Masalah
cyber crime dalam dunia perbankan kini kembali menjadi pusat perhatian. Kejahatan
dunia maya (Inggris : cyber crime) adalah istilah yang
mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer
menjadi alat, sasaran atau tempat terjadinya kejahatan. Termasuk ke dalam
kejahatan dunia maya antara lain adalah penipuan lelang secara online,
pemalsuan cek, penipuan kartu kredit/carding,
confidence fraud, penipuan identitas, pornografi anak, dan lain-lain. Sebab
muncul pola-pola baru dari cyber crime
perbankan yang bermotif ekonomi. Jika dulu pelakunya mengincar barang-barang
mahal dan langka, kini berupa uang. Meski sudah banyak pelaku cyber crime perbankan yang ditangkap dan
dijatuhi hukuman penjara, nyatanya praktik kejahatan itu masih marak dengan
cara yang beraneka. Kejahatan duniamaya sudah meresahkan masyarakat, termasuk
dunia perbankan. Kejahatan dunia maya di Indonesia sudah sangat terkenal. Terus
berkembangnya teknologi informasi (TI) juga membuat praktik cyber crime, terutama carding, kian canggih.
Carding adalah bentuk cyber crime yang paling kerap terjadi. Maka,
tak heran jikadalam kasus credit card
fraud, Indonesia pernah dinobatkan sebagai negara kedua tertinggi didunia
setelah Ukraina. Saat ini terjadi pergeseran pola carding. Kalau dulu mereka lebihmengincar barang-barang yang mahal
dan langka, kini uang yang dicari. Misalnya, kini marak carding untuk perdagangan saham secara online. Pelaku carding
dari Indonesia berfungsi sebagai pihak yang membobol kartu kredit, dan hasilnya
digunakan oleh mitranya di luar negeri untuk membeli saham secara online. Keuntungan transaksi itu
kemudian di transfer ke sebuah rekening penampungan, yang kemudian dibagi lagi
ke rekening anggota sindikat.
Setelah
isu carding mereda, kini muncul
bentuk kejahatan baru, yakni pembobolan uang nasabah melalui ATM atau cracking sistem mesin ATM untuk membobol
dananya. Kepercayaan terhadap perbankan tidak hanya terkait dengan keamanan
simpanan nasabah dibank tersebut, tetapi juga terhadap keamanan sistem dan
prosedur, pemanfaatan teknologiserta sumber daya manusia dalam memberikan
pelayanan kepada nasabah. Salah satu aspek risiko yang hingga kini belum banyak
diantisipasi adalah kegagalan transaksi perbankan melalui teknologi informasi (technology fraud) yang dalam risiko
perbankan masuk kategori sebagai risiko operasional.
Awas, Penipuan via Chatroom
!!!
(oleh : Donny B.U.*)
Suatu
ketika, saya ditanya oleh seorang rekan saya di Asian Wall Street Journal, “apakah benar kini tingkat aktifitas carding
di Indonesia sudah menurun?”. Carding
adalah aktifitas pembelian barang di Internet menggunakan kartu kredit
bajakan. Dia bertanya lantaran informasi dan data yang dia terima memang
seperti itu. Saya sempat ragu menjawabnya, sebab untuk tahun lalu, Indonesia
berada pada posisi ke-2 teratas sebagai negara asal carder (pelaku carding)
terbanyak di dunia, setelah Ukraina. Posisi tersebut merupakan hasil riset dari
Clear Commerce Inc, sebuah perusahaan
teknologi informasi (TI) yang berbasis di Texas, AS.
Sejurus
kemudian saya mulai mengingat-ingat modus operandi para carder dan aktifitas di chatroom
pada umumnya. Lalu saya jawab ke rekan saya tersebut, “kalau berdasarkan data statistik memang ada penurunan aktifitas
carding, tetapi tren tersebut lantaran adanya pergeseran modus operandi,”. Saat itu, saya sendiri tidak terlalu
yakin, ke arah mana pergeseran tersebut. Saya hanya yakin bahwa aktifitas
tindak kriminal di chatroom itu
seolah-olah menganut hukum kekekalan energi, yaitu tidak akan hilang tetapi hanya
berubah wujud.
Sampai
kemudian saya bersama dengan tim ICT
Watch yang lain melakukan observasi lapangan ke beberapa chatroom carder
serta menganalisa arsip e-mail dan
log chatroom yang telah lama. Hasil
observasi yang dilakukan sepanjang Maret 2003 tersebut menunjukkan kenyataan
bahwa memang ada pergeseran modus operandi yang cukup signifikan dalam
aktifitas ilegal di chatroom,
khususnya dalam komunitas carder.
Observasi
Lapangan
Pada
awalnya, chatroom memang sekedar
sebuah media bagi para carder untuk
bertukar data kartu kredit bajakan dan berjual-beli barang hasil carding. Tetapi, setelah banyak merchant
di Internet yang enggan mengirimkan
paket mereka ke Indonesia, maka banyak carder yang mulai kesulitan melakukan
carding. Karena “kepepet” dan terbiasa
mendapatkan uang secara mudah, kemudian mereka menggeser modus operandi mereka
di chatroom yaitu dengan melakukan satu jenis penipuan yang belum banyak
terungkap kasusnya di Indonesia. Mereka “seolah-olah”
ingin menjual atau melepas barang-barang elektronik, semisal telepon selular (ponsel) ataupun notebook, yang didapatnya dari hasil melakukan carding.
Para
carder atau penjual tersebut akan
menawarkan dagangannya melalui chatroom dengan
keunggulan tertentu semisal “the package
not even opened” (barang baru dan dus belum pernah dibuka) serta “cool prizes” (harga sangat murah dan
bisa ditawar). Contohnya, sebuah notebook merek Sony VAIO yang harga aslinya mencapai Rp 15 juta, ditawarkan hanya
senilai Rp 4 juta hingga Rp 5 juta saja. Kemudian ponsel Nokia seri terbaru yang harga aslinya masih Rp 6 juta, ditawarkan
senilai Rp 1 juta hingga Rp 2 juta saja.
Aksi
promosi para penjual tersebut tidak pernah dilakukan di chatroom umum. Para penjual, termasuk para penipu, melakukan
aksinya di chatroom khusus para carder. Ada banyak sekali chatroom carder, dengan puluhan hingga
ratusan pengunjung perharinya. Di dalam chatroom
tersebut, akan sangat mudah kita dapatkan beratus nomor kartu kredit bajakan,
lengkap dengan data pemilik serta fasilitas pengecekan 3 (tiga) digit rahasia
CVV2 yang hanya terdapat di bagian belakang kartu kredit dan tidak timbul (embossed).
Tentu
saja dengan keunggulan yang ditawarkan oleh penjual tersebut, para pengunjung chatroom akan mudah tergiur. Kemudian
pengunjung yang tertarik, atau tepatnya calon pembeli, akan melakukan private message ke nickname penjual tersebut untuk melakukan negosiasi harga. Jika
telah tercapai kesepakatan, maka si penjual tersebut akan meminta kepada si
calon pembeli/korban untuk mengirimkan sejumlah uang sebagai tanda jadi atau
sebagai uang muka atau sebagai ongkos kirim. Besarnya relatif, dari sekitar Rp 500 ribu (US$ 50) hingga Rp 1 juta (US$
100).
Jika calon pembeli sepakat, maka penjual
akan bertukar alamat e-mail dan MSN Messanger atau Yahoo Messanger dengan calon pembeli, guna kontak lebih lanjut dan
untuk bertukar alamat domisili masing-masing. Gunanya alamat domisili tersebut
adalah untuk alamat pengiriman uang dan alamat pengiriman barang. Selanjutnya,
penjual akan meminta kepada calon pembeli untuk segera menghubungi dirinya
melalui e-mail apabila uangnya telah
dikirimkan, dengan tujuan agar dirinya bisa segera mengirimkan barang yang
dipesan.
Celakanya,
setelah uang tersebut dikirimkan, barang yang dinanti tak kunjung datang. Maka
si calon pembeli tersebut pun menjadi korban penipuan si penjual tersebut.
Jika
penipuan telah terjadi, posisi korban sangatlah sulit. Korban tidak dapat atau
enggan melaporkan kasus penipuan tersebut kepada aparat penegak hukum karena
transaksi yang dilakukannya adalah transaksi atas barang yang ilegal, sehingga
tidak dapat dilindungi oleh hukum. Selain itu korban akan kesulitan
mengidentifikasi penipunya, karena transaksi yang dilakukannya melalui Internet dan tanpa bukti otentik hitam
di atas putih. Faktor lainnya adalah belum banyaknya pihak aparat penegak hukum
yang mengetahui seluk-beluk Internet,
termasuk modus operandi penipuan melalui chatroom
tersebut.
Untuk
lebih meyakinkan dan membuktikan analisa di atas, dalam satu kesempatan,
tepatnya pada minggu ke-4 Maret 2003,
tim ICT Watch sepakat untuk
benar-benar melakukan negosiasi dan transaksi dengan salah seorang penjual di chatroom #thacc pada server DALnet.
Penjual yang menggunakan nickname “tuyulcarder”
tersebut menawarkan sebuah notebook Sony
dan sebuah ponsel Nokia. Melalui private message penjual tersebut mengaku
dirinya saat itu sedang berada di kota Salatiga. Padahal berdasarkan analisa
tim ICT Watch pada log chatroom, penjual tersebut sebenarnya
menggunakan akses Internet di warnet Intersat di bilangan jalan Adisucipto -
Jogja.
Meskipun
demikian, tim ICT Watch terus
melakukan negosiasi melalui chatting
dan dilanjutkan dengan menghubungi ponselnya. Kemudian penjual tersebut
menyatakan bahwa dirinya sendiri yang akan mengantarkan barang pesanan tersebut
ke Jakarta pada keesokan harinya. Kemudian dia meminta untuk ditransfer
sejumlah dana ke rekeningny di Bank BCA sebagai uang muka. Maka tim ICT Watch melakukan transfer
sejumlah dana melalui fasilitas KlikBCA
ke rekeningnya di Bank BCA dengan 3 digit awal nomor rekening tersebut adalah “456”,
dengan inisial pemilik rekening tersebut adalah “BMEH”.
Akhirnya
perkiraan tim ICT Watch terbukti,
lantaran setelah dana tersebut ditransfer, barang pesanan tak kunjung
diantarkan walaupun telah ditunggu hingga beberapa hari kemudian. Ponsel milik
penjual tersebut pun menjadi tidak dapat dihubungi sama sekali.
Lima
Fakta Menarik
Ada
5 (lima) fakta menarik lainnya yang berhasil ditemukan tim ICT Watch saat melakukan observasi langsung ke beberapa chatroom carder di server DALnet, yaitu:
- Beberapa penjual akan meminta calon pembeli untuk melakukan transfer ke sebuah alamat tujuan di negara Rumania, Bulgaria bahkan India. Transfer tersebut selalu diminta melalui Western Union (WU). Para penjual akan mencoba meyakinkan calon pembeli/korban bahwa dirinya tidak akan dapat mengambil uang yang ditransfer melalui WU tanpa adanya Money Transfer Control Number (MTCN) yang dipegang oleh pengirim uang. Padahal, menurut informasi yang diperoleh ICT Watch, tidak semua negara mengharuskan para pengambil uang di WU harus menyebutkan MTCN.
- Selain itu, para penjual umumnya menggunakan bahasa Inggris. Walaupun demikian, dari hasil analisa log chatroom, terdapat sejumlah kejanggalan pada percakapan yang terjadi. Misalnya, ada kesan “copy-paste” terhadap jawaban dari penjual, penjual selalu terburu-buru ingin menyelesaikan negosiasi dan terkadang ada aksen-aksen bahasa Indonesia yang terselip ditengah percakapan.
- Yang menarik adalah keberadaan penjual yang menggunakan nickname asing, berbahasa Inggris serta menyebutkan alamat tujuan pengiriman uang ke Rumania, tetapi alamat Internet Protocol (IP) yang digunakannya adalah alamat IP milik Internet Service Provider (ISP) Centrin di Indonesia yaitu 202.146.226.xxx. Ada pula seorang penjual, yang lagi-lagi berbahasa Inggris, menyatakan dirinya berdomisili di Malaysia, tetapi beralamat IP milik kampus ITB - Bandung.
- Kemudian ada indikasi pula bahwa modus operandi penipuan melalui chatroom ini telah menggunakan konsep “agen” ataupun “sindikat”. Pasalnya, ditemukan fakta bahwa terdapat 2 (dua) atau lebih penjual yang berbeda, dibuktikan dengan IP yang berbeda serta secara terpisah melakukan negosiasi dengan ICT Watch dalam waktu yang bersamaan, menyebutkan sebuah alamat pentransferan dana di Rumania yang sama persis. Anehnya lagi, salah seorang dari mereka menggunakan IP Centrin.
- Fakta lain adalah kini ada semacam “keberanian” dari para penjual untuk bertransaksi, khususnya pada hal pentransferan dana yang sudah mulai banyak menggunakan bank dalam negeri semisal BCA, Lippo Bank ataupun Bank Mandiri. Meskipun demikian, para penjual tersebut tetap berusaha untuk mengaburkan identitas jati dirinya, dengan melakukan IP-spoofing dan/ atau menggunakan warung internet (warnet) saat melakukan aksinya.
*) Penulis adalah Koordinator ICT Watch dan jurnalis TI independen.
Dapat dihubungi
melalui e-mail donnybu@ictwatch.com.
Tulisan ini pernah dimuat oleh majalah Bisnis Komputer, Oktober 2003. Tulisan
ini bebas dikutip asal menyebutkan sumbernya.
Opini/ Solusi:
Untuk mengantisipasi berbagai permasalahan
yang terkait dengan keamanan sistem informasi, maka perlu diimplementasikan
suatu kebijakan dan prosedur pengamanan yang mencakup :
- Identifikasi sumber-sumber dan aset-aset yang akan dilindungi.
- Analisa kemungkinan ancaman dan konsekuensinya.
- Perkirakan biaya atau kerugian-kerugian yang dapat ditimbulkan.
- Analisa potensi tindakan penangkal dan biayanya serta kerugian lainnya.
- Mekanisme pengamanan yang sesuai.
- Perlu adanya suatu ketentuan yang mengatur perbankan nasional yang memiliki pusat penyimpanan, pemrosesan data atau informasi dan transaksi perbankan yang letaknya diluar negeri.
- Perlu dibentuk sebuah unit kerja khusus atau divisi Pengamanan – Pencegahan kejahatan perbankan di dalam struktur Bank/ Bank Indonesia yang fungsinya untuk melakukan penerapan kebijakan pengamanan sistem, melakukan penelitian untuk pencegahan terhadap ancaman/ kejahatan yang sudah ada maupun yang mungkin terjadi dan melakukan tindakan recovery serta pemantauan transaksi perbankan selama 24 jam.
- Bank Indonesia perlu melakukan audit terhadap sistem teknologi informasi dankomunikasi yang dilakukan oleh perbankan untuk setiap kurun waktu tertentu.
- Memperketat/ mengendalikan dengan cermat akses nasabah maupun pegawai ke jaringan sistem ICT perbankan, agar seluruh pegawai perbankan mengetahui bahwa mereka juga di pantau.
- Perlu adanya ketentuan (Peraturan atau UU) agar perbankan bertanggung jawab dengan mengganti uang nasabah yang hilang akibat kelemahan sistem pengamanan ICT perbankan.
- Perlu digunakan Perangkat Lunak Komputer Deteksi (software) untuk aktifitas rekening nasabah agar apabila terjadi kejanggalan transaksi dapat ditangani dengan cepat.
- Perlu sosialisasi aktif dari perbankan kepada masyarakat/ nasabah dan pegawai perbankan mengenai bentuk-bentuk kejahatan yang dapat terjadi dengan produk/ layanan yang disediakannya.
- Menambah persyaratan formulir identitas pada waktu pembukaan rekening baru untuk pemeriksaan pada database yang menghimpun daftar orang bermasalah dengan institusi keuangan.
- Pihak perbankan harus meningkatkan
keamanan Internet Banking dengan melakukan beberapa
hal seperti :
- Melakukan standarisasi dalam pembuatan aplikasi Internet Banking.
- Terdapat panduan apabila terjadi fraud dalam Internet Banking.
- Pemberian informasi yang jelas kepada user sedangkan pihak pemerintah dapat membebankan masalah keamanan Internet Banking kepada pihak bank sehingga apabila terjadi fraud dalam suatu nilai tertentu, user dapat mengajukan klaim.
- Khusus perihal beban pembuktian, perlu dipikirkan kemungkinan untuk menerapkan omkering van bewijslast atau pembuktian terbalik untuk kasus-kasus cyber crime yang sulit pembuktiannya. Tujuannya adalah untuk mengadili para carder (pemegang kartu) yang berbelanja dengan menggunakan kartu kredit orang lain secara melawan hukum.
- Selain pembaharuan terhadap hukum pidana materiil dan formil, juga dibutuhkan badan khusus untuk menanggulangi cyber crime yang terdiri atas penyidik khusus yang bertugas untuk melakukan investigasi bahkan sampai pada tahap penuntutan.
- Mengadakan pelatihan perihal cyber space kepada aparat penegak hukum yang mutlak dilakukan.
- Perlu dibuat suatu kerja sama untuk meningkatkan koordinasi dan tukar menukar informasi secara online dan ditunjuk contact person dengan mengikutsertakan berbagai pihak.
- Sebaiknya dibuat aturan hukum yang mewajibkan setiap penyelenggara Internet Banking agar dalam setiap transaksi dari “siapa pun” dan dari “mana pun” para pihak diharuskan mencantumkan dan diminta memberikan “digital signature atau tanda tangan elektronik” dalam transaksi online tersebut.
- POLRI dan Bank Indonesia harus melakukan beberapa hal penting yang meliputi :
- Mengembangkan wadah untuk melakukan hubungan informal untuk menumbuhkan hubungan formal.
- Pusat penyebaran ke semua partisipan.
- Pengkinian (update) data setiap bulan tentang perkembangan penanganan hukum.
- Program pertukaran pelatihan.
- Membuat format website antar pelaku usaha kartu kredit.
- Membuat pertemuan yang berkesinambungan antar penegak hukum.
- Melakukan tukar menukar strategi tertentu dalam mencegah/ mengantisipasi cyber crime di masa depan.
teman jangan lupa yah masukin link gunadarmanya k dalam blog kamu. Sebagai salah satu mahasiswa gunadarma ayo donk masukin link gunadarmanya, misalkan:
BalasHapuswww.gunadarma.ac.id
www.studentsite.gunadarma.ac.id
www.baak.gunadarma.ac.id
www.ugpedia.gunadarma.ac.id
:)