Pada dasarnya tidak ada satu hal pun yang 100% aman di dunia ini. Kebenaran ini tidak hanya berlaku bagi internet banking, tapi juga dengan offline banking (ATM dan datang langsung ke kantor). Bukankah ATM pun kebobolan, dan kantor bank pun dapat dirampok? Hanya saja, bentuk tindak penipuan/kejahatan Internet Banking berbeda.
Internet, antarjaringan komputer global ini, bisa dibilang sebuah rimba raya yang buas. Jika misalnya Anda ingin mengirimkan email kepada teman Anda di Belanda, maka data email tersebut harus melalui banyak titik perhentian. Di Internet, jaringan lokal demi jaringan lokal komputer bekerjasama saling mengoperkan data, agar tercipta suatu superjaringan besar yang akhirnya kita namakan INTER-NET ini. Email Anda mungkin harus melewati 15 titik perhentian atau lebih (pertama ke beberapa komputer di ISP Anda dulu, lalu ke IIX, lalu ke backbone internasional, dst).
Nah, tentunya tidak semua jaringan dan titik perhentian yang dilewati tersebut dapat Anda percaya atau terjamin keamanannya bukan? Mungkin saja, di titik tertentu, pengurus jaringan di titik tersebut memutuskan untuk merekam setiap data yang kebetulan lewat melalui dirinya. Padahal data tersebut belum tentu ditujukan kepadanya! Jadi data email pribadi Anda bisa saja sebetulnya dibaca oleh belasan bahkan ratusan orang.
Kalau begitu bukankah amat mengerikan kita memakai Internet? Apakah ada solusi untuk masalah ini? Jawabannya: ya. ENKRIPSI atau penyandian. Apakah Anda pernah menonton film perang dunia kedua misalnya, tentang mata-mata yang ingin menyelundupkan informasinya keluar perbatasan? Si mata-mata tahu pasti, dirinya pasti akan digeledah di pos perbatasan. Kalau informasi yang ingin dia selundupkan diketahui petugas, matilah ia. Apa yang dia bisa lakukan? Si mata-mata menyandikan informasi ini, dalam bentuk yang sulit dan amat memakan waktu lama untuk dipecahkan. (Bukan betul-betul tidak mungkin, tapi amat sulit dan lama, sehingga "praktis" tidak mungkin).
Di Internet dikenal teknologi bernama SSL (secure socket layer), yang pertama-tama dikembangkan oleh Netscape dan kini juga didukung oleh browser Internet Explorer. Teknologi ini mengenkripsi data yang dikirimkan dari browser Anda ke tempat tujuan, sehingga di titik-titik antara yang dilewati, meskipun data Anda tetap melewatinya, namun sama sekali terlihat acak dan tidak dapat dimengerti oleh si pelihat. Jadi, meskipun Anda mengirimkan user ID dan PIN dari Amerika misalnya, dan harus melewati 30 titik sebelum sampai ke server Internet Banking BCA di Jakarta, di ketiga puluh titik ini user ID dan PIN Anda tidak dapat/sangat sangat sulit dilihat orang yang tak berkepentingan. [Bukan berarti tidak mungkin pula, ingat kecanggihan teknologi selalu dapat membuat yang tak mungkin menjadi mungkin. Barangkali saja suatu hari nanti SSL dapat ditembus orang. Namun hingga saat ini teknologi SSL masih terbukti aman dan paling banyak digunakan oleh situs-situs online mulai dari Yahoo!, Ebay!, sampai bank-bank online termasuk BII, BCA, atau Bank Bali].
Kelemahan utama pada kita
Kalau seorang cracker [penerobos komputer yang biasanya bermaksud jahat] tidak bisa mengintip data Anda di titik-titik perantara, apa yang bisa ia lakukan? Ia akan memanfaatkan kelemahan kita sebagai pengguna, yaitu: keteledoran dan ketidakwaspadaan.
Pertama, dengan typo-site
Typo site, atau situs bernama mirip, dapat dengan mudah dibuat untuk domain .COM, .NET, .ORG, dan beberapa jenis domain lainnya. Jadi, misalnya saya mempunyai SALMAHARYANTO.COM, Anda bisa saja membeli SALMA-HARYANTO.COM, SALAMHARYANTO.COM, SALMAHARYATNO.COM, dan sebagainya -- selama domain itu belum dibeli oleh saya sendiri atau orang lain tentunya. Harga per domain saat ini berkisar sekitar 8-15$ atau sedikit lebih mahal, bergantung pada tempat Anda membelinya. Anda bisa membeli domain misalnya di stargateinc.com, joker.com, atau http://www.gkg.net/. Untuk membelinya biasanya Anda harus mempunyai kartu kredit. Tapi di luar itu tidak ada persyaratan lain. Si pembeli nama-nama domain mirip (atau plesetan) ini lalu dapat saja membuat tampilan situsnya 100% mirip aslinya, sehingga seorang yang salah ketik tidak menyadari ia berada di situs yang salah. Tujuannya biasanya untuk menangkap user ID dan password dan disalahgunakan (saya yakin dalam kasus kilkbca.com Steven sendiri tidak pernah membagikan dan menyalahgunakan data yang diperolehnya).
Karena situs Internet Banking seperti KlikBCA biasanya diperlengkapi sertifikat sebagai proteksi tambahan, maka saat mulai memasuki situs gadungan akan muncul peringatan.
Bagi yang tidak dapat melihat gambarnya: Akan muncul kotak dialog dan tulisan: Information you exchanged with this site cannot be viewed or changed by others. However there is a problem with the site's security certificate. [Icon Tanda Waspada Kuning] The security certificate is issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.
Terjemahan: Informasi yang Anda pertukarkan di situs ini tidak dapat dilihat atau diganti oleh orang lain [Karena proteksi SSL]. Namun ada masalah dengan sertifikat keamanan situs ini. [Icon Tanda Waspada Kuning] Sertifikat keamanan di situs ini dibuat oleh perusahaan yang belum Anda percayai. Lihatlah sertifikatnya untuk memutuskan apakah Anda ingin mempercayai penguasa pemberi sertifikasinya. Apakah sertifikat itu? Sertifikat adalah pemasti identitas sebuah situs. Sertifikat KlikBCA ditandatangani (secara digital) oleh perusahaan bernama Verisign. Sebelum Verisign menandatangani sertifikat suatu perusahaan, ia akan terlebih dahulu melakukan serangkaian pengecekan ketat seperti dokumen-dokumen pendirian perusahaan, alamat kantor, apakah perusahaan betul-betul pemilik domain ybs, dan sebagainya. Ini berarti, jika sebuah perusahaan memperoleh sertifikasi dari Verisign, umumnya perusahaan tersebut terpercaya. Setiap sertifikat yang telah ditandatangani oleh Verisign otomatis dipercayai oleh browser, sehingga tidak akan muncul warning.
Situs ibank.kilkbca.com tidak memiliki sertifikat BCA (dan tidak dapat mencurinya karena sertifikat itu ada di server BCA yang dijaga ketat) dan juga tidak dapat memalsukan tanda tangan digital Verisign. Karena itu akan muncul warning jika Anda memasuki situs gadungan ini. Di sinilah dibutuhkan kewaspadaan pengguna. Anda tidak seharusnya mengklik Yes langsung, tapi harus meng-klik No dan tidak jadi memasuki situs tersebut. Jika Anda meragukan kebenaran sertifikat sebuah situs, Anda dapat mengklik View Certificate untuk melihat rincian sertifikat dan memastikan apakah perusahaan yang Anda masuki situsnya ini dapat dipercayai.
Kedua, keylogger
Apa itu keylogger? Keylogger adalah sebuah program kecil yang berjalan tersembunyi dan merekam setiap ketikan tombol Anda (bahkan juga gerakan mouse). Artinya, meskipun saat mengetikkan password di kotak password yang tampil hanya '*****' misalnya, tapi apa yang Anda ketikkan di keyboard tetap direkam oleh keylogger.
Bagaimana mendeteksi keberadaan keylogger? Beberapa program keylogger yang jelek memang tidak betul-betul tersembunyi. Jika Anda menggunakan Windows dan menekan Ctrl-Alt-Del, Anda kadang dapat menemukan Task bernama agak janggal yang patut dicurigai. Namun program-program yang lebih baru dan canggih tidak bisa dideteksi dengan mudah. Singkat kata, jika Anda tidak mempercayai warnet atau komputer kantor Anda, jangan mengakses situs-situs penting apalagi mengetikkan password. Akseslah internet banking dari rumah di mana komputer pribadi Anda terjamin hanya Anda pemakainya. Atau tanyakan pada orang yang betul-betul mengerti secara teknis dan betul-betul Anda percayai, apakah komputer yang bersangkutan bersih dari program pengintai.
Ketiga, ilusi dari jaringan setempat
Di jaringan tempat komputer kita berada (di kantor atau warnet), seorang network admin [pengurus jaringan] memiliki akses penuh terhadap jaringan tersebut. Ia dapat membelokkan aliran data-data dari komputer Anda yang seharusnya menuju suatu jaringan tertentu, ke jaringan lain atau bahkan jaringan dia sendiri. Seandainya ia bermaksud jahat, ia dapat membelokkan akses permintaan Anda mengakses www.klikbca.com ke tempat lain yaitu ke situs gadungannya misalnya. Ini berarti Anda sebetulnya tidak mengakses server KlikBCA asli meskipun Anda mengetikkan tepat benar www.klikbca.com atau meskipun tidak keluar warning sama sekali. Jadi Anda perlu juga mempercayai betul network admin di jaringan Anda. Yang paling aman adalah tidak mengakses internet banking dari kantor, kecuali Anda betul-betul percaya pada komputer dan jaringan setempat.
Ringkasan
Jadi apakah kita harus menjauhi internet banking sama sekali? Rasanya tidak perlu begitu. Internet Banking amat berguna karena kepraktisannya dan dapat diakses dari mana saja. Namun yang perlu diingat, meskipun server internet banking aman 100% sekalipun, Anda selalu menanggung risiko karena adanya TYPO SITE, KEYLOGGER, atau ILUSI JARINGAN SETEMPAT. Mungkin juga ada celah-celah lain yang memanfaatkan keteledoran kita (ingat, ke ATM atau ke kantor bank pun kita selalu menanggung risiko!). Ini tentunya di luar kontrol pihak internet banking dan bukan kesalahan mereka. Yang penting Anda harus menyadari hal ini.
Berikut panduan praktis untuk Anda.
SATU. Untuk mencegah terjebak typo site, selalulah periksa kembali nama situs yang Anda ketikkan. Jangan sampai ada salah ketik, tanda setrip yang tidak perlu, atau kehilangan tanda setrip yang perlu. Huruf kecil terbalik dengan huruf besar tidak apa-apa, tapi perhatikan kadang huruf EL KECIL (l) mirip dengan huruf I BESAR (I), atau angka LIMA (5) mirip dengan huruf ES BESAR (S). Berhati-hatilah.
DUA. Jika Anda mengakses situs internet banking dari sebuah link, juga periksalah link tersebut apakah membawa Anda ke server yang betul. Lihat jangan-jangan ada permainan huruf atau salah ketik.
TIGA. Jika keluar pesan warning mengenai sertifikat saat mengakses server internet banking (seperti terlihat pada gambar di atas), lebih baik tidak jadi mengakses situs tersebut atau mengecek ulang nama situs yang Anda ketikkan.
EMPAT. Lebih baik tidak mengakses situs internet banking dari tempat-tempat publik atau tempat tak terpercaya, seperti misalnya komputer di warnet, di kantor, milik teman, dsb. Agar yakin aman, gunakan komputer pribadi yang hanya Anda yang memiliki akses ke sana.
LIMA. Jika Anda merasa atau menemui keganjilan apa pun, segera hentikan kegiatan Anda dan jangan lagi masukkan password atau informasi sensitif. Tanyakan kepada orang yang Anda percaya dan tahu mengerti teknis, atau kepada customer support Bank Anda.
ENAM. Selalu log out setelah selesai menggunakan internet banking.
Semoga informasi ini berguna. Silakan bagikan kepada orang lain. Pesan saya hanya satu: Waspada selalu!!!
Langganan:
Posting Komentar (Atom)
0 comments:
Posting Komentar