Governance, Risk Management & Compliance

Target Baru Hackers: Sektor Ritel

Jumat 1 Juli 2016 22:32:0

Perusahaan-perusahaan ritel mengalami hampir tiga kali lebih banyak serangan cyber dibandingkan sektor keuangan. Ini menandakan bahwa peretas mulai mengincar sektor ritel yang dinilai lebih banyak mengelola dan mengoalh data pribadi nasabah.

Kejahatan selalu berkembang bersama teknologi, tetapi yang lebih berbahaya dari itu mereka selalu menyasar pihak-pihak yang paling lemah. Sebuah riset terbaru mengungkapkan bahwa para peretas kini mulai mengalihkan sasarannya dari perusahaan-perusahaan keuangan ke pelaku usaha ritel.

Global Threat Intelligence Report yang dirilis oleh NTT Security Group, kelompok usaha global di bidang Teknologi Informasi dan Komunikasi medio Mei 2016 lalu, melaporkan bahwa perusahaan-perusahaan ritel mengalami hampir tiga kali lebih banyak serangan cyber dibandingkan lembaga keuangan. Pada riset yang dilakukan tahun 2015 lalu sektor keuangan masih merupakan target utama dari cyberattack, namun kini jumlah serangan pada perusahaan keuangan menurun drastis.

Sektor ritel menjadi bulan-bulanan hackers karena selama ini memproses informasi pribadi nasabah dan data kartu kredit dalam jumlah yang sangat besar. Mendapatkan akses ke perusahaan-perusahaan ini memungkinkan penjahat dunia maya untuk menguangkan data sensitif seperti rincian kartu kredit di pasar gelap.

“Perusahaan-perusahaan ritel semakin menjadi target karena mereka memproses informasi pribadi dalam jumlah banyak, termasuk data kartu kredit, ke berbagai lingkungan yang tersebar dengan banyak perangkat endpoints dan point-of-service. Lingkungan yang beragam tersebut menyebabkan sulit untuk dilindungi,” jelas Hendra Lesmana, CEO Dimension Data Indonesia dalam keterangan tertulis Mei 2016 lalu.

Temuan-temuan penting lainnya dari laporan hasil riset itu antara lain; pertama, bahwa 65 persen dari serangan berasal dari IP addresses yang berada di Amerika Serikat. Tetapi, alamat ini mungkin saja berlokasi di belahan dunia mana lainnya. Penjahat dunia maya menerapkan prinsip low-cost, siap siaga, dan memiliki infrastruktur strategis secara geografis guna melakukan tindakan kejahatannya.

Kedua, bahwa penjahat dunia maya semakin banyak menggunakan malware untuk menjebol pertahanan dari perusahaan. Di tahun 2015 terjadi peningkatan malware sebesar 18 persen di seluruh industri, terkecuali sektor pendidikan.

Ketiga, frekuensi dan kerumitan malware semakin sulit terdeteksi dan canggih. Di lain sisi, perusahaan-perusahaan mengembangkan sandboxes untuk memahami lebih baik taktik penjahat dunia maya dan melindungi perusahaan dari serangan. Di waktu yang sama, pengembang malware secara agresif mengembangkan teknik-teknik anti-sandbox.

Dan yang terakhir bahwa analisa serangan honeynet yang ada pada perusahaan mengungkapkan bahwa pelaku serangan memanfaatkan penyedia layanan telko dan hosting untuk melakukan operasi mereka.

Inilah beda peretas dengan petugas keamanan maya sebuah bank. Jika satu kali gagal, peretas tak mengalami kerugian apa pun dan bisa menciptakan serangan lebih canggih dengan mempelajari serangan yang gagal. Tak demikian bagi keamanan sebuah bank. Sekali diretas, gagal, ataupun berhasil, uang dalam jumlah besar akan melayang.

“Mereka bisa membuat banyak kesalahan. Tapi satu kesalahan dari pihak bank, maka semua akan berantakan,” kata Karim Hijazi, CEO Unveillance, sebuah perusahaan keamanan maya dan mengkhususkan diri dalam menghilangkan malware.

Beberapa Serangan

Ada beberapa macam serangan, tapi variasi penggunaan yang paling populer adalah menciptakan botnet, yaitu Trojan yang bisa mencuri informasi. Sebuah Trojan botnet adalah program kecil yang pertama kali menginfeksi komputer, kemudian mengirimkan informasi dari komputer yang terinfeksi untuk server di tempat yang lain.

Trojans botnet, disengaja atau tidak, diprogram untuk mencuri data perbankan, sering masuk ke komputer ketika pengguna membuka lampiran e-mail palsu atau mengunjungi situs jebakan. Ketika ribuan salinan Trojan botnet telah terpasang pada komputer, Anda mendapatkan jaringan mesin di bawah kendali jarak jauh dari penjahat cyber. Pemilik dari mesin yang terinfeksi biasanya bahkan tidak menyadari bahwa sesuatu yang salah sedang terjadi.

Dalam beberapa kasus botnet digunakan untuk merancang serangan denial-of-service (DDoS), mengirimkan e-mail spam, atau bahkan memecah data terenkripsi. Trojan botnet perbankan sejauh ini diketahui hanya menginfeksi PC Windows, digunakan khusus untuk merobek login ke PayPal atau ke rekening bank online. Begitu informasi didapat, dengan mudah penjahat cyber menggangsir rekening bank Anda secara online.

Tapi, tenang, bank terus menyempurnakan keamanan mereka. Metode keamanan baru itu termasuk menuliskan password menggunakan keyboard pada layar, mengirim pesan teks ke ponsel pengguna, verifikasi identitas untuk menjawab pertanyaan rahasia dan dengan membawa keyfobs elektronik yang menghasilkan token otentikasi acak. Dua atau lebih metode verifikasi sering digabungkan untuk keamanan yang lebih besar.

Walaupun, penjahat cyber juga tak kalah lihai menyiasati hal ini. Menghadapi kendala tersebut, penjahat online telah berpaling bukan untuk membajak akun nasabah, yang jauh lebih mudah daripada menyerang bank itu sendiri. Namun, mereka mencoba mencegat di tengah untuk menampung lalu lintas nirkabel nasabah-bank. “Hal ini agak sulit dicegah,” kata Josh Daymont, analis di Securisea, seperti dilansir detiknet belum lama ini.

Serangan yang disitilahkan sebagai man-in-the-middle ini terjadi di mana seorang penjahat diam-diam memposisikan diri di antara nasabah dan rekening online, dan mengawasi lalu lintas data di kafe atau bandara untuk “mencegat” beberapa password.

Sebuah Trojan perbankan seperti Zeus atau SpyEye jauh lebih canggih. Ribuan kali per hari Trojan perbankan ini membenamkan diri ke dalam browser web pengguna yang tidak curiga, lalu diam-diam menunggu sampai mereka login ke website perbankan dan kemudian mengirim login ke server yang dioperasikan oleh penjahat cyber.

Dave Aitel, CEO Imunitas Inc di Florida, menyatakan penjahat cyber perbankan beroperasi bak mafia. Mereka membeli data nasabah di pasar gelap dari penjahat cyber yang mengkhususkan diri menganggsir data dan menyerahkan eksekusinya pada bagian yang lain lagi.

Sialnya, siapa pun bisa terkena jebakan mereka. “Semua pengguna cepat atau lambat akan membuat kesalahan dan klik pada link yang salah atau membuka lampiran yang salah. Pada akhirnya tidak ada cara yang sangat baik untuk mencegah orang mencuri identitasnya,” kata dia.

Solusi

Untuk melawan serangan semacam ini banyak spesialis keamanan maya perbankan yang beralih ke analisis lalu lintas jaringan masuk dan keluar dari server perusahaan. Misalnya, daripada mencoba menghilangkan malware secara langsung, beberapa perusahaan mencari pola lalu lintas yang mengandung Trojan perbankan seperti Zeus.

“Kini ada alat-alat yang dapat menganalisis lalu lintas bersih untuk melihat apakah ada sesuatu yang menunjuk pada aktivitas yang mencurigakan,” kata Tak Chijiiwa, konsultan utama di Security Compass, Toronto. Cara ini, katanya, sedikit lebih preventif dan mengurangi peluang pencurian data.

Lantas bagaimana cara melindungi diri? Aitel menyarankan untuk menggunakan browser yang aman. Ia menyebut Chromebooks murah milik Google cukup bagus untuk menghentikan Trojan dan malware yang menyasar online banking.

Ahli keamanan lainnya merekomendasikan agar menjalankan Linux dari compact disc, atau Mac untuk melakukan online banking. Sedangkan Chijiiwa menyoroti pada perangkat mobile. Ia meminta perbankan lebih sering menguji smartphone dan tablet, mengingat kini para penjahat mulai gandrung menyasar transaksi mobile banking.

Sementara Reza Topobroto, Direktur Legal PT Microsoft Indonesia menghimbau konsumen untuk menghindari penggunaan software illegal. Reza menguraikan, sejumlah besar stiker (Certificate of Authenticity /CoA) ilegal yang mencantumkan merek Microsoft masih banyak ditemukan di sejumlah pusat perbelanjaa IT di Jakarta, dan kota besar lainnya. Stiker CoA ilega ini diduga dijual kepada beberapa dealer-dealer komputer. Stiker CoA Ilegal dipasangkan pada komputer-komputer tersebut untuk menipu konsumen, sehingga konsumen beranggapan bahwa dalam komputer-komputer tersebut terpasang software asli.

Hal tersebut tentunya sangat berbahaya jika akhirnya konsumen terkecoh, menilik risiko yang bisa diakibatkan dari penggunaan software ilegal. “Perilaku dealer-dealer komputer yang meng-install softaware bajakan ke komputer yang dijualnya dapat meningkatkan kejahatan cyber di Indonesia. Hal tersebut juga didukung dengan makin canggihnya kejahatan cyber dalam memasukkan virus atau malware, yang salah satu metodenya adalah dengan menempelkannya pada software bajakan” ungkap Reza.

Dia kembali mengingkatkan, penggunaan software ilegal sangat beresiko atau rentan terhadap beragam serangan virus seperti malware bahkan hingga pencurian data pribadi atau data rahasia perusahaan melalui jaringan yang digunakan. Oleh sebab itu, sangat penting bagi para pengguna untuk terlindungi dengan fitur keamanan terdepan dan selalu terupdate yang hanya terdapat di software asli.

“Microsoft mendukung upaya Kepolisian dan tindakan-tindakan yang telah dilakukan, khususnya dalam perlindungan terhadap kepentingan konsumen yang mungkin kurang waspada, sehingga tertipu dan beresiko terpapar kejahatan cyber” kata Reza.


Non Bank

Allianz Life Indonesia Perkenalkan Asuransi Jiwa Unit Link Terbaru

Sampai 2019 produk asuransi jiwa unitlink masih mendomi

MTF Beri Restrukturisasi Rp 5 Triliun bagi Pelanggan Terdampak Covid-19

Mandiri Tunas Finance menyalurkan 11.000 Paket Sembako

Menkeu Jelaskan Latar Belakang Perppu Nomor 1 Tahun 2020

Sri Mulyani menjelaskan, Perppu dikeluarkan untuk bisa

Portofolio

Berharap Pada Prospek Saham BUMN

Saham-saham Bank BUMN seperti BRI, Mandiri, BNI dan BTN

Mandiri Sekuritas Permudah Proses Pembukaan Rekening Efek

Mandiri Sekuritas mendorong masyarakat berinvestasi di

Kemenkeu Terbitkan SUN dengan Tenor 50 Tahun

SUN tersebut diterbitkan guna memenuhi kebutuhan pembia

Segera Diluncurkan, Kupon SBR-009 Sebesar 6.3 Persen

Instrumen Savings Bond Ritel seri SBR009 sebagai instru

Interview

Glen Alexander Winata: Utamakan Proteksi Nasabah, Komisi Pasti Mengikuti

Pada awalnya, kebanyakan agen asuransi pemikirannya sel

Pengamat Syariah: Dorongan Pemerintah Adalah Kunci

"Pemerintah itu harus ada inisiatif, misalnya proyek Rp

Tren Kendaraan Komersial Menurun

Harga komoditas global yangterus berada di level terend

Satelit adalah Kekuatan BRI

Jalan sejarah sedang ditapaki oleh Bank Rakyat Indonesi

Riset

INDEF: Reformasi Agraria butuh Regulasi

payung hukumnya untuk membagikan kan harus ada. Payung

Tidak Merata, Pulau Jawa Dominasi Pertumbuhan Negara

Apabila sumber pertumbuhan dapat lebih tersebar maka ke

Inklusi Keuangan Meningkat Jadi 67,82 Persen

Indeks inklusi keuangan Indonesia meningkat pada angka

Tax Amnesty Berpotensi Masuki Jilid II

Tax amnesty itu diperpanjang katakanlah setahun lagi bi