Saat membuka facebook malam ini, saya tertarik dengan status Kevindze yang berisi pengumuman penting. Isi dari pengumuman ini adalah memperingati agar nasabah Bank BCA hati-hati terhadap "sinkronisasi token BCA" saat login ke website Klik BCA. Dalam penuturan Kevindze, setelah diteliti, permintaan Sinkronisasi Token BCA muncul saat nasabah berada pada halaman https://bank.klikbca.com yang merupakan web pishing. URL Web Resmi Klik BCA adalah https://ibank.klikbca.com.
[caption id="attachment_354157" align="aligncenter" width="560" caption="Dokpri: secreenshoot foto dari facebook Kevindze"][/caption]
[caption id="attachment_354158" align="aligncenter" width="478" caption="Dokpri: secreenshoot status Kevindze"]
1425572636686959684
[/caption] Informasi ini menarik bagi saya. Bagian penting yang menarik adalah setelah membaca berita di Kompas tentang peringatan dari Presiden Direktur BCA, Jahja Setiaatmadja, BCA Minta Nasabah Waspadai "Sinkronisasi Token" Saat Membuka Internet Banking. Dalama pemberitaan itu, ada beberapa poin yang perlu saya catat sebagai bagian penting dari tulisan ini. Agar jelas, saya langsung kutip paragraf pertama dari berita ini.
PT Bank Central Asia Tbk (BCA) meminta nasabahnya berhati-hati terhadap "sinkronisasi token" saat membuka internet banking. Pasalnya, konfirmasi token yang muncul bukan berasal dari BCA."Tidak ada 'konfirmasi token' dari BCA. Apabila data nasabah diminta, terutama token diminta berulang-ulang, itu berbahaya," ujar Direktur Utama BCA Jahja Setiaatmadja saat dihubungi Kompas.com di Jakarta, Rabu (4/3/2015).
Menurut dia, "konfirmasi token" saat membuka Internet Banking BCA terjadi karena komputer nasabah terkena virus. Hal itu membuat tampilan "konfirmasi token" terus muncul dengan tulisan "Sinkronisasi Token KEYBCA".
Bagian penting yang saya maksud adalah: Pertama, pernyataan bahwa konfirmasi token yang muncul bukan dari BCA. Kedua, "konfirmasi token" saat membuka Internet Banking BCA terjadi karena komputer nasabah terkena virus. Dua hal ini yang menjadi pertanyaan besar bagi saya.
Bukan dari BCA?
Melihat URL web pishing tersebut, https://bank.klikbca.com, saya mengatakan bahwa yang bertanggung jawab pertama atas kesalahan ini adalah pihak Bank BCA. Tidak ada alasan mengatakan bahwa bukan dari BCA. Pemilik nama domain klikbca.com adalah Bank BCA. Dan web pishing tersebut merupakan sub-domain dari nama domain milik Bank BCA itu. Otoritas penuh untuk meng-create sebuah sub-domain berada di tangan Master Admin yang memiliki akses penuh ke dalam contropanel sebuah server atau web hosting. Atas dasar itu, saya mengatakan bahwa pihak BCA tidak cukup menyampaikan peringatan "waspada" kepada para nasabah, tetapi harus melakukan pengawasan dan pemeriksaan internal, terutama pada bagian teknisi yang menangani maintanance website klikbca itu.
Yang bertanggung jawab kedua adalah pengelola server dimana website klikbca.com di tempatkan. Setelah saya menggunakan aplikasi Whois.Net, terlihat bahwa ada dua Name Server yang ada hubungannya dengan website klikbca.com, yakni, angkasa.net.id dan cbn.net.id. Bila pengelola web klikbca.com merasa tidak membuat sub-domain yang merupakan web pishing tersebut, maka orang pihak kedua yang harus bertanggung jawab adalah pengelola angkasa.net.id dan cbn.net.id.
[caption id="attachment_354160" align="aligncenter" width="573" caption="Dokpri: secreenshoot halam dari Whois.Net atas penelusuran domain klikbca.com"]
142557294752704049
[/caption]