Komputer Nasabah Kena Virus?
Virus komputer memang sangat mengganggu. Umumnya, virus berfungsi untuk memaksakan pengguna melakukan hal-hal yang diinginkan oleh pembuat virus. Maka, bila virus yang dimaksud oleh Jahja Setiaatmadja benar ada, artinya virus tersebut menjalankan fungsi redirect, di mana ketika nasabah membuka URL www.klikbca.com dan melakukan login, virus tersebut mengarahkan nasabah ke URL https://bank.klikbca.com dan bukan ke https://ibank.klikbca.com. Antara virus dan halaman yang dituju ada hubungan erat, terutama dalam hal perintah-perintah yang dibuat dalam bentuk script dan ditempatkan di halaman web pishing.
[caption id="attachment_354162" align="aligncenter" width="532" caption="Dokpri: secreenshoot halaman resmi www.klikbca.com"]
Dalam hal ini, yang bertanggung jawab sepenuhnya atas kejadian ini adalah pihak BCA. Meskipun dikatakan bahwa bukan dari BCA, paling tidak pembuat web pishing ini ada hubungannya dengan orang dalam di Bank BCA, khususnya di bagian teknisi yang mengelola web klikbca.com. Oleh karena itu, sekali lagi saya mengatakan pendapat saya, pihak BCA harus melakukan pemeriksaan internal, tidak cukup hanya meneriaki peringatan "waspada".
Web Pishing
Web Pishing dibuat dengan tujuan mengelabui pengguna dengan tujuan untuk mendapatkan informasi seperti ID, Password dan lain-lain sebagainya yang merupakan target dari pembuat web pishing. Pengelabuan umumnya dilakukan dengan cara meniru desain, tata letak, warna sebuah website resmi sehingga pengunjung tertipu dan sulit membedakan antara halaman palsu dan asli. Selama ini, web pishing selalu dibuat dengan menggunakan nama domain samaran. Sebagai contoh saja, penyamaran nama domain ibank.klikbca.com dibuatlah bank.klikbca.com. Namun, jarang terjadi ada web pishing yang menggunakan sub-domain dari sebuah domain yang dimanipulasikan.
Dalam penelusuran Anti-Phising Working Group (APWG), seperti diberitakan oleh Viva.co.id di sini, ada sebanyak 1.200 domain phising berakhiran .cf diikuti .ml (Mali) lalu .pw (Palau) dan .ga (Gabon). Total domain phising yang terdeteksi ada sekitar 40 ribu. Artinya, nama domain yang digunakan untuk membuat web pishing adalah nama domain yang tidak ada hubungannya dengan web sasaran. Bila dijadikan contoh, barangkali masuk akal bila nama domain tersebut klikbca.ml, klikbca.cf, klikbca.pw dan lain sebagainya, yang penting bukan klikbca.com. Namun, karena nama domain yang digunakan dalam kasus sinkronisasi token BCA ini adalah nama domain milik BCA, secara pribadi saya mempertanyakan pernyataan Jahja Setiaatmadja yang mengatakan bahwa hal ini tidak berasal dari BCA.
------
Tulisan ini merupakan ungkapan kekhawatiran terhadap keamanan website perbankan yang melayani transaksi online.
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H