Permasalahan atau kasus IT dalam perbankan

     Masalah cyber crime dalam dunia perbankan kini kembali menjadi pusat perhatian. Kejahatan dunia maya (Inggris : cyber crime) adalah istilah yang mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatan. Termasuk ke dalam kejahatan dunia maya antara lain adalah penipuan lelang secara online, pemalsuan cek, penipuan kartu kredit/carding, confidence fraud, penipuan identitas, pornografi anak, dan lain-lain. Sebab muncul pola-pola baru dari cyber crime perbankan yang bermotif ekonomi. Jika dulu pelakunya mengincar barang-barang mahal dan langka, kini berupa uang. Meski sudah banyak pelaku cyber crime perbankan yang ditangkap dan dijatuhi hukuman penjara, nyatanya praktik kejahatan itu masih marak dengan cara yang beraneka. Kejahatan duniamaya sudah meresahkan masyarakat, termasuk dunia perbankan. Kejahatan dunia maya di Indonesia sudah sangat terkenal. Terus berkembangnya teknologi informasi (TI) juga membuat praktik cyber crime, terutama carding, kian canggih.

     Carding adalah bentuk cyber crime yang paling kerap terjadi. Maka, tak heran jikadalam kasus credit card fraud, Indonesia pernah dinobatkan sebagai negara kedua tertinggi didunia setelah Ukraina. Saat ini terjadi pergeseran pola carding. Kalau dulu mereka lebihmengincar barang-barang yang mahal dan langka, kini uang yang dicari. Misalnya, kini marak carding untuk perdagangan saham secara online. Pelaku carding dari Indonesia berfungsi sebagai pihak yang membobol kartu kredit, dan hasilnya digunakan oleh mitranya di luar negeri untuk membeli saham secara online. Keuntungan transaksi itu kemudian di transfer ke sebuah rekening penampungan, yang kemudian dibagi lagi ke rekening anggota sindikat.

     Setelah isu carding mereda, kini muncul bentuk kejahatan baru, yakni pembobolan uang nasabah melalui ATM atau cracking sistem mesin ATM untuk membobol dananya. Kepercayaan terhadap perbankan tidak hanya terkait dengan keamanan simpanan nasabah dibank tersebut, tetapi juga terhadap keamanan sistem dan prosedur, pemanfaatan teknologiserta sumber daya manusia dalam memberikan pelayanan kepada nasabah. Salah satu aspek risiko yang hingga kini belum banyak diantisipasi adalah kegagalan transaksi perbankan melalui teknologi informasi (technology fraud) yang dalam risiko perbankan masuk kategori sebagai risiko operasional.

Awas, Penipuan via Chatroom !!!

(oleh : Donny B.U.*)

     Suatu ketika, saya ditanya oleh seorang rekan saya di Asian Wall Street Journal, “apakah benar kini tingkat aktifitas carding di Indonesia sudah menurun?”. Carding  adalah aktifitas pembelian barang di Internet menggunakan kartu kredit bajakan. Dia bertanya lantaran informasi dan data yang dia terima memang seperti itu. Saya sempat ragu menjawabnya, sebab untuk tahun lalu, Indonesia berada pada posisi ke-2 teratas sebagai negara asal carder (pelaku carding) terbanyak di dunia, setelah Ukraina. Posisi tersebut merupakan hasil riset dari Clear Commerce Inc, sebuah perusahaan teknologi informasi (TI) yang berbasis di Texas, AS.

     Sejurus kemudian saya mulai mengingat-ingat modus operandi para carder dan aktifitas di chatroom pada umumnya. Lalu saya jawab ke rekan saya tersebut, “kalau berdasarkan data statistik memang ada penurunan aktifitas carding, tetapi tren tersebut lantaran adanya pergeseran modus operandi,”. Saat itu, saya sendiri tidak terlalu yakin, ke arah mana pergeseran tersebut. Saya hanya yakin bahwa aktifitas tindak kriminal di chatroom itu seolah-olah menganut hukum kekekalan energi, yaitu tidak akan hilang tetapi hanya berubah wujud.

     Sampai kemudian saya bersama dengan tim ICT Watch yang lain melakukan observasi lapangan ke beberapa chatroom carder serta menganalisa arsip e-mail dan log chatroom yang telah lama. Hasil observasi yang dilakukan sepanjang Maret 2003 tersebut menunjukkan kenyataan bahwa memang ada pergeseran modus operandi yang cukup signifikan dalam aktifitas ilegal di chatroom, khususnya dalam komunitas carder.

Observasi Lapangan

     Pada awalnya, chatroom memang sekedar sebuah media bagi para carder untuk bertukar data kartu kredit bajakan dan berjual-beli barang hasil carding. Tetapi, setelah banyak merchant di Internet yang enggan mengirimkan paket mereka ke Indonesia, maka banyak carder yang mulai kesulitan melakukan carding. Karena “kepepet” dan terbiasa mendapatkan uang secara mudah, kemudian mereka menggeser modus operandi mereka di chatroom yaitu dengan melakukan satu jenis penipuan yang belum banyak terungkap kasusnya di Indonesia. Mereka “seolah-olah” ingin menjual atau melepas barang-barang elektronik, semisal telepon selular (ponsel) ataupun notebook, yang didapatnya dari hasil melakukan carding.

     Para carder atau penjual tersebut akan menawarkan dagangannya melalui chatroom dengan keunggulan tertentu semisal “the package not even opened” (barang baru dan dus belum pernah dibuka) serta “cool prizes” (harga sangat murah dan bisa ditawar). Contohnya, sebuah notebook merek Sony VAIO yang harga aslinya mencapai Rp 15 juta, ditawarkan hanya senilai Rp 4 juta hingga Rp 5 juta saja. Kemudian ponsel Nokia seri terbaru yang harga aslinya masih Rp 6 juta, ditawarkan senilai Rp 1 juta hingga Rp 2 juta saja.

     Aksi promosi para penjual tersebut tidak pernah dilakukan di chatroom umum. Para penjual, termasuk para penipu, melakukan aksinya di chatroom khusus para carder. Ada banyak sekali chatroom carder, dengan puluhan hingga ratusan pengunjung perharinya. Di dalam chatroom tersebut, akan sangat mudah kita dapatkan beratus nomor kartu kredit bajakan, lengkap dengan data pemilik serta fasilitas pengecekan 3 (tiga) digit rahasia CVV2 yang hanya terdapat di bagian belakang kartu kredit dan tidak timbul (embossed).

     Tentu saja dengan keunggulan yang ditawarkan oleh penjual tersebut, para pengunjung chatroom akan mudah tergiur. Kemudian pengunjung yang tertarik, atau tepatnya calon pembeli, akan melakukan private message ke nickname penjual tersebut untuk melakukan negosiasi harga. Jika telah tercapai kesepakatan, maka si penjual tersebut akan meminta kepada si calon pembeli/korban untuk mengirimkan sejumlah uang sebagai tanda jadi atau sebagai uang muka atau sebagai ongkos kirim. Besarnya relatif, dari sekitar Rp 500 ribu (US$ 50) hingga Rp 1 juta (US$ 100).

     Jika calon pembeli sepakat, maka penjual akan bertukar alamat e-mail dan MSN Messanger atau Yahoo Messanger dengan calon pembeli, guna kontak lebih lanjut dan untuk bertukar alamat domisili masing-masing. Gunanya alamat domisili tersebut adalah untuk alamat pengiriman uang dan alamat pengiriman barang. Selanjutnya, penjual akan meminta kepada calon pembeli untuk segera menghubungi dirinya melalui e-mail apabila uangnya telah dikirimkan, dengan tujuan agar dirinya bisa segera mengirimkan barang yang dipesan.

     Celakanya, setelah uang tersebut dikirimkan, barang yang dinanti tak kunjung datang. Maka si calon pembeli tersebut pun menjadi korban penipuan si penjual tersebut.

     Jika penipuan telah terjadi, posisi korban sangatlah sulit. Korban tidak dapat atau enggan melaporkan kasus penipuan tersebut kepada aparat penegak hukum karena transaksi yang dilakukannya adalah transaksi atas barang yang ilegal, sehingga tidak dapat dilindungi oleh hukum. Selain itu korban akan kesulitan mengidentifikasi penipunya, karena transaksi yang dilakukannya melalui Internet dan tanpa bukti otentik hitam di atas putih. Faktor lainnya adalah belum banyaknya pihak aparat penegak hukum yang mengetahui seluk-beluk Internet, termasuk modus operandi penipuan melalui chatroom tersebut.

     Untuk lebih meyakinkan dan membuktikan analisa di atas, dalam satu kesempatan, tepatnya pada minggu ke-4 Maret 2003, tim ICT Watch sepakat untuk benar-benar melakukan negosiasi dan transaksi dengan salah seorang penjual di chatroom #thacc pada server DALnet. Penjual yang menggunakan nickname “tuyulcarder” tersebut menawarkan sebuah notebook Sony dan sebuah ponsel Nokia. Melalui private message penjual tersebut mengaku dirinya saat itu sedang berada di kota Salatiga. Padahal berdasarkan analisa tim ICT Watch pada log chatroom, penjual tersebut sebenarnya menggunakan akses Internet di warnet Intersat di bilangan jalan Adisucipto - Jogja.

     Meskipun demikian, tim ICT Watch terus melakukan negosiasi melalui chatting dan dilanjutkan dengan menghubungi ponselnya. Kemudian penjual tersebut menyatakan bahwa dirinya sendiri yang akan mengantarkan barang pesanan tersebut ke Jakarta pada keesokan harinya. Kemudian dia meminta untuk ditransfer sejumlah dana ke rekeningny di Bank BCA sebagai uang muka. Maka tim ICT Watch melakukan transfer sejumlah dana melalui fasilitas KlikBCA ke rekeningnya di Bank BCA dengan 3 digit awal nomor rekening tersebut adalah “456”, dengan inisial pemilik rekening tersebut adalah “BMEH”.

     Akhirnya perkiraan tim ICT Watch terbukti, lantaran setelah dana tersebut ditransfer, barang pesanan tak kunjung diantarkan walaupun telah ditunggu hingga beberapa hari kemudian. Ponsel milik penjual tersebut pun menjadi tidak dapat dihubungi sama sekali.

Lima Fakta Menarik

     Ada 5 (lima) fakta menarik lainnya yang berhasil ditemukan tim ICT Watch saat melakukan observasi langsung ke beberapa chatroom carder di server DALnet, yaitu:

1. Beberapa penjual akan meminta calon pembeli untuk melakukan transfer ke sebuah alamat tujuan di negara Rumania, Bulgaria bahkan India. Transfer tersebut selalu diminta melalui Western Union (WU). Para penjual akan mencoba meyakinkan calon pembeli/korban bahwa dirinya tidak akan dapat mengambil uang yang ditransfer melalui WU tanpa adanya Money Transfer Control Number (MTCN) yang dipegang oleh pengirim uang. Padahal, menurut informasi yang diperoleh ICT Watch, tidak semua negara mengharuskan para pengambil uang di WU harus menyebutkan MTCN.
2. Selain itu, para penjual umumnya menggunakan bahasa Inggris. Walaupun demikian, dari hasil analisa log chatroom, terdapat sejumlah kejanggalan pada percakapan yang terjadi. Misalnya, ada kesan “copy-paste” terhadap jawaban dari penjual, penjual selalu terburu-buru ingin menyelesaikan negosiasi dan terkadang ada aksen-aksen bahasa Indonesia yang terselip ditengah percakapan.
3. Yang menarik adalah keberadaan penjual yang menggunakan nickname asing, berbahasa Inggris serta menyebutkan alamat tujuan pengiriman uang ke Rumania, tetapi alamat Internet Protocol (IP) yang digunakannya adalah alamat IP milik Internet Service Provider (ISP) Centrin di Indonesia yaitu 202.146.226.xxx. Ada pula seorang penjual, yang lagi-lagi berbahasa Inggris, menyatakan dirinya berdomisili di Malaysia, tetapi beralamat IP milik kampus ITB - Bandung.
4. Kemudian ada indikasi pula bahwa modus operandi penipuan melalui chatroom ini telah menggunakan konsep “agen” ataupun “sindikat”. Pasalnya, ditemukan fakta bahwa terdapat 2 (dua) atau lebih penjual yang berbeda, dibuktikan dengan IP yang berbeda serta secara terpisah melakukan negosiasi dengan ICT Watch dalam waktu yang bersamaan, menyebutkan sebuah alamat pentransferan dana di Rumania yang sama persis. Anehnya lagi, salah seorang dari mereka menggunakan IP Centrin.
5. Fakta lain adalah kini ada semacam “keberanian” dari para penjual untuk bertransaksi, khususnya pada hal pentransferan dana yang sudah mulai banyak menggunakan bank dalam negeri semisal BCA, Lippo Bank ataupun Bank Mandiri. Meskipun demikian, para penjual tersebut tetap berusaha untuk mengaburkan identitas jati dirinya, dengan melakukan IP-spoofing dan/ atau menggunakan warung internet (warnet) saat melakukan aksinya.

     Berdasarkan pada temuan fakta di lapangan tersebut, maka memang benar bahwa aktifitas carding secara kuantitatif mengalami penurunan. Penurunan tersebut tidak secara otomatis menunjukkan keberhasilan dari pihak yang berwenang dalam mengatasi carding, tetapi lebih disebabkan karena adanya pergeseran modus operandi kejahatan melalui chatroom dan enggannya korban melapor ke aparat penegak hukum.

*) Penulis adalah Koordinator ICT Watch dan jurnalis TI independen. Dapat dihubungi

melalui e-mail donnybu@ictwatch.com. Tulisan ini pernah dimuat oleh majalah Bisnis Komputer, Oktober 2003. Tulisan ini bebas dikutip asal menyebutkan sumbernya.

Opini/ Solusi:

Untuk mengantisipasi berbagai permasalahan yang terkait dengan keamanan sistem informasi, maka perlu diimplementasikan suatu kebijakan dan prosedur pengamanan yang mencakup :

1. Identifikasi sumber-sumber dan aset-aset yang akan dilindungi.
2. Analisa kemungkinan ancaman dan konsekuensinya.
3. Perkirakan biaya atau kerugian-kerugian yang dapat ditimbulkan.
4. Analisa potensi tindakan penangkal dan biayanya serta kerugian lainnya.
5. Mekanisme pengamanan yang sesuai.
6. Perlu adanya suatu ketentuan yang mengatur perbankan nasional yang memiliki pusat penyimpanan, pemrosesan data atau informasi dan transaksi perbankan yang letaknya diluar negeri.
7. Perlu dibentuk sebuah unit kerja khusus atau divisi Pengamanan – Pencegahan kejahatan perbankan di dalam struktur Bank/ Bank Indonesia yang fungsinya untuk melakukan penerapan kebijakan pengamanan sistem, melakukan penelitian untuk pencegahan terhadap ancaman/ kejahatan yang sudah ada maupun yang mungkin terjadi dan melakukan tindakan recovery serta pemantauan transaksi perbankan selama 24 jam.
8. Bank Indonesia perlu melakukan audit terhadap sistem teknologi informasi dankomunikasi yang dilakukan oleh perbankan untuk setiap kurun waktu tertentu.
9. Memperketat/ mengendalikan dengan cermat akses nasabah maupun pegawai ke jaringan sistem ICT perbankan, agar seluruh pegawai perbankan mengetahui bahwa mereka juga di pantau.
10. Perlu adanya ketentuan (Peraturan atau UU) agar perbankan bertanggung jawab dengan mengganti uang nasabah yang hilang akibat kelemahan sistem pengamanan ICT perbankan.
11. Perlu digunakan Perangkat Lunak Komputer Deteksi (software) untuk aktifitas rekening nasabah agar apabila terjadi kejanggalan transaksi dapat ditangani dengan cepat.
12. Perlu sosialisasi aktif dari perbankan kepada masyarakat/ nasabah dan pegawai perbankan mengenai bentuk-bentuk kejahatan yang dapat terjadi dengan produk/ layanan yang disediakannya.
13. Menambah persyaratan formulir identitas pada waktu pembukaan rekening baru untuk pemeriksaan pada database yang menghimpun daftar orang bermasalah dengan institusi keuangan.
14. Pihak perbankan harus meningkatkan keamanan Internet Banking dengan melakukan beberapa hal seperti : 
    •     Melakukan standarisasi dalam pembuatan aplikasi Internet Banking.
    •     Terdapat panduan apabila terjadi fraud dalam Internet Banking.
    •     Pemberian informasi yang jelas kepada user sedangkan pihak pemerintah dapat membebankan masalah keamanan Internet Banking kepada pihak bank sehingga apabila terjadi fraud dalam suatu nilai tertentu, user dapat mengajukan klaim.
15. Khusus perihal beban pembuktian, perlu dipikirkan kemungkinan untuk menerapkan omkering van bewijslast atau pembuktian terbalik untuk kasus-kasus cyber crime yang sulit pembuktiannya. Tujuannya adalah untuk mengadili para carder (pemegang kartu)  yang berbelanja dengan menggunakan kartu kredit orang lain secara melawan hukum.
16. Selain pembaharuan terhadap hukum pidana materiil dan formil, juga dibutuhkan badan khusus untuk menanggulangi cyber crime yang terdiri atas penyidik khusus yang bertugas untuk melakukan investigasi bahkan sampai pada tahap penuntutan.
17. Mengadakan pelatihan perihal cyber space kepada aparat penegak hukum yang mutlak dilakukan.
18. Perlu dibuat suatu kerja sama untuk meningkatkan koordinasi dan tukar menukar informasi secara online dan ditunjuk contact person dengan mengikutsertakan berbagai pihak.
19. Sebaiknya dibuat aturan hukum yang mewajibkan setiap penyelenggara Internet Banking agar dalam setiap transaksi dari “siapa pun” dan dari “mana pun” para pihak diharuskan mencantumkan dan diminta memberikan “digital signature atau tanda tangan elektronik” dalam transaksi online tersebut.
20. POLRI dan Bank Indonesia harus melakukan beberapa hal penting yang meliputi :

• Mengembangkan wadah untuk melakukan hubungan informal untuk menumbuhkan hubungan formal.
• Pusat penyebaran ke semua partisipan.
• Pengkinian (update) data setiap bulan tentang perkembangan penanganan hukum.
• Program pertukaran pelatihan.
• Membuat format website antar pelaku usaha kartu kredit.
• Membuat pertemuan yang berkesinambungan antar penegak hukum.
• Melakukan tukar menukar strategi tertentu dalam mencegah/ mengantisipasi cyber crime di masa depan.

Sumber : http://id.wikipedia.org/wiki/Kejahatan_dunia_maya

     ftp://pandawa.ipb.ac.id/ictwatch/paper/paper049.htm

      http://www.scribd.com/doc/52564189/KASUS-BIDANG-TEKNOLOGI-SISTEM-INFORMASI

( Tugas Softskill - Terapan Komputer Perbankan )