Tips dan Trik

Tips Ber-Internet Banking

Herman.Is,SKom | Jumat, 02 September 2016 - 12:35:11 WIB | dibaca: 120 pembaca

Pada dasarnya tidak ada satu hal pun yang 100% aman di dunia ini. Kebenaran ini tidak hanya berlaku bagi internet banking, tapi juga dengan offline banking (ATM dan datang langsung ke kantor). Bukankah ATM pun kebobolan, dan kantor bank pun dapat dirampok? Hanya saja, bentuk tindak penipuan/kejahatan Internet Banking berbeda.  Internet, antarjaringan komputer global ini, bisa dibilang sebuah rimba raya yang buas. Jika misalnya Anda ingin mengirimkan email kepada teman Anda di Belanda, maka data email tersebut harus melalui banyak titik perhentian. Di Internet, jaringan lokal demi jaringan lokal komputer bekerjasama saling mengoperkan data, agar tercipta suatu superjaringan besar yang akhirnya kita namakan INTER-NET ini. Email Anda mungkin harus melewati 15 titik perhentian atau lebih (pertama ke beberapa komputer di ISP Anda dulu, lalu ke IIX, lalu ke backbone internasional, dst).

Nah, tentunya tidak semua jaringan dan titik perhentian yang dilewati tersebut dapat Anda percaya atau terjamin keamanannya bukan? Mungkin saja, di titik tertentu, pengurus jaringan di titik tersebut memutuskan untuk merekam setiap data yang kebetulan lewat melalui dirinya. Padahal data tersebut belum tentu ditujukan kepadanya! Jadi data email pribadi Anda bisa saja sebetulnya dibaca oleh belasan bahkan ratusan orang.    Kalau begitu bukankah amat mengerikan kita memakai Internet? Apakah ada solusi untuk masalah ini? Jawabannya: ya. ENKRIPSI atau penyandian. Apakah Anda pernah menonton film perang dunia kedua misalnya, tentang mata-mata yang ingin menyelundupkan informasinya keluar perbatasan? Si mata-mata tahu pasti, dirinya pasti akan digeledah di pos perbatasan. Kalau informasi yang ingin dia selundupkan diketahui petugas, matilah ia. Apa yang dia bisa lakukan? Si mata-mata menyandikan informasi ini, dalam bentuk yang sulit dan amat memakan waktu lama untuk dipecahkan. (Bukan betul-betul tidak mungkin, tapi amat sulit dan lama, sehingga "praktis" tidak mungkin).

Di Internet dikenal teknologi bernama SSL (secure socket layer), yang pertama-tama dikembangkan oleh Netscape dan kini juga didukung oleh browser Internet Explorer. Teknologi ini mengenkripsi data yang dikirimkan dari browser Anda ke tempat tujuan, sehingga di titik-titik antara yang dilewati, meskipun data Anda tetap melewatinya, namun sama sekali terlihat acak dan tidak dapat dimengerti oleh si pelihat. Jadi, meskipun Anda mengirimkan user ID dan PIN dari Amerika misalnya, dan harus melewati 30 titik sebelum sampai ke server Internet Banking BCA di Jakarta, di ketiga puluh titik ini user ID dan PIN Anda tidak dapat/sangat sangat sulit dilihat orang yang tak berkepentingan. [Bukan berarti tidak mungkin pula, ingat kecanggihan teknologi selalu dapat membuat yang tak mungkin menjadi mungkin. Barangkali saja suatu hari nanti SSL dapat ditembus orang. Namun hingga saat ini teknologi SSL masih terbukti aman dan paling banyak digunakan oleh situs-situs online mulai dari Yahoo!, Ebay!, sampai bank-bank online termasuk BII, BCA, atau Bank Bali].

Kelemahan utama pada kita

Kalau seorang cracker [penerobos komputer yang biasanya bermaksud jahat] tidak bisa mengintip data Anda di titik-titik perantara, apa yang bisa ia lakukan? Ia akan memanfaatkan kelemahan kita sebagai pengguna, yaitu: keteledoran dan ketidakwaspadaan.

Pertama, dengan typo-site 
Typo site, atau situs bernama mirip, dapat dengan mudah dibuat untuk domain .COM, .NET, .ORG, dan beberapa jenis domain lainnya. Jadi, misalnya saya mempunyai SALMAHARYANTO.COM, Anda bisa saja membeli SALMA-HARYANTO.COM, SALAMHARYANTO.COM, SALMAHARYATNO.COM, dan sebagainya -- selama domain itu belum dibeli oleh saya sendiri atau orang lain tentunya. Harga per domain saat ini berkisar sekitar 8-15$ atau sedikit lebih mahal, bergantung pada tempat Anda membelinya. Anda bisa membeli domain misalnya di stargateinc.com, joker.com, atau 
http://www.gkg.net/. Untuk membelinya biasanya Anda harus mempunyai kartu kredit. Tapi di luar itu tidak ada persyaratan lain. Si pembeli nama-nama domain mirip (atau plesetan) ini lalu dapat saja membuat tampilan situsnya 100% mirip aslinya, sehingga seorang yang salah ketik tidak menyadari ia berada di situs yang salah. Tujuannya biasanya untuk menangkap user ID dan password dan disalahgunakan (saya yakin dalam kasus kilkbca.com Steven sendiri tidak pernah membagikan dan menyalahgunakan data yang diperolehnya).  Karena situs Internet Banking seperti KlikBCA biasanya diperlengkapi sertifikat sebagai proteksi tambahan, maka saat mulai memasuki situs gadungan akan muncul peringatan.

Bagi yang tidak dapat melihat gambarnya: Akan muncul kotak dialog dan tulisan: Information you exchanged with this site cannot be viewed or changed by others. However there is a problem with the site's security certificate. [Icon Tanda Waspada Kuning] The security certificate is issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.

Terjemahan: Informasi yang Anda pertukarkan di situs ini tidak dapat dilihat atau diganti oleh orang lain [Karena proteksi SSL]. Namun ada masalah dengan sertifikat keamanan situs ini. [Icon Tanda Waspada Kuning] Sertifikat keamanan di situs ini dibuat oleh perusahaan yang belum Anda percayai. Lihatlah sertifikatnya untuk memutuskan apakah Anda ingin mempercayai penguasa pemberi sertifikasinya. Apakah sertifikat itu? Sertifikat adalah pemasti identitas sebuah situs. Sertifikat KlikBCA ditandatangani (secara digital) oleh perusahaan bernama Verisign. Sebelum Verisign menandatangani sertifikat suatu perusahaan, ia akan terlebih dahulu melakukan serangkaian pengecekan ketat seperti dokumen-dokumen pendirian perusahaan, alamat kantor, apakah perusahaan betul-betul pemilik domain ybs, dan sebagainya. Ini berarti, jika sebuah perusahaan memperoleh sertifikasi dari Verisign, umumnya perusahaan tersebut terpercaya. Setiap sertifikat yang telah ditandatangani oleh Verisign otomatis dipercayai oleh browser, sehingga tidak akan muncul warning.

Situs ibank.kilkbca.com tidak memiliki sertifikat BCA (dan tidak dapat mencurinya karena sertifikat itu ada di server BCA yang dijaga ketat) dan juga tidak dapat memalsukan tanda tangan digital Verisign. Karena itu akan muncul warning jika Anda memasuki situs gadungan ini. Di sinilah dibutuhkan kewaspadaan pengguna. Anda tidak seharusnya mengklik Yes langsung, tapi harus meng-klik No dan tidak jadi memasuki situs tersebut. Jika Anda meragukan kebenaran sertifikat sebuah situs, Anda dapat mengklik View Certificate untuk melihat rincian sertifikat dan memastikan apakah perusahaan yang Anda masuki situsnya ini dapat dipercayai.

Kedua, keylogger 
Apa itu keylogger? Keylogger adalah sebuah program kecil yang berjalan tersembunyi dan merekam setiap ketikan tombol Anda (bahkan juga gerakan mouse). Artinya, meskipun saat mengetikkan password di kotak password yang tampil hanya '*****' misalnya, tapi apa yang Anda ketikkan di keyboard tetap direkam oleh keylogger.

Bagaimana mendeteksi keberadaan keylogger? Beberapa program keylogger yang jelek memang tidak betul-betul tersembunyi. Jika Anda menggunakan Windows dan menekan Ctrl-Alt-Del, Anda kadang dapat menemukan Task bernama agak janggal yang patut dicurigai. Namun program-program yang lebih baru dan canggih tidak bisa dideteksi dengan mudah. Singkat kata, jika Anda tidak mempercayai warnet atau komputer kantor Anda, jangan mengakses situs-situs penting apalagi mengetikkan password. Akseslah internet banking dari rumah di mana komputer pribadi Anda terjamin hanya Anda pemakainya. Atau tanyakan pada orang yang betul-betul mengerti secara teknis dan betul-betul Anda percayai, apakah komputer yang bersangkutan bersih dari program pengintai.

Ketiga, ilusi dari jaringan setempat 
Di jaringan tempat komputer kita berada (di kantor atau warnet), seorang network admin [pengurus jaringan] memiliki akses penuh terhadap jaringan tersebut. Ia dapat membelokkan aliran data-data dari komputer Anda yang seharusnya menuju suatu jaringan tertentu, ke jaringan lain atau bahkan jaringan dia sendiri. Seandainya ia bermaksud jahat, ia dapat membelokkan akses permintaan Anda mengakses 
www.klikbca.com ke tempat lain yaitu ke situs gadungannya misalnya. Ini berarti Anda sebetulnya tidak mengakses server KlikBCA asli meskipun Anda mengetikkan tepat benar www.klikbca.com atau meskipun tidak keluar warning sama sekali. Jadi Anda perlu juga mempercayai betul network admin di jaringan Anda. Yang paling aman adalah tidak mengakses internet banking dari kantor, kecuali Anda betul-betul percaya pada komputer dan jaringan setempat.