Headlines
Loading...

Ini kisah nyata banget. Bank-nya tidak usahlah saya sebutkan. Saya tidak suka mendiskreditkan pihak lain. Berikut ini saya ceritakan detilnya, supaya handai taulan semua tidak mengalami yang sama.

Kejadiannya, 30 Juli yang lalu. Pada saat itu, ada satu fakta yang kita semua sering mengalaminya: di komputer saya ada malware-nya, tapi saya tidak aware. Saya pikir (for some time), keamanan internet banking sdh sedemikian teruji, sehingga satu malware, tidaklah mungkin menembusnya. Ternyata saya salah. Ternyata kesisteman i-banking ada celahnya, dan juga penjahatnya punya metode yang sekelas 'mission impossible' or something.

Bukannya saya ceroboh dlm menggunakan komputer. Komputer itu adalah komputer dinas, jadi software-softwarenya pun bukan bajakan. Tapi, jaman sekarang, occasionally, malware, virus, sesaat memang muncul dari waktu ke waktu. Bukan saya sendiri yang mengalami spt itu, kan? Secara rutin, komputer itu saya scan dan balik bersih lagi, most of the time bersih. Begitu kebijakan saya dlm mengelola komputer, krn kalau saya pasang anti-virus keliwatan, yang dikit-dikit ngecek ini-itu, itu annoying.. dan menghambat operasional kerja saya, dan jadinya saya menscan komputer sifatnya periodik. Bukan all the time.

By the way, harap diingat. Kalaupun komputer anda bersih all the time, bisa saja 'pembelokan' hacker kejadiannya di router. DNS anda diputer ke Ukraina atau apa. Itu sering terjadi di Indonesia, dan dimana pun. Silakan googling di internet kalau tidak percaya. Atau bisa suatu saat, anda perlu mengakses sesuatu dr komputer orang. Jadi, komputer bersih saja, itu bukan artinya anda aman. Itu sudah suatu fakta kehidupan dr kapan tauk, sehingga asumsi saya semula, itu sudah diantisipasi oleh bank, tapi ternyata masih ada celah.

Fakta kedua, pada saat kejadian, saya mungkin kewaspadaan tidak 100%. Manusia biasa bagaimanapun juga, dan saya transaksi internet banking bukan sekali-dua kali, seminggu bisa puluhan kali. Saya pikir, sistem sudah aman dan teruji. Ternyata bobol juga. Kalau dibilang saya lengah sepenuhnya, rasanya enggak juga. Nanti di bawah saya ceritakan segimana tingkat kewaspadaan saya.

Jadi, inti kerja si malware, berdasarkan analisis saya adalah sebagai berikut: Dia reside di komputer kita, mendem, memantau diam-diam, tetapi tidak mengganggu apapun, kecuali secara spesifik mengincar i-banking saja, lain tidak. Nah, pas 30Juli itu, saya transaksi. Niat saya, mau transfer ke rekening BCA 40jt, yaitu rekening saya sendiri, yang dicadangkan bagi cicilan KPR. Seperti biasa saya lakukan. Tapi, kali ini perasaan saya aneh. Ada kedipan di layar i-banking itu. Dua kedipan, dan dua kali diminta memasukkan id & password. Ini bukan hal luar biasa kan? Dua kali memasukkan password itu, bisa saja karena yang pertama salah input. Iya kan? Kita nggak tahu, krn toh password itu hurufnya nggak keluar.

Walau begitu, mengantisipasi adanya kejahatan phising yang sdh ada dr kapan tauk, saya segera waspada, dan saya cek alamat url-nya. No problem. Alamatnya i-banking yang resmi. Jadi transaksi saya teruskan. Di browser seperti itu, url-nya resmi, however di belakang layar rupanya beda. Malware yang sekelas 'mission impossible' itu menipu saya. Catatan: berdasarkan googling, ini bisa kejadian di browser, bisa juga di sistem komputernya, bisa lagi di sistem router dari networknya itu. Kalau router anda yang kena, DNS belok ke Ukraina atau kemana, maka anda masuk ke facebook pun, itu masuknya ke facebook yang palsu, walaupun alamat url yang tertera di browser sepenuhnya resmi. Waspadalah.

Kemudian,.. saat transaksi berlanjut, saya masukkanlah kode token seperti biasa. Adanya token, saya pikir memastikan bahwa transaksi itu cuma saya yang pegang kendali. Krn token itu tidak terkait internet, kan? Saya pikir begitu.

Tanpa sepengetahuan saya. Rupanya, browser sudah dimanipulasi oleh malware, jadi kodenya mengotorisasi transaksi pencurian milik si penjahat, dan bukannya mengotorisasi transaksi transfer yang saya minta. Belakangan, bank memberi tahu tips-nya. Bahwa kode itu, 5 digit buntut-nya adalah sesuai dg nomor transaksi yang dituju. Anda perlu perhatikan di sini. Kalau diminta otorisasi token, kalau 5 digit buntutnya tidak sama dg transaksi yang dituju, cancel! Tips itu ironisnya saya pahami setelah kejadian, dan bukannya sudah terpahami jauh sebelumnya. Too bad. Bagi yang belum mahfum ini saya sampaikan sebagai tips juga. Seperti saya, saat banyak kesibukan, kewaspadaan anda saya yakin sering tidak 100% juga saat urusan i-banking. Pocai Sweat gak akan bisa nolong. ;-) Kita ini bukan dalam keadaan siaga satu, perang cyber, bukan? Jadi, kewaspadaan pun, walau ada, statusnya sering bukan siaga satu. Beware. Insya Allah andai tipuannya sekedar phising cara biasa, saya nggak akan ketipu. Saya sdh malang melintang mengakses internet sejak 1994, di dalam maupun di luar negeri. Kalau anda punya pemahaman lebih minim lagi dari saya, makin rawan tuh.

Dari kejadian itu, saya jadi paham. Kenapa i-banking-nya bca, ribet bener kalau untuk transfer. Beberapa tahapan. Mesti didaftarkan dulu targetnya di daftar transfer, pake token. Kemudian, saat eksekusinya, sering diminta mesti dua kali memasukkan kode token, yaitu appli-1 dan appli-2. Ternyata itu gunanya mengatasi yang spt saya alami itu. I-banking yang saya pake itu, walau dari bank terkenal banget, tidak pake pola seperti bca itu. Just one time inserting token code, and that's it. Ternyata lemah. Andai metodanya dua step (atau lebih), kejadian seperti saya alami pasti tidak akan kejadian.

Habis token saya masukkan. Ada kedipan lagi. Aneh! Kewaspadaan saya langsung siaga satu. Tapi itu sudah terlambat. Rupanya, pembelokan transaksi oleh malware sudah terjadi. Buru-buru aksesnya saya akhiri. Saya masih tenang, karena saya sudah register sms banking. Jadi, kalau ada transaksi signifikan, pasti bank mengkonfirmasi via sms.

Ternyata benar! Setelah transaksi saya akhiri, sms banking masuk. Langsung saya periksa. Di situ, disebutkan barusan terjadi transaksi transfer 48.5jt. Innalillahi. Padahal, saya transfernya barusan 40jt. Di situ juga disebutkan: kalau transaksi tidak dikenal, silakan menghubungi call-center! Ya sudah. Tidak membuang waktu, langsung saya kontak call center dan saya sampaikan bahwa transaksi yang barusan ngaco! Tapi bank rupanya tidak bereaksi secepat yang saya harapkan. Kalo transaksi tidak dikenal katanya suruh cepet lapor. Lha,.. saya sudah lapor right-away, tapi itu transaksi itu didiemin doang berlama-lama gak diblokir atau dikoordinasikan dg bca atau apa. Padahal dalam hitungan detik, kalo kelamaan ini sudah keburu duitnya dilarikan entah kemana, kan?

Besoknya, yaitu tanggal 31Juli'15, baru mereka menelepon saya mengabarkan bahwa ada transaksi aneh, dan terindikasi ada malware di komputer saya. Begitu mereka bilang. Sudah 24 jam kurang lebihnya. What take them so long? Saya tidak tahu. Tapi pelakunya mungkin lebih tahu titik lemah ini.

Setengah tidak percaya, segera saya antisipasi. Mungkin anti virus saya sudah terlalu kuno atau apa. Langsung saya updateYaitu masih 31 Juli  2015. Saya call lagi contact center dan minta rekening i-bank saya diblokir. Lalu komputer saya scan. Dg anti virus updatean baru, disimpulkan komputer performancenya oke saja, bersih.., s/d kira-kira 90% scanning, kecuali.. ada satu file yang dia duga malware. Ya sudah, dihapus, balik bersih lagi, tapi semua sudah telanjur. Duit 48.5jt sdh telanjur dicuri penjahat dg bantuan malware itu, ditransfer ke rekening BCA 6800324775 an. Lana Wira Sambodo pada tanggal 30 Juli 2015. Walau kemarinnya right away sdh lsg saya laporkan call center, mekanismenya tidaklah sehandal yang saya kira untuk memblokir transaksi ngaco itu.

Sabtu 1 Agustus 2015 saya tindaklanjuti lagi, saya datangi week-end banking untuk secara 'lebih resmi', mengajukan bantahan transaksi. Lewat call center itu menurut saya sudah resmi juga sih, tapi ya sudahlah. Diminta lapor ke cabang, ya saya lapor. Dan diberkas dengan baik oleh petugas bank. Pemberkasannya yang baik, tindak lanjutnya saya no clue.

Dua bulan berlalu, tidak ada kabar berita sedikit pun,.. walau bank janjinya dua minggu akan respons. Saya pun datang lagi ke bank. Diproses entah apa saja di internal mereka. Saya tidak tahu. Dan juga tidak tahu kenapa mesti begitu lama.

Lalu hari ini, saya menerima surat: tertanggal 8Oct'15, bank tidak bersedia mengembalikan uang saya. Pada intinya suratnya menyebutkan: Lu nggak ati-ati sih, jadi kemalingan. Dan kalau membaca kronologisnya (bank punya pemahaman mirip dg saya, diringkaskan juga di suratnya), yang salah tentu adalah malingnya! Kurang lebih begitulah isi surat. ;-)

Bahwa di sistem banknya ada celah kelemahan, sama sekali tidak disinggung. Mungkin logika berpikir mereka: sistem bank adalah ciptaan manusia, jadi kalo ada kelemahannya ya jamak-jamak sajalah, nggak usah diomongin. Apalagi yang mengakalinya kelasnya kelas 'mission impossible' itu. Kalo sistem itu ciptaan siluman, itu malah medheni bocah, kali ye? Innalillahi.

Saya lalu melapor ke Poltabes Bandung. Diskusi dengan dua orang polisi reserse, ramah dan empati kedua polisi itu, terima kasih, tetapi rupanya kepolisian kikuk juga untuk investigasi transaksi online. Pada akhirnya, mereka menyarankan saya lapor sekalian ke OJK. Begitulah, ceritanya... Soal uang saya nanti kembali atau tidak, wallahualam. Rejeki sudah ada yang mengatur. 48.5jt itu bukan nilai yang kecil, tapi kekayaan Allah jauh lebih banyak lagi dari itu. Langit-bumi seisinya ini Beliau yang punya, kan?

Sebagai manusia biasa, mestinya saya ini amalnya memang pas-pasan, dan mungkin dosanya juga banyak, dan kurang istigfar. Astagfirullah. Jadi, mengalami kesulitan kayak begitu, sewaktu-waktu bisalah terjadi.

Dengan senantiasa berprasangka baik kepada Allah, mungkin itu tandanya Allah ingin memberikan kifarat atas dosa kesalahan saya, dan memindahkannya sebagian kepada si maling. Bisa juga kesulitan kecil itu pertanda bahwa bentar lagi bakalan dapet barokah yang lebih besar dari Allah. Bukankah setelah kesulitan ada kemudahan? Walau begitu, saya pikir saya harus sharing ini. Agar bapak-ibu-saudara semua, tidak mengalami kesulitan yang sama. Sistem i-banking yang saya sebutkan itu, saya yakin yang sering pake bukan saya doang. Itu lemah. Beware.

ID & password sudah dijaga sebaik-baiknya. Token juga sudah dijaga sebaik-baiknya, tidak sembrono. Tidak pernah bocorkan apapun pada siapapun, lewat telepon atau apa... ternyata hanya dengan satu file malware kecil yang sewaktu-waktu bisa muncul di komputer atau gadget anda,.. kesisteman i-bank ternyata bobol sekejap mata. Kalo dibilang saya kurang ati-ati, lha sistemnya Iran, Pentagon, dan seterusnya aja bisa kemasukan malware.. Apa mungkin saya dan anda dipersyaratkan senantiasa bebas malware 100% all the time, in all corner, terus dipersyaratkan rajin gosok gigi pagi dan siang, dan setiap habis makan, dan seterusnya? Embe aja gak pernah gosok gigi nggak pernah terserang gigi sensitif? Saya pikir kalo ada syarat seperti itu, itu agak too much.

Kalau cuma ID & password, itu cerita lamalah, memang gampang ditap hacker sepanjang jalan. Ternyata sekarang: saya ini bukti hidup, bahkan sistem token pun lemah. Token itu tidak banyak guna kalo pola pakainya hanya 1-pass. Slip 1-pass, bablas.



  1. - Kepada Yth. OJK, ini saya sampaikan juga sebagai laporan.

- Kepada sesama yang pernah ngalami hal yang sama, let's spread the words.

- Kepada handai taulan semua, kalau sekiranya ini dinilai bermanfaat, pleas sebarkan ke yang lain. Selanjutnya saya doakan bapak-ibu-saudara semua dlm keadaan baik & bahagia selalu.

Kalo ada salah-salah kata mohon maaf.

Wassalam, YW.

0 Comments:

Cloud Hosting Indonesia