CONTOH KASUS KECURANGAN PADA SISTEM INFORMASI

Studi Kasus: Pembobolan Internet Banking pada Bank Central Asia

(Febrianti, 140462201113)

Phising (Password Harvesting Fishing) adalah tindakan penipuan yang menggunakan email palsu atau situs web palsu yang bertujuan untuk mengelabui user sehingga pelaku bisa mendapatkan data user tersebut.  Phising biasanya ditujukan kepada pengguna online banking. Pengertian phising itu sendiri adalah bentuk kejahatan yang sengaja dilakukan oleh seseorang untuk mendapatkan informasi penting terhadap pengguna internet  dengan cara  memanipulasi  sebuah web agar pengguna  internet dapat  tertarik untuk memasuki situs tersebut. Istilah  phising dalam bahasa inggris berasal  dari kata  fishing ( memancing ), dalam hal ini berarti memancing informasi keuangan dan  kata  sandi pengguna, misalnya  bank  bertujuan untuk mendapatkan data-data  pribadi seseorang, berupa PIN,  kata sandi,  nomor  rekening,  nomor kartu kredit. dan sebagainya.

Contoh kasus Phising yang pernah terjadi di Indonesia adalah kasus pembobolan internet banking milik bank BCA pada tahun 2001. Kasus tersebut dilakukan oleh seorang mantan mahasiswa ITB Bandung dan juga merupakan salah satu karyawan media online (satunet.com) yang bernama Steven Haryanto.

Bagaimana pembobolan ini dapat terjadi?

Pembobolan ini terjadi ketika Steven juga pernah salah mengetikkan alamat website. Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan situs internet banking BCA. Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan situs internet banking BCA, www.klikbca.com , seperti:

Ø  wwwklikbca.com 

Ø  kilkbca.com 

Ø  clikbca.com 

Ø  klickbca.com 

Ø  klikbac.com

Orang tidak akan sadar bahwa dirinya telah menggunakan situs aspal tersebut karena tampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut mampu mendapatkan User ID dan password dari pengguna yang memasuki situs aspal tersebut, namun hacker tersebut tidak bermaksud melakukan tindakan kriminal seperti mencuri dana nasabah, hal ini murni dilakukan atas keingintahuannya mengenai seberapa banyak orang yang tidak sadar menggunakan situs klikbca.com, Sekaligus menguji tingkat keamanan dari situs milik BCA tersebut.

Steven Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu sistem milik orang lain yang dilindungi privasinya. Sehingga tindakan Steven ini disebut sebagai hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-hat hacker dan black-hat hacker, dimana Steven hanya mencoba mengetahui seberapa besar tingkat keamanan yang dimiliki oleh situs internet banking Bank BCA. Disebut white-hat hacker karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet banking palsu. Namun tindakan yang dilakukan oleh Steven, juga termasuk black-hat hacker karena membuat situs palsu dengan diam-diam mengambil data milik pihak lain. Hal-hal yang dilakukan Steven antara lain scans, sniffer, dan password crackers.

Bagaimana penanganan hukum untuk kasus pembobolan ini?

Cyberlaw  adalah hukum yang digunakan didunia maya (cyber space) yang umumnya diasosiasikan dengan internet. Adapun Undang-undang yang akan dilimpahkan kepada pelanggar kasus Phising adalah :

1.       Pasal 35 UU ITE 2008: Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan/atau dokumen elektronik dengan tujuan agar informasi elektronik dan/atau dokumen tersebut seolah-olah data yang otentik [Phising= penipuan situs].

2. Pasal 30 UU ITE tahun 2008 ayat 3: Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau system elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol system pengaman (cracking, hacking, illegal access). Ancaman pidana pasal 46 ayat 3 setiap orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 30 ayat 3 dipidana dengan pidana penjara paling lama 8 (delapan) dan/atau denda paling banyak Rp 800.000.000,00 (delapan ratus juta rupiah).
3. Pasal 46: Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp.600.000.000,00(enam ratus juta rupiah). Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp.700.000.000,00 (tujuh ratus juta rupiah). Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyakRp.800.000.000,00 (delapan ratus juta rupiah).

4. Pasal 51 : Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 35 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah).

Bagaimana solusi untuk mencegah terjadinya pembobolan ini?

Bagi para nasabah harus lebih berhati – hati dan lebih diperhatikan lagi dengan seksama jika ingin melakukan transaksi melalui media online. Mulai dari awal sampai akhir. Karena jika tejadi kesalahan dalam penggetikkan akan berakibat fatal dan sangat menguntungkan bagi pelaku kejahatan.

Bagi pihak bank yang juga sebagai korban, harus melakukan inovasi lagi dalam penyediaan layanan berbasis online agar tidak mudah ditiru ataupun di hack oleh pelaku kejahatan.

 Selain itu, pencegahan terhadap tindakan phising ini dapat dilakukan dengan cara:

1. Berhati-hati dan tidak sembarangan memberikan data pribadi di Internet  terutama data keuangan seperti nomor account di bank, nomor kartu kredit, account internet banking dan password.

2. Email dari phiser ini umumnya tidak dipersonal sementara kalau  email yang legal (valid) umumnya lebih personal.

3. Selalu berprasangka curiga dengan email yang intinya berisi permintaan penting untuk informasi atau data keuangan pribadi.

4. Jangan mengklik link pada pesan email. Jika anda menerima email semacam ini yang meminta data pribadi  terutama  data finansial, telpon ke perusahaan  yang bersangkutan  untuk  konfirmasi  atau masuk ke situs tersebut secara langsung tanpa melalui link yang disediakan di email.

5. Selalu menggunakan situs web yang aman. Situs yang aman biasanya mengunakan SSL (enkripsi) dan selalu mulai dengan https:// dan bukan http://

6. Log-in secara rutin ke situs online-account  anda  dan  cek datanya misalnya data transaksi kredit maupun debet untuk memastikan data transaksi itu benar.

7. Pastikan bahwa web browser yang digunakan selalu ter up to date dengan patch terbaru.

8. Pertimbangkan untuk menggunakan atau meng-install web browser tool-baruntuk membantu memproteksi terhadap situs-situs phishing.

9. Sebelum memasukkan informasi yang sifatnya personal seperti informasi finansial kita, kartu kredit dan sebagainya, ada baiknya  lakukan  klarifikasi  terlebih dahulu. Misalnya situs visa menyatakan bahwa mereka tidak  pernah  mengirimkan email, untuk meminta update informasi atau klarifikasi.

10. Menginstall software untuk keamanan internet dan tetap mengupdate antivirus.

11. Waspada terhadap email dan pesan instan yang tidak diminta.

12. Berhati-hati  ketika log-in yang meminta  hak administrator dan cermati  alamat URL yang  ada  di address bar.