Mengenal Seluk Beluk Pelaku Pencurian PIN ATM

TRIBUNJATENG.COM, SEMARANG -- Raditya Iryandi, seorang konsultan keamanan informasi, pernah melakukan audit sistem keamanan beberapa bank besar di Indonesia. Fakta mengejutkan, ketika dirinya menemukan admin sebuah bank ternama menyimpan data ke dalam email pribadi.

Iryandi mengatakan secara teknologi, sistem keamanan perbankan di Indonesia sudah terbilang baik, namun kelemahan datang dari bagian nonteknologi yakni kepedulian sistem dari administrator, vendor, atau freelance-nya.

“Saya pernah mendapati salah satu admin bank ternama menyimpan data IP, username dan password semua server-servernya ke dalam email dia. Mungkin dia terlalu rajin dan takut lupa user dan password. Tapi pas emailnya jebol, semua root password banknya jadi bobol juga,” ujarnya, pekan lalu.

Seperti dilaporkanTribun Jateng, modus kejahatan perbankan makin banyak. Yang terbaru adalah memperjualbelikan kartu kredit atau kartu anjungan tunai mandiri (ATM) kloningan beserta nomor identitas pribadi (PIN) di internet. PenelusuranTribun, ada ratusan website yang menyediakan kloning kartu ATM atau kartu kredit.

Iryandi yang pernah presentasi hacking satelite and mobile phone di depan forum hacker dunia ini, mengatakan jual beli user credentials sudah ada sejak tahun 2000-an.

Dahulu yang marak diperdagangkan yakni jual beli atau barter kartu kredit, tapi sekarang trennya berubah jadi PIN ATM.

“Mereka pada umumnya memperdagangkan dengan barter. PIN ATM ditukar dengan user dan password social media, dan lain-lain. Jarang sekali mereka mau dibeli kecuali hacker kepepet yang udah keabisan duit. Dan mereka "beredar" di beberapa media komunikasi private. Tapi mereka kadang-kadang juga masih menggunakan media chatroom ( IRC) untuk bertransaksi,” ujarnya.

Setelah saling mengenal dan yakin, jual beli beralih ke media lain seperti email, atau bahkan bertatap muka. “Jika kita mendapatkan data yang dijual di forum atau di website-website tertentu, sudah bisa dipastikan bahwa data itu bukan data premium (data yang tidak fresh) bahkan cenderung banyak yang sampah dan invalid.

Sasaran nasabah totally random (acak). Hanya hacker bodoh yang jualan lewat website, dan sudah pasti datanya tidak premium,” kata Iryandi.

Pelaku, kata Iryandi, bisa dari dalam negeri, namun kebanyakan dari mancanegara. “Mereka berlindung di loophole undang-undang ekstradisi, dan juga untuk memutus informasi dari mereka yang tertangkap. Mereka akan pura-pura tidak bisa bahasa Indonesia ketika diinterogasi.

Urutan kinerja mereka adalah mereka mencari kelemahan sistem (via orang dalam ), data gathering, data validation dan barter. Baru setelah itu, modus operandinya diputer-puter biar aparat bingung, dari mulai penarikan ganda, penarikan dari luar negeri, dan yang paling newbie adalah yang membeli barang langsung dengan data korban,” ujarnya.

Pelaku melakukan aksinya dengan berbagai macam media dan cara. Secara garis besar mereka terbagi tiga proses, yaitu scam, hack dan barter.

“Scam juga sudah bermacam-macam. Mulai pasang alat di mulut kartu ATM, RFID reader dan writer, dan juga ada "gerakan orang dalam". Justru yang terakhir ini sangat sering saya jumpai. "Orang dalam" itu belum tentu pegawai bank, tapi justru banyak dari pihak ketiga yang berhubungan dengan sistem bank, contoh: programmer, marketing freelance, atau tukang reparasi mesin ATM,” ujarnya.

Untuk hacking, lanjut Iryandi, kebanyakan prosesnya justru proses validasi dan password enumeration. Yaitu proses dimana nomer kartu ATM divalidasi PIN-nya ataupun di-enumeration. Makanya mereka bekerja secara kelompok, ada tim yang mencari data rekening, dan ada yang tugasnya memvalidasi.

“Faktanya, mereka memvalidasi dan enumeration berdasarkan raw-data dari sosial media. Jadi ada kalanya mereka justru mengetahui PIN tersebut dari sosial media. Jadi kepada nasabah disarankan untuk berhati-hati memposting informasi pribadi di sosial media. Karena kebanyakan yang jadi korban adalah para kaum "weak password" dimana PIN ATM mereka sama dengan tanggal lahir atau plat mobil mereka,” ujarnya.