Disalin, Lalu Dipancing

MENJUAL alat card skimmer (paket) untuk menggandakan kartu elektronik. Bagi yang berminat silakan hubungi 0813146****.” Begitulah cuplikan iklan produk skimmer yang tersebar di sejumlah situs Internet. Skimmer adalah alat pembaca kartu magnetik, dijual bebas dengan harga Rp 5 juta hingga 15 juta di toko-toko elektronik. Alat ini biasanya digunakan oleh pusat perbelanjaan, perkantoran, dan perhotelan sebagai kartu absensi atau akses masuk ke ruangan tertentu.

Skimmer itu pulalah yang beberapa pekan terakhir ini menjadi bintang yang menghiasi halaman kriminal media massa. Alat pembaca kartu magnetik ini disebut telah digunakan para pembobol rekening nasabah bank, melalui anjungan tunai mandiri (ATM). Markas Besar Kepolisian RI mengungkap ribuan kartu ATM yang diduplikasi, dan miliaran rupiah dana nasabah dilaporkan raib lewat transaksi ”legal” berkat bantuan skimmer.

Kasus pembobolan ATM ini pertama kali terungkap di Bali dua pekan lalu. Belakangan jumlah kasus dan korban terus bertambah tidak hanya di Pulau Dewata, tapi juga di Jakarta dan kota-kota lain di seluruh Indonesia. ”Kebanyakan korban adalah nasabah bank papan atas yang di mata masyarakat memiliki keamanan yang sangat bagus,” kata analis forensik digital Ruby Z. Alamsyah.

ATM merupakan perangkat komputerisasi yang digunakan bank untuk menyediakan layanan transaksi di tempat umum tanpa kasir. Pada mulanya ATM dibuat untuk memudahkan pengambilan uang. Tapi, seiring dengan perkembangan teknologi dan kebutuhan peningkatan layanan, penggunaan ATM meluas. Saat ini nasabah bisa melakukan transfer uang, pembayaran, pengecekan saldo, dan transaksi keuangan lainnya. ”ATM merupakan suatu bentuk jaringan komputer yang tersebar,” kata pemerhati teknologi informasi, Roni Sambiangga.

Karena letaknya di tempat umum dan umumnya terbuka 24 jam, upaya pengamanan fisik ATM menjadi lebih sulit. Celah inilah yang dimanfaatkan pembobol rekening—sebagian telah ditangkap polisi.

Pembobolan rekening lewat ATM dengan teknik skimming adalah modus lama. Di Indonesia modus ini pertama kali terungkap di Surabaya empat tahun lalu. Ketika itu seorang pemilik toko membobol kartu ATM milik pelanggannya yang berbelanja dengan cara pembayaran debit. ”Ini bukanlah termasuk kejahatan teknologi canggih, juga bukan pekerjaan para peretas (hacker),” kata Ruby Alamsyah.

Bukan pekerjaan canggih karena skimmer memang dijual bebas, bisa digunakan siapa saja, cukup dengan membaca petunjuknya. Yang menjadi target skimming biasanya kartu magnetik yang menyimpan data, termasuk kartu ATM dan kartu kredit. Ada dua cara yang biasa ditempuh pelaku skimming ini untuk memperoleh data calon korban. Pertama, melibatkan orang dalam—kasir, waiters, dan petugas keamanan—yang bersentuhan langsung dengan pemilik kartu. Kedua, memasang skimmer di ATM. Sementara pelaku di Surabaya memakai cara pertama, yang belakangan diungkap menggunakan teknik kedua.

Seperangkat skimmer biasanya terdiri atas kamera pengintai dan pembaca/penyalin kartu magnetik. Ruby mengatakan, untuk menjalankan aksi skimming ATM, pembobol melakukan kostumisasi pembaca kartu dan kamera pengintai. Juga disiapkan casing tambahan sesuai dengan bentuk dan kontur ATM yang akan dijadikan sasaran. ”Skimmer yang sudah dilekatkan pada casing ditempelkan ke mulut ATM, sehingga secara fisik seperti bagian dari ATM itu sendiri,” kata Ruby.

Selanjutnya, pelaku memasang kamera di tempat yang strategis, mengarah ke tombol, untuk merekam gerakan tangan nasabah sewaktu menekan PIN.

Data kartu yang terekam pada skimmer dan dicocokkan dengan rekaman PIN pada kamera pengintai itulah yang menjadi modal pembobol ATM. Data tersebut diolah dan ditempelkan ke kartu magnetik kosong. Kartu magnetik pun berfungsi layaknya kartu ATM biasa, dan bank menganggap transaksi yang dilakukan para pembobol merupakan transaksi legal. Tentu saja transaksi bisa dilakukan di mana saja, bahkan di luar negeri. Dalam kasus yang baru diungkap polisi, pelaku menarik uang dari Toronto, Kanada. Ini terlihat dari laporan transaksi yang menggunakan jaringan Cirrus, Maestro, dan Plus.

Pemasangan skimmer di ATM, yang seharusnya bisa dicegah, dipermudah karena lemahnya standar pengaman ATM dan alat electronic data capture (EDC). Menurut Wakil Ketua Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII), Muhammad Salahuddien, seharusnya ATM dilengkapi sensor, alarm, kamera pengawas, dan sejumlah mekanisme pengamanan yang berlapis. ”Misalnya penggunaan privacy screen dengan sudut penglihatan yang sempit, tutup untuk melindungi tombol, dan antiskimming card reader. Dengan teknologi yang tersedia, biayanya tidak mahal,” ujarnya.

Salahuddien mengatakan, akibat minimnya pengamanan, nasabah pun dituntut lebih berhati-hati. Dari sisi kartu, jenis yang digunakan merupakan magnetic stripe card yang tidak dilengkapi pengaman chip (smart card). Kartu jenis ini sangat mudah digandakan, dan alat penggandanya mudah ditemukan di pasar atau dijual secara online. Seperti halnya pada kartu kredit yang sudah menggunakan smart card sejak awal bulan ini, kartu ATM seharusnya juga menggunakan smart card. ”Setiap bank penyelenggara layanan elektronik harus menyiapkan road map untuk secara berkala mengganti jenis kartu,” katanya.

Menurut Jim Geovedi dari Bellua Asia Pacific, konsultan keamanan teknologi informasi perbankan, bank tidak menutup mata terhadap celah keamanan yang bisa menjadi sasaran pelaku kejahatan. ”Sudah ada upaya memasang alat antiskimming, meski baru terbatas di sejumlah ATM di Jakarta,” katanya.

Karena itu, sedikit sekali kasus pembobolan rekening lewat ATM di Jakarta. Jim mengatakan, selain kelemahan pada sistem perbankan, nasabah turut berperan karena tidak sepenuhnya memenuhi anjuran keamanan yang disampaikan bank, misalnya menutupi keypad ketika menekan PIN.

Selain skimming, modus yang banyak digunakan adalah phishing. Ini merupakan bentuk kejahatan dengan menggunakan teknik rekayasa sosial. Pelaku kejahatan mengambil data pribadi nasabah dengan memposisikan diri sebagai seseorang atau lembaga yang dapat dipercaya dalam melakukan transaksi ataupun komunikasi secara elektronik. ”Umumnya teknik penipuan ini dilakukan melalui Internet, e-mail, ataupun telepon,” kata Roni Sambiangga. E-mail atau telepon biasanya berisi permintaan data nasabah secara detail, bahkan PIN, dengan berbagai dalih, misalnya pembaruan data nasabah atau gangguan teknis.

Serangan dengan teknik phishing saat ini banyak terjadi melalui jaringan Internet, melalui e-mail. Salah satunya pada bidang perbankan dengan adanya layanan Internet banking. Seorang phisher (pelaku phishing) biasanya membuat sebuah halaman web yang menyerupai dengan situs milik bank. Untuk melakukan transaksi tentunya dibutuhkan data pribadi, meliputi nomor rekening, nomor identitas, nomor kontak, dan sebagainya. Jadi, tanpa rasa curiga, nasabah pun akan memberikan data yang dibutuhkan. ”Dengan demikian, sang phisher telah mendapatkan ikan yang dicarinya,” kata Roni.

Adek Media, Sutarto

Jurus-jurus Membobol ATM

Skimming hanyalah satu dari sekian cara membobol rekening nasabah melalui anjungan tunai mandiri. Berikut ini beberapa contoh teknik kejahatan lain yang mengancam para pemilik kartu ATM.

PIN BLOCK ATTACK