Saat membuka facebook malam ini, saya tertarik dengan status Kevindze yang berisi pengumuman penting. Isi dari pengumuman ini adalah memperingati agar nasabah Bank BCA hati-hati terhadap "sinkronisasi token BCA" saat login ke website Klik BCA. Dalam penuturan Kevindze, setelah diteliti, permintaan Sinkronisasi Token BCA muncul saat nasabah berada pada halaman https://bank.klikbca.com yang merupakan web pishing. URL Web Resmi Klik BCA adalah https://ibank.klikbca.com.
[caption id="attachment_354157" align="aligncenter" width="560" caption="Dokpri: secreenshoot foto dari facebook Kevindze"][/caption]
[caption id="attachment_354158" align="aligncenter" width="478" caption="Dokpri: secreenshoot status Kevindze"]
Informasi ini menarik bagi saya. Bagian penting yang menarik adalah setelah membaca berita di Kompas tentang peringatan dari Presiden Direktur BCA, Jahja Setiaatmadja, BCA Minta Nasabah Waspadai "Sinkronisasi Token" Saat Membuka Internet Banking. Dalama pemberitaan itu, ada beberapa poin yang perlu saya catat sebagai bagian penting dari tulisan ini. Agar jelas, saya langsung kutip paragraf pertama dari berita ini.
PT Bank Central Asia Tbk (BCA) meminta nasabahnya berhati-hati terhadap "sinkronisasi token" saat membuka internet banking. Pasalnya, konfirmasi token yang muncul bukan berasal dari BCA.
"Tidak ada 'konfirmasi token' dari BCA. Apabila data nasabah diminta, terutama token diminta berulang-ulang, itu berbahaya," ujar Direktur Utama BCA Jahja Setiaatmadja saat dihubungi Kompas.com di Jakarta, Rabu (4/3/2015).
Menurut dia, "konfirmasi token" saat membuka Internet Banking BCA terjadi karena komputer nasabah terkena virus. Hal itu membuat tampilan "konfirmasi token" terus muncul dengan tulisan "Sinkronisasi Token KEYBCA".
Bagian penting yang saya maksud adalah: Pertama, pernyataan bahwa konfirmasi token yang muncul bukan dari BCA. Kedua, "konfirmasi token" saat membuka Internet Banking BCA terjadi karena komputer nasabah terkena virus. Dua hal ini yang menjadi pertanyaan besar bagi saya.
Bukan dari BCA?
Melihat URL web pishing tersebut, https://bank.klikbca.com, saya mengatakan bahwa yang bertanggung jawab pertama atas kesalahan ini adalah pihak Bank BCA. Tidak ada alasan mengatakan bahwa bukan dari BCA. Pemilik nama domain klikbca.com adalah Bank BCA. Dan web pishing tersebut merupakan sub-domain dari nama domain milik Bank BCA itu. Otoritas penuh untuk meng-create sebuah sub-domain berada di tangan Master Admin yang memiliki akses penuh ke dalam contropanel sebuah server atau web hosting. Atas dasar itu, saya mengatakan bahwa pihak BCA tidak cukup menyampaikan peringatan "waspada" kepada para nasabah, tetapi harus melakukan pengawasan dan pemeriksaan internal, terutama pada bagian teknisi yang menangani maintanance website klikbca itu.
Yang bertanggung jawab kedua adalah pengelola server dimana website klikbca.com di tempatkan. Setelah saya menggunakan aplikasi Whois.Net, terlihat bahwa ada dua Name Server yang ada hubungannya dengan website klikbca.com, yakni, angkasa.net.id dan cbn.net.id. Bila pengelola web klikbca.com merasa tidak membuat sub-domain yang merupakan web pishing tersebut, maka orang pihak kedua yang harus bertanggung jawab adalah pengelola angkasa.net.id dan cbn.net.id.
[caption id="attachment_354160" align="aligncenter" width="573" caption="Dokpri: secreenshoot halam dari Whois.Net atas penelusuran domain klikbca.com"]
Komputer Nasabah Kena Virus?
Virus komputer memang sangat mengganggu. Umumnya, virus berfungsi untuk memaksakan pengguna melakukan hal-hal yang diinginkan oleh pembuat virus. Maka, bila virus yang dimaksud oleh Jahja Setiaatmadja benar ada, artinya virus tersebut menjalankan fungsi redirect, di mana ketika nasabah membuka URL www.klikbca.com dan melakukan login, virus tersebut mengarahkan nasabah ke URL https://bank.klikbca.com dan bukan ke https://ibank.klikbca.com. Antara virus dan halaman yang dituju ada hubungan erat, terutama dalam hal perintah-perintah yang dibuat dalam bentuk script dan ditempatkan di halaman web pishing.
[caption id="attachment_354162" align="aligncenter" width="532" caption="Dokpri: secreenshoot halaman resmi www.klikbca.com"]
Dalam hal ini, yang bertanggung jawab sepenuhnya atas kejadian ini adalah pihak BCA. Meskipun dikatakan bahwa bukan dari BCA, paling tidak pembuat web pishing ini ada hubungannya dengan orang dalam di Bank BCA, khususnya di bagian teknisi yang mengelola web klikbca.com. Oleh karena itu, sekali lagi saya mengatakan pendapat saya, pihak BCA harus melakukan pemeriksaan internal, tidak cukup hanya meneriaki peringatan "waspada".
Web Pishing
Web Pishing dibuat dengan tujuan mengelabui pengguna dengan tujuan untuk mendapatkan informasi seperti ID, Password dan lain-lain sebagainya yang merupakan target dari pembuat web pishing. Pengelabuan umumnya dilakukan dengan cara meniru desain, tata letak, warna sebuah website resmi sehingga pengunjung tertipu dan sulit membedakan antara halaman palsu dan asli. Selama ini, web pishing selalu dibuat dengan menggunakan nama domain samaran. Sebagai contoh saja, penyamaran nama domain ibank.klikbca.com dibuatlah bank.klikbca.com. Namun, jarang terjadi ada web pishing yang menggunakan sub-domain dari sebuah domain yang dimanipulasikan.
Dalam penelusuran Anti-Phising Working Group (APWG), seperti diberitakan oleh Viva.co.id di sini, ada sebanyak 1.200 domain phising berakhiran .cf diikuti .ml (Mali) lalu .pw (Palau) dan .ga (Gabon). Total domain phising yang terdeteksi ada sekitar 40 ribu. Artinya, nama domain yang digunakan untuk membuat web pishing adalah nama domain yang tidak ada hubungannya dengan web sasaran. Bila dijadikan contoh, barangkali masuk akal bila nama domain tersebut klikbca.ml, klikbca.cf, klikbca.pw dan lain sebagainya, yang penting bukan klikbca.com. Namun, karena nama domain yang digunakan dalam kasus sinkronisasi token BCA ini adalah nama domain milik BCA, secara pribadi saya mempertanyakan pernyataan Jahja Setiaatmadja yang mengatakan bahwa hal ini tidak berasal dari BCA.
------
Tulisan ini merupakan ungkapan kekhawatiran terhadap keamanan website perbankan yang melayani transaksi online.
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H