Studi
Kasus: Pembobolan Internet Banking pada Bank Central Asia
(Febrianti,
140462201113)
Phising (Password Harvesting Fishing) adalah
tindakan penipuan yang menggunakan email palsu atau situs web palsu yang
bertujuan untuk mengelabui user sehingga pelaku bisa
mendapatkan data user tersebut. Phising biasanya
ditujukan kepada pengguna online banking. Pengertian phising itu
sendiri adalah bentuk kejahatan yang sengaja dilakukan oleh seseorang untuk
mendapatkan informasi penting terhadap pengguna internet dengan cara
memanipulasi sebuah web agar pengguna internet dapat
tertarik untuk memasuki situs tersebut. Istilah phising dalam
bahasa inggris berasal dari kata fishing (
memancing ), dalam hal ini berarti memancing informasi keuangan dan kata sandi
pengguna, misalnya bank bertujuan untuk mendapatkan data-data
pribadi seseorang, berupa PIN, kata sandi, nomor rekening,
nomor kartu kredit. dan sebagainya.
Contoh kasus Phising yang pernah terjadi di Indonesia adalah kasus pembobolan
internet banking milik bank BCA pada tahun 2001. Kasus tersebut dilakukan oleh
seorang mantan mahasiswa ITB Bandung dan juga merupakan salah satu karyawan
media online (satunet.com) yang bernama Steven Haryanto.
Bagaimana pembobolan ini dapat terjadi?
Pembobolan
ini terjadi ketika Steven juga pernah salah mengetikkan alamat website.
Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang
menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan
yang sama persis dengan situs internet banking BCA. Kemudian dia membeli
domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan
kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan
situs internet banking BCA, www.klikbca.com , seperti:
Ø wwwklikbca.com
Ø kilkbca.com
Ø clikbca.com
Ø klickbca.com
Ø klikbac.com
Orang
tidak akan sadar bahwa dirinya telah menggunakan situs aspal tersebut karena
tampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut mampu
mendapatkan User ID dan password dari pengguna yang memasuki situs aspal
tersebut, namun hacker tersebut tidak bermaksud melakukan tindakan kriminal
seperti mencuri dana nasabah, hal ini murni dilakukan atas keingintahuannya
mengenai seberapa banyak orang yang tidak sadar menggunakan situs klikbca.com,
Sekaligus menguji tingkat keamanan dari situs milik BCA tersebut.
Steven
Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu sistem
milik orang lain yang dilindungi privasinya. Sehingga tindakan Steven ini disebut
sebagai hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan
white-hat hacker dan black-hat hacker, dimana Steven hanya mencoba mengetahui
seberapa besar tingkat keamanan yang dimiliki oleh situs internet banking Bank
BCA. Disebut white-hat hacker karena dia tidak mencuri dana nasabah, tetapi
hanya mendapatkan User ID dan password milik nasabah yang masuk dalam situs
internet banking palsu. Namun tindakan yang dilakukan oleh Steven, juga
termasuk black-hat hacker karena membuat situs palsu dengan diam-diam mengambil
data milik pihak lain. Hal-hal yang dilakukan Steven antara lain scans,
sniffer, dan password crackers.
Bagaimana
penanganan hukum untuk kasus pembobolan ini?
Cyberlaw adalah
hukum yang digunakan didunia maya (cyber space) yang umumnya
diasosiasikan dengan internet. Adapun Undang-undang yang akan dilimpahkan
kepada pelanggar kasus Phising adalah
:
1.
Pasal 35 UU
ITE 2008: Setiap
orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi,
penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan/atau
dokumen elektronik dengan tujuan agar informasi elektronik dan/atau dokumen
tersebut seolah-olah data yang otentik [Phising= penipuan situs].
- Pasal 30 UU ITE tahun 2008 ayat 3: Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau system elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol system pengaman (cracking, hacking, illegal access). Ancaman pidana pasal 46 ayat 3 setiap orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 30 ayat 3 dipidana dengan pidana penjara paling lama 8 (delapan) dan/atau denda paling banyak Rp 800.000.000,00 (delapan ratus juta rupiah).
- Pasal 46: Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp.600.000.000,00(enam ratus juta rupiah). Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp.700.000.000,00 (tujuh ratus juta rupiah). Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyakRp.800.000.000,00 (delapan ratus juta rupiah).
- Pasal 51 : Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 35 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah).
Bagaimana
solusi untuk mencegah terjadinya pembobolan ini?
Bagi para nasabah harus lebih berhati – hati dan lebih diperhatikan lagi
dengan seksama jika ingin melakukan transaksi melalui media online. Mulai dari
awal sampai akhir. Karena jika tejadi kesalahan dalam penggetikkan akan
berakibat fatal dan sangat menguntungkan bagi pelaku kejahatan.
Bagi pihak bank yang juga sebagai korban, harus melakukan inovasi lagi
dalam penyediaan layanan berbasis online agar tidak mudah ditiru ataupun di
hack oleh pelaku kejahatan.
Selain itu, pencegahan terhadap
tindakan phising ini dapat dilakukan dengan cara:
1. Berhati-hati dan tidak sembarangan memberikan data
pribadi di Internet terutama data
keuangan seperti nomor account di bank, nomor kartu kredit, account internet
banking dan password.
2. Email dari phiser
ini umumnya tidak dipersonal sementara kalau
email yang legal (valid) umumnya lebih personal.
3. Selalu berprasangka curiga dengan email yang intinya
berisi permintaan penting untuk informasi atau data keuangan pribadi.
4. Jangan mengklik link pada pesan email. Jika anda
menerima email semacam ini yang meminta data pribadi terutama
data finansial, telpon ke perusahaan
yang bersangkutan untuk konfirmasi
atau masuk ke situs tersebut secara langsung tanpa melalui link yang
disediakan di email.
5. Selalu menggunakan situs web yang aman. Situs yang
aman biasanya mengunakan SSL (enkripsi) dan selalu mulai dengan https:// dan
bukan http://
6. Log-in secara rutin ke situs online-account anda
dan cek datanya misalnya data
transaksi kredit maupun debet untuk memastikan data transaksi itu benar.
7. Pastikan bahwa web browser yang digunakan selalu ter
up to date dengan patch terbaru.
8. Pertimbangkan untuk menggunakan atau meng-install web
browser tool-baruntuk membantu memproteksi terhadap situs-situs phishing.
9. Sebelum memasukkan informasi yang sifatnya personal
seperti informasi finansial kita, kartu kredit dan sebagainya, ada baiknya lakukan
klarifikasi terlebih dahulu.
Misalnya situs visa menyatakan bahwa mereka tidak pernah
mengirimkan email, untuk meminta update informasi atau klarifikasi.
10. Menginstall software untuk keamanan internet dan
tetap mengupdate antivirus.
11. Waspada terhadap email dan pesan instan yang tidak
diminta.
12. Berhati-hati
ketika log-in yang meminta hak
administrator dan cermati alamat URL
yang ada
di address bar.
