Bank sebagai instansi keuangan, diharuskan melakukan regular security asessment oleh Bank Indonesia minimal setahun sekali.
Security Assesment sendiri bisa berupa blackbox maupun whitebox. Kebanyakan aplikasi yang akan ditest adalah jenis internet banking.
Tipe internet banking sendiri biasanya terbagi atas beberapa seperti, Personal Internet Banking, Coorporate Internet Banking dan Mobile Internet Banking (Android dan iOS)
Saat ini aplikasi internet banking berkembang sangat cepat.
Bank Indonesia bahkan memperbolehkan institusi banking membuka rekening online jadi nasabah tidak perlu lagi datang ke cabang terdekat untuk membuka tabungan. Belum lagi adanya teknologi baru seperti QRIS, E-money yang bisa ditopup lewat NFC, Topup digital money seperti Gopay dan OVO juga menjadi salah satu fitur yang harus ada pada internet banking.
Beberapa bank juga menawarkan hadiah untuk nasabah mereka yang loyal dengan memberikan hadiah untuk transaksi terbanyak, hal ini juga harus dipastikan aman agar tidak bisa dengan mudah diexploitasi oleh pengguna.
Dengan cepatnya teknologi aplikasi internet banking maka security assesment dan threat modeling pada aplikasi ini menjadi hal yang sangat penting.
Mari kita bahas beberapa temuan yang sering ditemukan pentester ketika melakukan security assesment:
1. SSL
Aplikasi internet banking yang baik harus memiliki SSL setting yang baik. Hal ini untuk memastikan koneksi antara aplikasi internet banking dan server tidak dapat dibaca oleh penyerang. Tipe serangan yang biasa terjadi terhadap koneksi SSL yang buruk adalah Man In The Middle Attack.
Lakukan audit terhadap koneksi SSL pada server dengan menggunakan aplikasi ssllabs.
2. Tidak adanya limitasi login yang tidak valid (locked out).
Sebelum nasabah dapat melakukan transaksi tentunya nasabah harus melakukan verifikasi terlebih dahulu. Beberapa aplikasi Internet Banking yang didevelop sendiri (in house) tidak memiliki limitasi login yang tidak valid. Hal ini akan membuat aplikasi Internet Banking rentan terhadap serangan brute force. Serangan ini dilancarkan untuk mendapatkan login nasabah yang valid.
Terapkan metode locked out apabila nasabah mencoba login yang tidak valid lebih dari 3--5 kali.
3. Session management yang tidak tepat.
Cookie dan session adalah salah satu cara aplikasi internet banking melakukan deteksi bahwa nasabah masih memakai aplikasi.
Temuan yang sering ditest adalah
3.1.Nasabah masih bisa melakukan transaksi, padahal nasabah telah melakukan logout.
3.2. Nasabah masih login pada aplikasi walaupun setelah 15--30 menit nasabah tidak melakukan transaksi apapun (idle).
3.3. Nasabah dapat melihat saldo nasabah lain.
3.4. Nasabah dapat melakukan transfer atas nama nasabah lain.