Dokumen ini membahas mengenai pembobolan bank berbasis teknologi informasi. Penggunaan teknologi informasi di bank semakin meningkat namun juga meningkatkan risiko kejahatan siber. Pembobolan dapat dilakukan oleh pihak internal maupun eksternal dengan menggunakan berbagai metode seperti internet banking palsu, skimming data nasabah, dan menyadap jaringan komunikasi. Dokumen ini juga memberikan rekomendasi perlindungan seperti otentik
2. Latar Belakang
• Semakin banyaknya layanan bank yang dapat
diakses nasabah secara langsung dengan
menggunakan teknologi informasi
• Penggunaan teknologi informasi di dalam bank
pun semakin meningkat
• Teknologi informasi dan komputer
berkembang terus dengan menghasilkan
produk yang semakin cepat dan kecil
ukurannya
• Meningkatnya kejahatan yang dilakukan
dengan menggunakan teknologi informasi
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 2
3. Garis Besar
• IT disalahgunakan untuk melakukan fraud
(pembobolan)
– External
– Internal
• IT digunakan untuk mendapatkan
informasi, fraud dilakukan secara
konvensional
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 3
4. Penyalahgunaan IT
• Oleh pihak eksternal
– Internet banking
• Web internet banking abal‐abal / gadungan
• Buruknya desain dan implementasi dari aplikasi
internet banking (misal menggunakan data pribadi
sebagai bagian dari username)
• Take over komputer klien
• Diperlukan audit security dari aplikasi
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 4
5. Penyalahgunaan IT
• Oleh pihak eksternal (cont.)
– SMS banking
• Jika menggunakan plain text, rentan bocor data
– mBanking?
– Penyadapan jaringan komunikasi (internet,
LAN, VSAT, …)
– ATM dipasangi alat
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 5
6. Penyalahgunaan IT
• Oleh pihak internal
– Mengakses core banking atau aplikasi (atau
devices) untuk membuat transaksi [iktif
– Link kartu ATM ke rekening yang berbeda
– Dampak lebih dahsyat daripada attack dari
eksternal
– Proteksi: logging, analysis
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 6
7. IT sebagai pendukung fraud
• IT digunakan untuk mendapatkan data
nasabah
– Skimmer (menangkap data di magnetic strip)
– Sniffer (menangkap paket data yang lalu lalang
di jaringan komunikasi)
– Keylogger (menangkap apa yang diketikkan di
keyboard komputer)
– Phishing (personal information 4ishing, dengan
situs abal‐abal, social engineering)
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 7
8. Perlindungan
• Twofactor authentication
– What you have
– What you know
– What you are
• Data yang berubah secara dinamik (misal
dengan menggunakan token)
• Logging dan analisis data
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 8
10. Perlindungan
• Edukasi masyarakat / nasabah
– Untuk mengurangi potensi serangan phishing
– Kebijakan bahwa bank tidak akan pernah
menanyakan PIN/password melalui telepon /
email / SMS
– Tidak menggunakan data pribadi sebagai
bagian dari PIN/password
– Tidak menampilkan data pribadi di berbagai
layanan social network
– Ke mana harus melapor (help desk)
17 Februari 2010 BR ‐ Pembobolan Bank dengan IT 10