda-benda riskan lainnya. Akan lebih baik lagi jika Anda bisa mengingatnya tanpa harus menuliskannya.
* Berhati-hati menggunakan User ID dan PIN Internet Banking agar tidak terlihat atau dibaca orang lain.
* Jika Anda menggunakan layanan Internet Banking, sebelum memasukkan USER ID dan PIN, Anda harus selalu meyakinkan bahwa situs yang Anda kunjungi benar. Pastikan bahwa halaman internet banking yang Anda kunjungi merupakan milik Bank tersebut.
* Ubahlah PIN Anda secara berkala dengan menggunakan pelayanan rubah PIN di menu Administrasi pada Internet Banking
* Ubahlah segera PIN Anda jika Anda merasa PIN tersebut telah diketahui orang yang tidak berwenang.
Memang PIN adalh sesuatu yang sangat rahasia dan hanya nasabah yang mengetahui PIN tersebut. Petugas bank tidak akan pernah menanyakan PIN melalui email telpon atau media lainnya, jadi hati-hailah jika ada yang menanyakan nomer PIN:
* Jangan membuat PIN yang merupakan pengulangan dari User ID
* Jangan menggunakan PIN yang dapat ditebak dengan mudah oleh orang lain, seperti nomor telepon, tanggal kelahiran, nomor kendaraan, atau data pribadi lainnya. Sebaiknya pilihlah nomor PIN yang unik dan tidak bermakna. Semakin acak, semakin bagus.
* Jangan menggunakan nomor PIN yang berurut seperti 123456 atau PIN yang merupakan pengulangan satu angka seperti : 111111
* Jangan pernah memberikan PIN (nomor identifikasi personal) Anda pada orang lain, termasuk orang-orang terdekat Anda dan bahkan pihak bank sekalipun.
* Jangan mencatat PIN pada kertas atau menyimpannya secara tertulis ditempat yang orang lain bisa membacanya, contoh : agenda atau kalender. Jangan pula menuliskan PIN Anda atau menyimpannya di hard disk komputer, disket, telepon seluler atau benda-benda riskan lainnya. Akan lebih baik lagi jika Anda bisa mengingatnya tanpa harus menuliskannya.
* Berhati-hati menggunakan User ID dan PIN Internet Banking agar tidak terlihat atau dibaca orang lain.
* Jika Anda menggunakan layanan Internet Banking, sebelum memasukkan USER ID dan PIN, Anda harus selalu meyakinkan bahwa situs yang Anda kunjungi benar. Pastikan bahwa halaman internet banking yang Anda kunjungi merupakan milik Bank tersebut.
* Ubahlah PIN Anda secara berkala dengan menggunakan pelayanan rubah PIN di menu Administrasi pada Internet Banking
* Ubahlah segera PIN Anda jika Anda merasa PIN tersebut telah diketahui orang yang tidak berwenang.
Memang PIN adalh sesuatu yang sangat rahasia dan hanya nasabah yang mengetahui PIN tersebut. Petugas bank tidak akan pernah menanyakan PIN melalui email telpon atau media lainnya, jadi hati-hailah jika ada yang menanyakan nomer PIN:
2. Waspadai Bahaya ‘Typo Site’ !
Modus kejahatan typo site ini terbilang cukup unik dan seringkali tidak disadari oleh korbannya. Caranya, pelaku membuat situs yang memiliki nama yang hampir serupa dengan situs resmi lainnya. Misalnya saja, sebuah situs resmi yang memiliki alamat di http://klikbanku.com/ dibuat samarannya dengan alamat http://klikbankku.com/ atau http://clickbankku.com/. Nyaris tak bisa dibedakan bukan?
Modus kejahatan typo site ini terbilang cukup unik dan seringkali tidak disadari oleh korbannya. Caranya, pelaku membuat situs yang memiliki nama yang hampir serupa dengan situs resmi lainnya. Misalnya saja, sebuah situs resmi yang memiliki alamat di http://klikbanku.com/ dibuat samarannya dengan alamat http://klikbankku.com/ atau http://clickbankku.com/. Nyaris tak bisa dibedakan bukan?
Typo site dapat dengan mudah dibuat untuk domain .COM, .NET, .ORG, dan beberapa jenis domain lainnya. Setiap orang bisa menamakan situsnya tersebut dengan nama apa saja selama domain itu belum dimiliki orang lain. Dan kemudian si pembeli nama-nama domain yang mirip itu dapat membuat tampilan situsnya 100% mirip aslinya, sehingga seringkali orang yang salah ketik tidak menyadari bahwa ia sebenarnya berada di situs yang salah. Biasanya yang sering disalahgunakan adalah situs-situs dari bank resmi. Tujuannya tak lain adalah untuk menangkap user ID, password atau data-data pribadi lainnya. Data-data tersebut kemudian dimanfaatkan untuk melakukan transaksi illegal.
Cara mencegahnya:
- Untuk mencegah terjebak typo site, selalu periksa kembali ejaan nama situs yang Anda ketikkan. Jangan sampai ada kesalahan ketik, termasuk penggunaan symbol. Kesalahan yang banyak terjadi contohnya dalam penulisan huruf EL KECIL (l) yang mirip dengan huruf I BESAR (I), atau angka LIMA (5) mirip dengan huruf S BESAR (S).
- Situs Internet Banking, biasanya dilengkapi sertifikat sebagai proteksi tambahan. Untuk itu, jika Anda meragukan kebenaran sertifikat sebuah situs , Anda dapat meng-klik View Certificate untuk melihat rincian sertifikat dan memastikan apakah perusahaan yang Anda masuki situsnya dapat dipercayai. Jika keluar pesan warning mengenai sertifikat saat mengakses server internet banking , lebih baik tidak jadi mengakses situs tersebut atau mengecek ulang nama situs yang Anda ketikkan.
- Jika Anda mengakses situs internet banking dari sebuah link, periksalah juga apakah link tersebut membawa Anda ke server yang betul. Lihat jangan-jangan ada permainan huruf atau salah ketik
- Jika Anda merasakan atau menemui keganjilan, segera hentikan kegiatan Anda dan jangan lagi masukkan password atau informasi pribadi. Agar lebih yakin lagi tanyakan kepada orang yang Anda percaya dan mengerti benar secara teknis, atau kepada Customer Service Bank.
Cara mencegahnya:
- Untuk mencegah terjebak typo site, selalu periksa kembali ejaan nama situs yang Anda ketikkan. Jangan sampai ada kesalahan ketik, termasuk penggunaan symbol. Kesalahan yang banyak terjadi contohnya dalam penulisan huruf EL KECIL (l) yang mirip dengan huruf I BESAR (I), atau angka LIMA (5) mirip dengan huruf S BESAR (S).
- Situs Internet Banking, biasanya dilengkapi sertifikat sebagai proteksi tambahan. Untuk itu, jika Anda meragukan kebenaran sertifikat sebuah situs , Anda dapat meng-klik View Certificate untuk melihat rincian sertifikat dan memastikan apakah perusahaan yang Anda masuki situsnya dapat dipercayai. Jika keluar pesan warning mengenai sertifikat saat mengakses server internet banking , lebih baik tidak jadi mengakses situs tersebut atau mengecek ulang nama situs yang Anda ketikkan.
- Jika Anda mengakses situs internet banking dari sebuah link, periksalah juga apakah link tersebut membawa Anda ke server yang betul. Lihat jangan-jangan ada permainan huruf atau salah ketik
- Jika Anda merasakan atau menemui keganjilan, segera hentikan kegiatan Anda dan jangan lagi masukkan password atau informasi pribadi. Agar lebih yakin lagi tanyakan kepada orang yang Anda percaya dan mengerti benar secara teknis, atau kepada Customer Service Bank.
3. Waspadai Phising
Phising , adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah
Phising , adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah
Aksi ini semakin marak terjadi. Tercatat secara global, jumlah penipuan bermodus phising selama Januari 2005 melonjak 42% dari bulan sebelumnya. Anti-Phishing Working Group (APWG) dalam laporan bulanannya, mencatat ada 12.845 e-mail baru dan unik serta 2.560 situs palsu yang digunakan sebagai sarana phishing.
Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian
Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian
Bagaimana phishing dilakukan?
Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut:
* Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit.
* Membuat situs palsu yang sama persis dengan situs resmi.atau . pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
* Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.
Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut:
* Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit.
* Membuat situs palsu yang sama persis dengan situs resmi.atau . pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
* Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.
Mencegah phishing
Jangan mudah terpancing untuk mengikuti arahan/petunjuk apapun sehubungan informasi rekening, yang dianjurkan pada e-mail yang dilink ke situs bank tertentu. Jika Anda menerima e-mail sejenis ini dan mengatasnamakan Bank, berhati-hatilah. Bank biasanya menerapkan kebijakan untuk tidak meminta pemilik rekening/Nasabah mengup-date data melalui sarana e-mail. Jika Anda menerima e-mail seperti ini, segera laporkan kepada pihak Bank anda.
Jangan mudah terpancing untuk mengikuti arahan/petunjuk apapun sehubungan informasi rekening, yang dianjurkan pada e-mail yang dilink ke situs bank tertentu. Jika Anda menerima e-mail sejenis ini dan mengatasnamakan Bank, berhati-hatilah. Bank biasanya menerapkan kebijakan untuk tidak meminta pemilik rekening/Nasabah mengup-date data melalui sarana e-mail. Jika Anda menerima e-mail seperti ini, segera laporkan kepada pihak Bank anda.
0 komentar on "Kegelisahan Seorang Nasabah Internet Banking"
Posting Komentar