Aplikasi Error, Puluhan Nasabah Mandiri Kebobolan - A Study Case of Fraud in Banking Industry

in Bahasa Indonesia only. Another version in English will be posted

Temuan:

Ditemukan 97 Nasabah pengguna layanan Daring Mandiri Online kehilangan dana hingga ratusan juta rupiah, dana tersebut telah ditransfer ke beberapa nomor rekening berbeda dan di bank yang berbeda.

Kejadian:

Salah satu nasabah yang mengaku kehilangan dana adalah Subekan, dengan total mencapai Rp69,2 juta. Awal mula pria ini menyadari rekeningnya kebobolan adalah saat menerima pesan singkat dari nomor resmi bank Mandiri, 3355, yang berisi laporan transaksi pada Kamis (4/5/2017), sekitar pukul 12.00 WIB.

Pesan diterimanya dalam empat tahap. Masing-masing tiga kali dengan transaksi sebesar Rp20 juta, dan satu transaksi terakhir sebesar Rp9,2 juta.

Subekan, menurut pengakuannya pada Liputan6.com, tidak merasa melakukan transaksi apa pun karena saat itu dirinya tengah dalam perjalanan menuju Purwodadi, Jawa Tengah.

Respon dari pihak Mandiri:

Mandiri sempat menonaktifkan layanan ini pada Jumat (5/5/2017), meski satu hari setelahnya layanan kembali diaktifkan.

Dugaan sementara:

Dugaan sementara Rohan, layanan ini mengalami gangguan sistem (system corrupt). Jika dugaannya benar, bisa jadi dana nasabah sebenarnya tidak hilang. Dan jika kondisinya benar demikian, maka Bank Mandiri akan mengembalikan dana nasabah yang hilang tersebut.

Meski begitu, Rohan tidak menutup kemungkinan raibnya dana nasabah terjadi karena pembobolan yang dilakukan oleh pihak yang tidak bertanggung jawab.

Dasar:

Normalnya transaksi transfer dana via mobile-banking atau sejenis hanya dapat dilakukan oleh nasabah pengirim disertai dengan input PIN dan konfirmasi transaksi (OTP). Namun pada kasus ini, nasabah tidak melakukan transfer lewat media apapun meskipun pada mutasi ada transfer sejumlah dana ke rekening lain, di luar Mandiri.

Mengapa hal ini perlu diaudit:

Karena hal ini telah merugikan Mandiri. Kehilangannya sejumlah dana dari 97 nasabah menjadi beban dan tanggung jawab pihak Mandiri untuk mengganti kerugian nasabah, di mana hal ini dapat mengeluarkan banyak biaya dari pihak Mandiri sehingga dapat mengalami kerugian.

Apa yang diaudit:

Behavior Functional dari aplikasi Daring Mandiri

Bagaimana prosesnya:

Pertama-tama kita harus melihat dari behavior functional aplikasi Daring Mandiri. Dimana hal ini meliputi pemeriksaan terhadap sistem pembagian credential dari seluruh stakeholder (staff, project manager, dsb) yang bersangkutan dengan project Daring Mandiri. Baik dari sisi internal maupun vendor (developer). Beberapa stakeholder mempunyai akses khusus (rahasia) tersendiri yang dapat membuka data-data nasabah. Kejahatan dapat dilakukan oleh orang-orang tersebut dan tidak menutup kemungkinan akses datanya disalahgunakan, ataupun terjadi kebocoran data sehingga memudahkan penjahat tersebut membobol akun nasabah.

Kemudian kita perlu membuka log login, di mana log ini merecord setiap login nasabah beserta dengan statusnya (login / login failed). Dari sini kita dapat menganalisa apakah sering terjadi login failed akibat kesalahan password. Apabila sering terjadi login failed, maka dapat di simpulkan bahwa sangat mungkin ada pihak tertentu yang mencoba menerobos akun nasabah tersebut. Sistem kejahatan seperti ini dapat dilakukan dengan cara coba-coba maupun dengan teknik brute force attack. Serangan jenis ini merupakan usaha menggunakan sistem tertentu untuk mencari kemungkinan-kemungkinan userID atau password sesuai kombinasi yang dibutuhkan (misal pencarian PIN kombinasi 6 angka dari angka 0-9, maka akan ada 10.000.000 kemungkinan PIN dari 000000-999999).

Salah satu kemungkinan yang dapat memudahkan terjadinya pembobolan PIN adalah kebiasaan orang membuat kombinasi PIN terlalu mudah, seperti angka kembar, tanggal-tanggal penting, PIN default dari ATM, kombinasi angka urut, atau pun membocorkan PIN tersebut ke orang lain1. Kebiasaan ini akan sangat memudahkan hacker untuk membobol akun nasabah tanpa perlu percobaan lebih dari tiga kali (menghindari sistem mengkunci akses secara otomatis setelah gagal 3 kali percobaan). Selain PIN, tingkat kekuatan password pada akun mobile-banking juga perlu diperhatikan, sehingga hacker tidak mudah membuka akun nasabah.

Bila kita menganalisa dari sisi internal Mandiri, kita perlu mengetahui apakah pembuatan userID dan sekuritasnya bersifat random (nasabah membuat sendiri) atau teratur (dibuat oleh sistem, untuk sekuritas biasanya bisa diubah nanti oleh nasabah). Untuk pembuatan userID yang masih dibuatkan oleh sistem (misalnya userID m-banking BCA) maka akan memudahkan hacker meretas akun nasabah karena hanya perlu membobol passwordnya saja. Namun dalam kasus ini, nasabah dapat membuat sendiri nama userID Daring Mandirinya, sehingga hal ini cukup baik karena akan mempersulit hacker. Tetapi pada masa soft launching ini, sistem tersebut masih menggunakan PIN sebagai sekuritasnya. Di mana hal ini menjadi salah satu kelemahan utama karena security strenght dari PIN yang hanya merupakan kombinasi 6 angka lebih lemah dari pada password yang dapat mengkombinasikan angka, huruf besar dan kecil, ataupun karakter. Jadi ada kemungkinan hacker berhasil meretas akun nasabah karena tingkat pengamanan akunnya rendah.

Lalu kita juga perlu melihat dari proses transfer data antara database Mandiri dengan aplikasi m-bankingnya, apakah pada proses tersebut ada enkripsi data atau tidak. Apabila pada proses ini data tidak dienkripsi, maka akan sangat mudah untuk mendapatkan userID beserta dengan PIN nya dengan cara attack di tengah-tengah antara database dengan aplikasi. Hal ini kemungkinan besar terjadi apabila nasabah melakukan login m-banking ditempat-tempat dengan fasilitas hotspot, karena sifatnya public sehingga mudah dibobol oleh hacker (tidak secured).

Rekomendasi:

· Dari internal Mandiri maupun ke pihak vendor, perlu melakukan perbaikan sitem pembagian credential pada stakeholder yang bersangkutan. Semakin rapih maka akan menutup kemungkinan terjadinya kebocoran data, ataupun akan memudahkan untuk menangkap siapa pelaku pembocoran data karena sudah tertata dengan jelas siapa saja yang dapat mengakses database nasabah.

· Memperbaiki sistem pengamanan akun dengan mengganti PIN menjadi password. Serta menambahkan fungsi password strenght (low-medium-high password/ password has been used) sehingga user dapat membuat password yang cukup sulit diretas untuk meminimalisir kemungkinan terjadinya pembobolan akun.

· Melakukan edukasi tambahan kepada nasabah untuk meningkatkan kebijakan nasabah dalam membuat password, seperti pengadaan seminar, workshop, talkshow, mengenai bagaimana pembuatan password yang direkomendasikan dan aman.

· Mengenkripsi data pada proses transfer data, serta memastikan adanya perubahan private key (kode pengganti per setiap karakter) ataupun bahasa enkripsinya dalam jangka waktu tertentu untuk menutup kemungkinan ada pihak yang sudah dapat membaca bahasa enkripsi sebelumnya.