Kasus perampokan uang nasabah perbankan melalui fasilitas Internet banking di dalam dan luar negeri semakin marak. Di Amerika Serikat, beberapa perusahaan mengalami kerugian hingga ratusan ribu U.S. Dollar akibat rekening internet banking korporat mereka dirampok. Baru-baru ini terungkap jaringan perampok iternet banking yang menimbulkan kerugian hingga 3 juta U.S. Dollar. Perampokan uang nasabah tersebut dilakukan dengan menggunakan trojan Zeus yang disusupi kedalam perambah (serangan man-in-the-browser / MITB).
Di Indonesia sendiri, sebenarnya banyak terjadi kasus perampokan uang nasabah perbangkan melalui fasilitas Internet banking. Namun, karena pihak bank yang selalu merasa aplikasi mereka sudah aman, dan mereka merasa perampokan melalui Internet banking itu tidak mungkin terjadi, makanya banyak masayarakat yang pernah mengalami perihal tersebut tidak akan pernah mendapatkan jawaban yang memuaskan, dan uang mereka yang hilang kecil kemungkinan untuk kembali lagi.

Karena hal itulah sejak awal 2010, XecureIT melakukan riset kelemahan sistem keamanan internet banking untuk mengetahui secara pasti tehnik-tehnik perampokan internet banking sehingga dapat dilakukan langkah-langkah pencegahan yang efektif.
Hasil riset menunjukan merampok di internet banking amat mudah dilakukan hanya dengan bermodalkan komputer dan beberapa alat bantu (tools) gratis yang tersedia di internet, lengkap dengan petunjuk penggunaannya.

Kejahatan ini terbukti dapat dilakukan terhadap sistem internet banking yang telah dilindungi oleh protokol enkripsi / pengacak – Secure Socket Layer (SSL) dan security token (alat seperti kalkulator, pembangkit password sekali pakai). Kondisi ini amat mengkhawatirkan jika dimanfaatkan sebagai sumber dana yang amat besar bagi pelaku terorisme dan dapat dilakukan dengan risiko tertangkap amat kecil jika dilakukan dengan rapih.

Selain mengkhawatirkan, kondisi ini juga amat memprihatinkan nasabah perbankan di Indonesia, mengingat perlindungan hak-hak konsumen yang lemah dibidang perbankan. Seluruh pengguna e-banking, seperti kartu debit, phone banking dan internet banking, diharuskan menandatangani perjanjian yang isinya seluruh transaksi elektonik yang terjadi merupakan tanggung-jawab nasabah sepenuhnya. Termasuk jika terjadi perbedaan antara catatan di sistem bank dengan buku tabungan, laporan transaksi dan catatan lainnya milik nasabah, maka yang diakui sepenuhnya oleh nasabah adalah catatan di sistem bank.

Tehnik perampokan yang kami temukan dan tengah digunakan penjahat dunia maya meletakan nasabah pada posisi yang lemah dikarenakan:

• Sistem keamanan Internet Banking saat ini tidak dapat mendeteksi tehnik perampokan lewat dunia maya tersebut.
• Perampok dengan mudah menggunakan fasilitas internet akses publik untuk menyembunyikan jejak.
• Seluruh transaksi akibat perampokan dianggap legitimate secara sistem sehingga sepenuhnya merupakan tanggung-jawab nasabah.

Sebenarnya permasalahan serta tehnik perampokan tersebut telah XecureIT Lab paparkan sejak akhir Maret 2010 kebeberapa bank di Indonesia. Selain itu, XecureIT Lab juga telah memaparkan hal tersebut ke Kementerian Komunikasi dan Informatika, serta beberapa tokoh TI Indonesia. Namun hingga saat ini belum terlihat langkah nyata dari dunia perbankan nasional untuk memperbaiki berbagai kelemahan tersebut diatas secara sungguh-sungguh.

Untuk mengurangi risiko perampokan tersebut, XecureIT mengembangkan XecureBrowser (XB) 1.0 sebagai solusi GRATIS berbasis sumber terbuka (free open source solution / FOSS), untuk memudahkan nasabah yang awam memahami risiko tersebut dan melakukan langkah-langkah pencegahan. XecureBrowser1.0, storyboard dan poster tersebut dapat diunduh bebas di https://www.xecureit.com/xb.

Selain membuat poster kesadaran keamanan internet banking dan solusi keamanan gratis bagi nasabah, XecureIT juga meminta kepada Bank Indonesia agar mengeluarkan Peraturan Bank Indonesia mengenai keamanan internet banking yang memberi perlindungan keamanan nyata dan menyeluruh kepada para nasabah.

Aksi phising alias upaya pencurian informasi sensitif yang menyasar nasabah bank sudah berulang kali terjadi. Berikut adala empat kiat yang bisa dijadikan pegangan nasabah agar tak terperdaya dengan aksi tipu-tipu ini.

1. Cek Asal Usul Email
Modus yang biasa dilancarkan penjahat cyber adalah dengan mengirimkan email pancingan ke sejumlah orang. Isi surat elektronik tersebut biasanya meminta si calon korban untuk mengunjungi situs tertentu, untuk kemudian melakukan registrasi ulang (memasukkan username dan password e-banking nasabah).

Nah, bagi nasabah jangan lantas percaya jika mendapat email dengan model seperti ini. Cek dulu asal-usul si pengirim email, apakah menggunakan domain email resmi dari suatu bank tertentu atau tidak.

Sebab, jika mereka memakai domain email tak jelas, sudah tak usah dipercaya email tersebut. Meskipun di akhir email mereka mengaku-ngaku dari bank yang bersangkutan.

2. Tak Cukup Lewat EmailMelakukan registrasi ulang dengan memasukkan username dan password merupakan aktivitas yang sensitif. Jadi, penyampaian informasi terkait aktivitas ini juga tak bisa sembarangan, cuma lewat email.

Sejumlah bank mengaku jika menginginkan para nasabahnya melakukan registrasi ulang, mereka biasanya tak cuma memberi kabar lewat email. Namun juga melalui sarana yang lebih personal, yakni dihubungi secara langsung. Ada juga yang menggunakan surat resmi, meski dipadu-padankan dengan email pula. Setidaknya, pihak bank memperlakukan aktivitas ini dengan lebih profesional.

3. Telepon BalikJangan ragu untuk menelpon customer service bank yang Anda gunakan. Lebih baik waspada, ketimbang ragu-ragu namun malah berujung hal buruk bagi Anda.

4. Membedakan Situs Asli atau PalsuSitus lembaga keuangan yang digunakan untuk login biasanya memiliki sistem keamanan yang lebih ketat. Pertama, lihat alamat situsnya. Situs login harusnya menggunakan awalan 'https' bukan 'http'. Https merupakan merupakan versi aman dari http.

Akhiran 's' pada 'http' tersebut menandakan bahwa situs tersebut benar-benar telah 'secure', karena dilindungi oleh teknologi enkripsi data berupa Verisign SSL.

Di situs e-banking Bank Permata yang aspal, tercantum pula logo 'Verisign Security Site'. Bagi orang awam, tentu sulit membedakannya. Yang dapat menjadi salah patokan kesahihan sebuah situs e-banking yaitu URL yang tertulis adalah 'https'.

Kemudian di bagian kanan bawah browser (untuk Firefox) ada gambar gembok yang terkunci. Sementara untuk Internet Explorer (IE), gembok warna kuning ini ada di isian URL.


Demikian empat kiat singkat sumber untuk membantu pembaca dalam menangkal aktivitas phising yang mengancam. Meski terkesan simple namun dampak yang akan diberikan oleh ketidakwaspadaan ini akan berakibat fatal.

Jika korban tanpa sadar mengisi username dan password pada situs aspal tersebut, maka dapat dipastikan bahwa data-data personal tersebut, termasuk catatan aktifitas e-banking-nya, akan dapat diketahui oleh pihak lain yang tidak bertanggung jawab

Volume Spam global mungkin menurun, tapi tingkat bahayanya disinyalir naik. Berikut adalah enam hal yang harus dihindari demi menghalau penyebaran spam.

Dalam laporan bulanan Symantec Messaging and Web Security yang dikutip sumber, Rabu (24/11/2010) disebutkan bahwa volume global email sampah (spam) menurun.

Meski demikian ini bukan alasan untuk menjadi lengah dan tidak lagi melakukan prosedur keamanan yang dibutuhkan.

Nah, berikut adalah enam hal yang menurut Symantec sebaiknya tidak dilakukan oleh pengguna internet. Larangan ini perlu untuk menghalau penyebaran spam.

1. Membuka lampiran dari email yang tidak dikenal

Jangan tergoda untuk membuka lampiran pada email yang terlihat mencurigakan. Kadang lampiran itu memang punya nama yang menggoda, namun bisa jadi isinya adalah program jahat.

2. Membalas spam
Mungkin karena kesal atau alasan lain, pengguna bisa tergoda untuk membalas email spam dengan sumpah-serapah atau permintaan untuk tidak dikirimi email lagi.

Hati-hati, karena biasanya alamat yang digunakan itu adalah palsu dan jika dibalas justru akan melahirkan lebih banyak spam lagi ke Inbox.

3. Isi Form via Email

Trik pencurian data yang sering dilakukan adalah meminta calon korban mengisi data pribadi lewat form yang ada di email, atau form yang link-nya ditampilkan dalam email.

Symantec mengatakan, perusahaan terkemuka tidak mungkin meminta informasi pribadi Anda melalui email. Jika ragu, hubungi perusahaan itu lewat jalur resmi terpisah. Jangan mengklik atau copy-paste dari link dalam pesan.

4. Membeli produk atau jasa dari pesan spam

Meskipun produk atau jasa itu terdengar menarik, sebaiknya jangan mencoba untuk melakukan pembelian produk atau jasa yang ditawarkan lewat spam. Hal ini hanya akan mendorong orang untuk terus menggunakan spam.

5. Membuka pesan spam
Jika sebuah pesan sudah jelas adalah spam, misalnya karena ditandai oleh Spam Filter yang digunakan, ini artinya pesan itu memang sudah seharusnya dibuang.

6. Meneruskan Email Berantai

Banyak peringatan soal virus, bahaya keamanan dan hal-hal lain yang disebarkan lewat email. Karena ada kemungkinan hal semacam itu hanya kabar burung (hoax) belaka, sebaiknya jangan ikut-ikutan mengirimkan pesan berantai.