Teknik yang digunakan cracker untuk mendapatkan data pin dan saldo rekening korban meliputi session hijacking, packet sniffing, DNS spoofing, dan website defacing. Untuk mencegah hal tersebi terjadi, perlu menggunakan password secara acak bukan data pribadi, menggunakan alat pengaman transaksi seperti key generator, dan merahasiakan password dari orang lain.
1. Cracker to e-commerce
Cracker
adalah sebutan untuk mereka yang masuk ke
sistem orang lain dan cracker lebih bersifat
destruktif, biasanya di jaringan komputer,
mem-bypass password atau lisensi program
komputer, secara sengaja melawan keamanan
komputer, men-deface (merubah halaman
muka web) milik orang lain bahkan hingga
men-delete data orang lain, mencuri data.
2. E-commerce adalah kegiatan komersial dengan
penyebaran, pembelian, penjualan, pemasaran
barang dan jasa melalui sistem elektronik seperti
internet atau televisi, www, atau jaringan komputer
lainnya. E-commerce dapat melibatkan transfer dana
elektronik, pertukaran data elektronik, sistem
manajemen inventori otomatis, dan sistem
pengumpulan data otomatis.
3. BAGAIMANA SESEORANG MENG-CRACK INFORMASI DI INTERNET
BANKING SEHINGGA CRACKER MENDAPATKAN DATA PIN DAN SALDO
REKENING KORBAN ?
1. Teknik Session Hijacking Dengan session
hijacking, cracker menempatkan sistem monitoring/spying
terhadap pengetikan yang dilakukan pengguna pada PC
yang digunakan oleh pengguna (user) untuk mengunjungi
situs internet banking. Untuk mengatasi masalah ini
pengguna sebaiknya menggunakan komputer yang
benar-benar terjamin dan tidak digunakan oleh
sembarang orang, misalnya komputer di
rumah, kantor, dsb.
4. 2. TEKNIK PACKET SNIFFING PADA TEKNIK INI CRACKER
MELAKUKAN MONITORING ATAU PENANGKAPAN TERHADAP
PAKET DATA YANG DITRANSMISIKAN DARI KOMPUTER USER KE
WEB SERVER INTERNET BANKING PADA JARINGAN INTERNET.
CRACKER YANG MELAKUKAN TEKNIK INI TERKENAL JUGA
DENGAN ISTILAH MITM (MAN IN THE MIDDLE). UNTUK
MENGATASI MASALAH INI PERLU DILAKUKAN
ENKRIPSI/PENYANDIAN PAKET DATA PADA KOMPUTER CLIENT
SEBELUM DIKIRIMKAN MELALUI MEDIA INTERNET KE WEB
SERVER.
5. 3. TEKNIK DNS SPOOFING PADA TEKNIK INI CRACKER BERUSAHA
MEMBUAT PENGGUNA MENGUNJUNGI SITUS INTERNET BANKING YANG
SALAH SEHINGGA MEMBERIKAN INFORMASI RAHASIA KEPADA PIHAK YANG
TIDAK BERHAK. UNTUK MELAKUKAN TEHNIK INI CRACKER UMUMNYA
MEMBUAT SITUS INTERNET BANKING YANG MIRIP NAMANYA DENGAN
NAMA SERVER E -COMMERCE ASLI. MISALNYA WWW.KLIKBCA.COM
MERUPAKAN SITUS YANG ASLI, MAKA HACKER AKAN MEMBUAT SITUS
BERNAMA WWW.KLIK_BCA.COM, WWW.KLIKBCA.ORG, WWW.KLIKBCA.COM, DENGAN DEMIKIAN KETIKA PENGGUNA MEMBUKA ALAMAT YANG
SALAH, IA AKAN TETAP MENDUGA IA MENGUNJUNGSI SITUS KLIKBCA YANG
BENAR. UNTUK MENGATASI MASALAH TERSEBUT DAPAT DIPECAHKAN
DENGAN MELENGKAPI DIGITAL CERTIFICATES PADA SITUS ASLI. DENGAN
DEMIKIAN MESKIPUN CRACKER DAPAT MEMBUAT NAMA YANG SAMA
NAMUN TIDAK BISA MELAKUKAN PEMALSUAN DIGITAL CERTIFICATE.
PENGGUNA ATAU PENGUNJUNG SITUS DAPAT MENGETAHUI BAHWA SITUS
ITU ASLI ATAU TIDAK DENGAN MELIHAT ADA TIDAKNYA CERTIFICATE PADA
SITUS TERSEBUT MENGGUNAKAN BROWSER MEREKA. DISAMPING ITU
WEBSERVER ECOMMERCE HARUS DILENGKAPI DENGAN FIREWALL YANG
AKAN MENYARING PAKET-PAKET DATA YANG MASUK SEHINGGA
TERHINDAR DARI SERANGAN DENIAL OF SERVICE (DOS).
6. 4. TEKNIK WEBSITE DEFACING PADA TEKNIK INI CRACKER
MELAKUKAN SERANGAN PADA SITUS ASLI MISALKAN
WWW.KLIKBCA.COM KEMUDIAN MENGGANTI ISI HALAMAN PADA
SERVER TERSEBUT DENGAN MILIKNYA. DENGAN DEMIKIAN
PENGUNJUNG AKAN MENGUNJUNGI ALAMAT DAN SERVER YANG
BENAR NAMUN HALAMAN YANG DIBUAT CRACKER. UNTUK
MENGATASI MASALAH DI ATAS SERVER ECOMMERCE PERLU
DIKONFIGURASI DENGAN BAIK AGAR TIDAK MEMILIKI SECURITY
HOLE DAN HARUS DILENGKAPI FIREWALL YANG AKAN MENYARING
PAKET DATA YANG DAPAT MASUK KE SITUS TERSEBUT.
PERHATIKAN GAMBAR BERIKUT TENTANG WEBSITE DEFACING.
TEKNIK WEBSITE DEFACING DALAM WAWANCARANYA DI METRO TV
HARI MINGGU KEMARIN, PAKAR KEAMANAN INTERMET
MENGATAKAN BAHWA KEAMANAN INFORMASI SITUS INTERNET
BANKING DI INDONESIA MASIH PADA TAHAP PRINSIP AVAILABILITY.
INILAH YANG MEMBUAT NASABAH MASIH SANGAT RAWAN MENJADI
KORBAN CRACKER
7.
8. DIA MENJELASKAN, UMUMNYA NASABAH BANK MENGGUNAKAN TANGGAL
LAHIR SEBAGAI NOMOR PIN ATAU PASSWORD ID DI LAYANAN INTERNET
BANKING BANK TERSEBUT. SEHINGGA PELAKU DAPAT DENGAN MUDAH
MENGGASAK UANG NASABAH, KETIKA PIN YANG DIMASUKAN COCOK
DENGAN MILIK NASABAH.
“DIUPAYAKAN DATA RAHASIA NASABAH BANK JANGAN MENGGUNAKAN
DATA YANG DIKETAHUI ORANG LAIN, SEPERTI TANGGAL LAHIR,” IMBUHNYA.
DITANYA NAMA BANK SWASTA YANG DIRUGIKAN DALAM KASUS INI,
WINSTON ENGGAN MEMBEBERKAN NAMA BANK TERSEBUT. DIA HANYA
MENGATAKAN HANYA 1 BANK SAJA YANG DIRUGIKAN DALAM KASUS INI.
LEBIH LANJUT DIA MENGATAKAN, KASUS INI TERJADI PADA 25 JANUARI
2009 SAMPAI AGUSTUS 2009, DI KAWASAN JAKARTA SELATAN.
DALAM KASUS POLISI TELAH MENETAPKAN SEORANG TERSANGKA DAN
MELAKUKAN PENAHANAN, TERHADAP PRIA BERINISIAL EYN, USIA SEKITAR
30 TAHUN. SEDANGKAN SEORANG TERSANGKA LAINNYA BERINISIAL HH
MASIH DALAM PENCARIAN.
“EYN PROFESINYA JOBLESS (PENGANGGURAN), SEBELUMNYA DIA
BEKERJA SEBAGAI KARYAWAN SWASTA,” PAPARNYA. DIA MENGATAKAN,
EYN BERLATAR PENDIDIKAN S1 PERGURUAN TINGGI DI JAKARTA, DAN
TIDAK MEMILIKI RIWAYAT BEKERJA PADA PERUSAHAAN PERBANKAN.
9. UNTUK MENCEGAH AGAR TIDAK TERJADI LAGI KASUS
PEMBOBOLAN BANK, SETIDAKNYA ADA TIGA HAL YANG BISA
DILAKUKAN:
JANGAN GUNAKAN DATA DIRI SEBAGAI PASSWORD, KARENA
AKAN MEMUDAHKAN ORANG UNTUK MENEBAK DAN MENGAKSES
REKENING ANDA. BUAT PASSWORD SECARA ACAK.
TEKNOLOGI SEKARANG INI, SUDAH ADA ALAT YANG BERNAMA
KEY GENERATOR YANG BERGUNA UNTUK MENG-GENERATE
SEBUAH ANGKA YANG BERGUNA UNTUK MELAKUKAN SEGALA
TRANSAKSI SEPERTI TRANSFER, DAN PEMBAYARAN VIA INTERNET
BANKING. CONTOH SEPERTI DI BANK BCA DENGAN NAMA KEYBCA.
SELALU RAHASIAKAN PASSWORD ANDA DARI SIAPAPUN. DAN
SELALU BERHATI-HATI SETIAP MELAKUKAN TRANSAKSI.