Mengenal Berbagai Jenis Kejahatan yang Menargetkan Mesin ATM
KASUS pembobolan rekening yang dialami oleh nasabah PT Bank Central Asia Tbk, Hebbie Agus Kurnia, membuktikan bahwa kejahatan skimming data ATM masih terjadi. (Baca: Cerita Nasabah BCA Jadi Korban Skimming, Uang Raib Rp135 Juta)
Kejahatan skimming ini, sederhananya, pencurian data kartu ATM dengan cara menyalin, yaitu membaca dan menyimpan informasi yang terdapat pada magnetic stripe.
Penjahat biasanya menaruh sebuah perangkat keras di mesin ATM, tanpa diketahui oleh pengguna, yang berfungsi untuk menyalin data. Untuk merekam nomor PIN korban, penjahat dapat menggunakan kamera tersembunyi atau lapisan lain yang menutupi bantalan PIN asli.
Dengan informasi kartu dan PIN yang terekam, penjahat lalu membuat kartu duplikat untuk membobol uang dari korban; menguras habis uang korban seperti layaknya menarik uang sendiri.
Karena maraknya kejahatan seperti ini, bank-bank kemudian mulai beralih menggunakan ATM yang berbasis chip dan meninggalkan magnetic stripe—garis hitam di belakang kartu ATM. Meski telah berbasis chip, di sejumlah bank, magnetic stripe ini masih tersedia di kartu ATM dan juga aktif. Inilah titik rentan kartu ATM bisa dieksploitasi penjahat dengan cara skimming.
Hal serupa skimming juga bisa terjadi di dunia maya, yang sering disebut sebagai phishing. Biasanya penjahat siber menaruh kode JavaScript yang berfungsi untuk merekam aktivitas check out di situsweb belanja. Kode-kode yang disuntikkan ke toko online tersebut bertugas menyalin dan menyimpan informasi detail pembayaran dan pribadi pelanggan. Berbekal informasi itu, peretas bisa mendapatkan informasi kartu debit atau kredit, yang bisa dipakai untuk berbelanja mana suka. Kejahatan ini seringkali dikenal sebagai Magecart karena insiden peretasan paling sering terjadi pada toko online berbasis perangkat lunak populer, Magento. (Baca: Ratusan Toko Online Terinfeksi Web Skimmer, Peretas Eksploitasi Platform Magento 1 yang Telah Pensiun)
Kejahatan berbasis ATM, sebetulnya tidak hanya skimming. Peretas memiliki taktik dan trik khusus untuk membobol uang korban. Berikut ini sejumlah istilah kejahatan yang menargetkan ATM.
-
Shimming - ini taktik skimming yang terjadi pada kartu ATM berbasis chip. Penjahat menempatkan perangkat shimmer di dalam ATM untuk merekam informasi chip kartu ATM. Hasil akhirnya sama dengan skimming karena pencuri menggunakan data chip yang dicuri untuk membuat versi kloning dari kartu ATM.
-
Card tapping - terjadi ketika perangkat yang dipasang ke slot kartu menghentikan pengembalian kartu ATM kepada pemiliknya. Setelah pemilik kartu ATM meninggalkan mesin ATM, penjahat akan mematikan perangkat dan mengambil kartu ATM.
- Cash trapping- perangkat jebakan ditempatkan pada tempat keluar uang tunai pada mesin ATM, sehingga akan menjebak uang tunai ketika pemilik kartu ATM mencoba menarik uang. Setelah pemilik kartu pergi untuk memberi tahu bank dengan asumsi ada masalah dengan mesin, penjahat melepas jebakan dan mengambil uangnya.
- Bantuan palsu - ini teknik social engineering yang biasanya menargetkan pelanggan sepuh. Penjahat akan menanyakan apakah korban memerlukan bantuan di mesin ATM, kemudian sambil “membantu”, penjahat akan menghafal nomor kartu ATM dan PIN untuk digunakan nanti.
- Shoulder surfing - teknik melihat PIN yang sedang dimasukkan dari balik bahu pemilik kartu ATM.
- Keypad PIN palsu - perangkat ini terlihat seperti keypad mesin ATM ditempatkan di atas mesin ATM asli dan menangkap PIN yang dimasukkan oleh pemilik kartu ATM.
- Cash-out - menargetkan beberapa rekening dari bank yang sama. Berbekal kredensial karyawan bank yang diretas, penjahat akan mengubah saldo akun dan batas penarikan pada mesin ATM. Menggunakan informasi kartu ATM curian yang diambil dari serangan skimming terpisah, mereka dapat “menguangkan” hasil kejahatannya di mesin ATM sampai mesin ATM kehabisan uang.
- Jackpotting - meski ada beberapa jenis serangan jackpotting, biasanya kejahatan ini melibatkan perolehan akses fisik ke bagian dalam mesin ATM. Penjahat dapat mengganti perangkat keras atau menginstal perangkat lunak berbahaya yang memberi mereka kendali atas fungsi pengeluaran uang tunai di mesin ATM. Jackpot mirip dengan kejahatan cash-out, tetapi tidak mengharuskan penjahat untuk memiliki detail akun pelanggan atau informasi kartu ATM yang dicuri.
Pencegahan
Jika telah mengetahui macam-macam kejahatan yang menargetkan mesin ATM, tentu Anda juga perlu memperhatikan beberapa cara untuk melindungi diri.
Pertama-tama, bertransaksilah di mesin ATM yang bisa dipantau penjaga atau ruang publik yang terang, seperti kantor bank, gedung perkantoran atau mal/minimarket. Mesin ATM yang sepi rentan dieksploitasi oleh penjahat dengan dipasang alat skimmer.
Mengajak teman atau keluarga saat mengambil uang juga perlu dipertimbangkan, terlebih di malam hari. Ini sebagai jaga-jaga jika ada orang lain yang menargetkan Anda.
Saat mengambil uang juga sebaiknya jangan terlalu lama. Jika keperluannya hanya menarik uang, sebaiknya siapkan kartu ATM terlebih dulu.
Jika Anda sedang mengantre panjang, pastikan saat Anda memasukkan PIN, tutupilah dengan telapak tangan atau tubuh Anda. Lalu, pastikan kartu ATM telah keluar dan simpan kembali ke dompet secara hati-hati.
Saat ini tersedia mesin ATM drive thru. Jika tak hati-hati, lokasi seperti ini juga rentan dibajak penjahat saat Anda mengambil uang. Oleh karenanya, selalu pastikan mobil dalam kondisi menyala dan pintu terkunci. Jangan terburu-buru pergi dan pastikan kartu ATM telah diambil kembali.
Jika saat mengambil uang, kartu ATM Anda tiba-tiba tertelan mesin, sebaiknya secepatnya memblokirnya dengan menelepon call center bank terkait. Pastikan itu adalah nomor yang sah sebab penjahat kadang menaruh nomor kontak palsu di sekitar mesin ATM. Lebik baik menyimpan call center bank Anda di daftar kontak ponsel Anda—ini lebih aman. Selanjutnya, buatlah kartu ATM baru—disarankan selalu mengikuti petunjuk bank Anda jika memang ada pembaruan kartu. Sebab, pembaruan kartu biasanya juga terdapat pembaruan keamanan pada kartu ATM.[]
Penulis adalah praktisi keamanan siber dengan sertifikat CEH, CHFI, dan ECSA.