Dalam era globalisasi sekarang ini,
di sektor perbankan semakin meningkat para investasi yang melakukan kegiatannya
dengan menggunakan jasa perbankan. Akan tetapi kegiatan perbankan di dalam
melayani kegiatan para investasi tersebut, tidak terlepas dari saran serta
perangkat media elektronik berupa computer beserta perangkat internetnya, yang
dapat menyebabkan terjadinya tindak kejahatan yang mengganggu sistem perbankan
di Indonesia. Atas dasar tersebutlah maka dikenal CyberCrime yang
merupakan kejahatan dengan menggunakan sarana media elektronik internet
(kejahatan dunia alam maya) atau kejahatan dibidang komputer dengan secara
illegal ditujukan kepada sistem atau jaringan komputer, yang mencakup segala
bentuk baru kejahatan yang menggunakan bantuan sarana media elektronik internet
(segala bentuk kejahatan dunia alam maya).
Kegiatan yang potensial menjadi
target cybercrime dalam kegiatan perbankan antara lain adalah:
1) Layanan
pembayaran menggunakan kartu kredit pada situs-situs toko online.
2) Layanan perbankan
online (online banking).
Dalam kaitannya dengan cybercrime,
maka sudut pandangnya adalah kejahatan internet yang menjadikan pihak bank, merchant,
toko online atau nasabah sebagai korban, yang dapat terjadi karena
maksud jahat seseorang yang memiliki kemampuan dalam bidang teknologi
informasi, atau seseorang yang memanfaatkan kelengahan pihak bank, pihak merchant
maupun pihak nasabah.
Contoh cybercrime dalam
transaksi perbankan yang menggunakan sarana Internet sebagai basis transaksi
adalah sistem layanan kartu kredit dan layanan perbankan online (online
banking). Dalam sistem layanan yang pertama, yang perlu diwaspadai adalah
tindak kejahatan yang dikenal dengan istilah carding. Prosesnya adalah
sebagai berikut, pelaku carding memperoleh data kartu kredit korban
secara tidak sah (illegal interception), dan kemudian menggunakan kartu
kredit tersebut untuk berbelanja di toko online (forgery). Modus
ini dapat terjadi akibat lemahnya sistem autentifikasi yang digunakan dalam
memastikan identitas pemesan barang di toko online.
Saya menemukan tulisan yang membahas
tentang maraknya perdagangan online yang beredar di berbagai situs jejaring
sosial
Awas, Penipuan via Chatroom !!!
(oleh : Donny B.U.*)
Suatu ketika, saya ditanya oleh seorang rekan saya di Asian
Wall Street Journal, “apakah benar kini tingkat aktifitas carding di
Indonesia sudah menurun?”. Carding adalah aktifitas pembelian barang di
Internet menggunakan kartu kredit bajakan. Dia bertanya lantaran informasi dan
data yang dia terima memang seperti itu. Saya sempat ragu menjawabnya, sebab
untuk tahun lalu, Indonesia berada pada posisi ke-2 teratas sebagai negara asal
carder (pelaku carding) terbanyak di dunia, setelah Ukraina. Posisi tersebut
merupakan hasil riset dari Clear Commerce Inc, sebuah perusahaan
teknologi informasi (TI) yang berbasis di Texas, AS.
Sejurus kemudian saya mulai mengingat-ingat modus operandi para carder
dan aktifitas di chatroom pada umumnya. Lalu saya jawab ke rekan saya
tersebut, “kalau berdasarkan data statistik memang ada penurunan aktifitas
carding, tetapi tren tersebut lantaran adanya pergeseran modus operandi,”.
Saat itu, saya sendiri tidak terlalu yakin, ke arah mana pergeseran
tersebut. Saya hanya yakin bahwa aktifitas tindak kriminal di chatroom
itu seolah-olah menganut hukum kekekalan energi, yaitu tidak akan hilang tetapi
hanya berubah wujud.
Sampai kemudian saya bersama dengan tim ICT Watch yang lain
melakukan observasi lapangan ke beberapa chatroom carder serta menganalisa
arsip e-mail dan log chatroom yang telah lama. Hasil observasi
yang dilakukan sepanjang Maret 2003 tersebut menunjukkan kenyataan bahwa memang
ada pergeseran modus operandi yang cukup signifikan dalam aktifitas ilegal di chatroom,
khususnya dalam komunitas carder.
Observasi Lapangan
Pada awalnya, chatroom memang sekedar sebuah media bagi
para carder untuk bertukar data kartu kredit bajakan dan berjual-beli
barang hasil carding. Tetapi, setelah banyak merchant di Internet
yang enggan mengirimkan paket mereka ke Indonesia, maka banyak carder yang mulai
kesulitan melakukan carding. Karena “kepepet” dan terbiasa mendapatkan
uang secara mudah, kemudian mereka menggeser modus operandi mereka di chatroom
yaitu dengan melakukan satu jenis penipuan yang belum banyak terungkap kasusnya
di Indonesia. Mereka “seolah-olah” ingin menjual atau melepas
barang-barang elektronik, semisal telepon selular (ponsel) ataupun notebook,
yang didapatnya dari hasil melakukan carding.
Para carder atau penjual tersebut akan menawarkan
dagangannya melalui chatroom dengan keunggulan tertentu semisal “the
package not even opened” (barang baru dan dus belum pernah dibuka) serta “cool
prizes” (harga sangat murah dan bisa ditawar). Contohnya, sebuah notebook
merek Sony VAIO yang harga aslinya mencapai Rp 15 juta, ditawarkan hanya
senilai Rp 4 juta hingga Rp 5 juta saja. Kemudian ponsel Nokia seri
terbaru yang harga aslinya masih Rp 6 juta, ditawarkan senilai Rp 1 juta hingga
Rp 2 juta saja.
Aksi promosi para penjual tersebut tidak pernah dilakukan di chatroom
umum. Para penjual, termasuk para penipu, melakukan aksinya di chatroom
khusus para carder. Ada banyak sekali chatroom carder, dengan
puluhan hingga ratusan pengunjung perharinya. Di dalam chatroom
tersebut, akan sangat mudah kita dapatkan beratus nomor kartu kredit bajakan,
lengkap dengan data pemilik serta fasilitas pengecekan 3 (tiga) digit rahasia
CVV2 yang hanya terdapat di bagian belakang kartu kredit dan tidak timbul (embossed).
Tentu saja dengan keunggulan yang ditawarkan oleh penjual
tersebut, para pengunjung chatroom akan mudah tergiur. Kemudian
pengunjung yang tertarik, atau tepatnya calon pembeli, akan melakukan private
message ke nickname penjual tersebut untuk melakukan negosiasi
harga. Jika telah tercapai kesepakatan, maka si penjual tersebut akan meminta
kepada si calon pembeli/korban untuk mengirimkan sejumlah uang sebagai tanda
jadi atau sebagai uang muka atau sebagai ongkos kirim. Besarnya relatif, dari
sekitar Rp 500 ribu (US$ 50) hingga Rp 1 juta (US$ 100).
Jika calon pembeli sepakat, maka penjual akan bertukar alamat e-mail
dan MSN Messanger atau Yahoo Messanger dengan calon pembeli, guna
kontak lebih lanjut dan untuk bertukar alamat domisili masing-masing. Gunanya
alamat domisili tersebut adalah untuk alamat pengiriman uang dan alamat pengiriman
barang. Selanjutnya, penjual akan meminta kepada calon pembeli untuk segera
menghubungi dirinya melalui e-mail apabila uangnya telah dikirimkan,
dengan tujuan agar dirinya bisa segera mengirimkan barang yang dipesan.
Celakanya, setelah uang tersebut dikirimkan, barang yang dinanti
tak kunjung datang. Maka si calon pembeli tersebut pun menjadi korban penipuan
si penjual tersebut.
Jika penipuan telah terjadi, posisi korban sangatlah sulit. Korban
tidak dapat atau enggan melaporkan kasus penipuan tersebut kepada aparat
penegak hukum karena transaksi yang dilakukannya adalah transaksi atas barang
yang ilegal, sehingga tidak dapat dilindungi oleh hukum. Selain itu korban akan
kesulitan mengidentifikasi penipunya, karena transaksi yang dilakukannya
melalui Internet dan tanpa bukti otentik hitam di atas putih. Faktor
lainnya adalah belum banyaknya pihak aparat penegak hukum yang mengetahui
seluk-beluk Internet, termasuk modus operandi penipuan melalui chatroom
tersebut.
Untuk lebih meyakinkan dan membuktikan analisa di atas, dalam satu
kesempatan, tepatnya pada minggu ke-4 Maret 2003, tim ICT Watch sepakat
untuk benar-benar melakukan negosiasi dan transaksi dengan salah seorang
penjual di chatroom #thacc pada server DALnet.
Penjual yang menggunakan nickname “tuyulcarder” tersebut menawarkan
sebuah notebook Sony dan sebuah ponsel Nokia. Melalui private
message penjual tersebut mengaku dirinya saat itu sedang berada di kota
Salatiga. Padahal berdasarkan analisa tim ICT Watch pada log chatroom,
penjual tersebut sebenarnya menggunakan akses Internet di warnet Intersat
di bilangan jalan Adisucipto - Jogja.
Meskipun demikian, tim ICT Watch terus melakukan negosiasi
melalui chatting dan dilanjutkan dengan menghubungi ponselnya. Kemudian
penjual tersebut menyatakan bahwa dirinya sendiri yang akan mengantarkan barang
pesanan tersebut ke Jakarta pada keesokan harinya. Kemudian dia meminta untuk
ditransfer sejumlah dana ke rekeningny di Bank BCA sebagai uang muka. Maka tim
ICT Watch melakukan transfer sejumlah dana melalui fasilitas KlikBCA
ke rekeningnya di Bank BCA dengan 3 digit awal nomor rekening tersebut adalah “456”,
dengan inisial pemilik rekening tersebut adalah “BMEH”.
Akhirnya perkiraan tim ICT Watch terbukti, lantaran setelah
dana tersebut ditransfer, barang pesanan tak kunjung diantarkan walaupun telah
ditunggu hingga beberapa hari kemudian. Ponsel milik penjual tersebut pun
menjadi tidak dapat dihubungi sama sekali.
Ada 5 (lima) fakta menarik lainnya yang berhasil ditemukan tim
ICT Watch saat melakukan observasi langsung ke beberapa chatroom carder
di server DALnet, yaitu:
1. Beberapa penjual akan meminta calon
pembeli untuk melakukan transfer ke sebuah alamat tujuan di negara Rumania,
Bulgaria bahkan India. Transfer tersebut selalu diminta melalui Western
Union (WU). Para penjual akan mencoba meyakinkan calon pembeli/korban bahwa
dirinya tidak akan dapat mengambil uang yang ditransfer melalui WU tanpa
adanya Money Transfer Control Number (MTCN) yang dipegang oleh pengirim uang.
Padahal, menurut informasi yang diperoleh ICT Watch, tidak semua negara
mengharuskan para pengambil uang di WU harus menyebutkan MTCN.
2. Selain itu, para penjual umumnya
menggunakan bahasa Inggris. Walaupun demikian, dari hasil analisa log
chatroom, terdapat sejumlah kejanggalan pada percakapan yang terjadi.
Misalnya, ada kesan “copy-paste” terhadap jawaban dari penjual, penjual
selalu terburu-buru ingin menyelesaikan negosiasi dan terkadang ada aksen-aksen
bahasa Indonesia yang terselip ditengah percakapan.
3. Yang menarik adalah keberadaan
penjual yang menggunakan nickname asing, berbahasa Inggris serta menyebutkan
alamat tujuan pengiriman uang ke Rumania, tetapi alamat Internet Protocol
(IP) yang digunakannya adalah alamat IP milik Internet Service Provider
(ISP) Centrin di Indonesia yaitu 202.146.226.xxx. Ada pula
seorang penjual, yang lagi-lagi berbahasa Inggris, menyatakan dirinya
berdomisili di Malaysia, tetapi beralamat IP milik kampus ITB - Bandung.
4. Kemudian ada indikasi pula bahwa
modus operandi penipuan melalui chatroom ini telah menggunakan konsep “agen”
ataupun “sindikat”. Pasalnya, ditemukan fakta bahwa terdapat 2 (dua)
atau lebih penjual yang berbeda, dibuktikan dengan IP yang berbeda serta secara
terpisah melakukan negosiasi dengan ICT Watch dalam waktu yang
bersamaan, menyebutkan sebuah alamat pentransferan dana di Rumania yang sama
persis. Anehnya lagi, salah seorang dari mereka menggunakan IP Centrin.
5. Fakta lain adalah kini ada semacam “keberanian”
dari para penjual untuk bertransaksi, khususnya pada hal pentransferan dana
yang sudah mulai banyak menggunakan bank dalam negeri semisal BCA, Lippo
Bank ataupun Bank Mandiri. Meskipun demikian, para penjual tersebut tetap
berusaha untuk mengaburkan identitas jati dirinya, dengan melakukan IP-spoofing
dan/ atau menggunakan warung internet (warnet) saat melakukan aksinya.
Berdasarkan pada temuan fakta di lapangan tersebut, maka memang
benar bahwa aktifitas carding secara kuantitatif mengalami penurunan. Penurunan
tersebut tidak secara otomatis menunjukkan keberhasilan dari pihak yang
berwenang dalam mengatasi carding, tetapi lebih disebabkan karena adanya
pergeseran modus operandi kejahatan melalui chatroom dan enggannya
korban melapor ke aparat penegak hukum.
*) Penulis adalah
Koordinator ICT Watch dan jurnalis TI independen. Dapat dihubungi melalui e-mail donnybu@ictwatch.com. Tulisan
ini pernah dimuat oleh majalah Bisnis Komputer, Oktober 2003. Tulisan ini bebas
dikutip asal menyebutkan sumbernya.
Dalam kegiatan sistem layanan yang kedua yaitu perbankan
online (online banking). Modus yang pernah muncul di Indonesia
dikenal dengan istilah typosite yang memanfaatkan kelengahan nasabah
yang salah mengetikkan alamat bank online yang ingin diaksesnya. Pelakunya
sudah menyiapkan situs palsu yang mirip dengan situs asli bank online (forgery).
Jika ada nasabah yang salah ketik dan masuk ke situs bank palsu tersebut, maka
pelaku akan merekam user ID dan password nasabah tersebut untuk
digunakan mengakses ke situs yang sebenarnya (illegal access) dengan
maksud untuk merugikan nasabah. Misalnya yang dituju adalah situs www.klikbca.com,
namun ternyata nasabah salah mengetik menjadi www.klickbca.com.
Beberapa contoh lain dari illegal interception yaitu antara lain:
Beberapa contoh lain dari illegal interception yaitu antara lain:
•) Penggunaan kartu asli yang tidak diterima oleh
pemegang kartu sesungguhnya (Non received card)
•) Kartu asli hasil curian/temuan (lost/stolen
card)
•) Kartu asli yang diubah datanya (altered
card)
•) Kartu kredit palsu (totally counterfeit)
•) Menggunakan kartu kredit polos yang
menggunakan data-data asli (white plastic card)
•) Penggandaan sales draft oleh oknum
pedagang kemudian diserahkan kepada oknum merchant lainnya untuk diisi
dengan transaksi fiktif (record of charge pumping atau multiple imprint),
dll.
Salah satu permasalahan perbankan yang hingga kini belum
banyak diantisipasi adalah kegagalan transaksi perbankan melalui teknologi
informasi (technology fraud) yang dalam risiko perbankan masuk kategori
sebagai risiko operasional.
Strategic Indonesia
mencatat, dalam kuartal I 2011 telah terjadi sembilan kasus pembobolan bank di
berbagai industri perbankan.
os Luhukay, pengamat
Perbankan Strategic Indonesia, mengatakan, modus kejahatan perbankan bukan
hanya soal penipuan (fraud), tetapi lemahnya pengawasan internal
control bank terhadap sumber daya manusia juga menjadi titik celah
kejahatan perbankan. "Internal control menjadi masalah utama
perbankan. Bank Indonesia harus mengatur standard operating procedure (SOP),"
kata Jos Luhukay, Senin (2/5/2011).
Berikut adalah sembilan
kasus perbankan pada kuartal pertama yang dihimpun oleh Strategic Indonesia
melalui Badan Reserse Kriminal Mabes Polri:
1. Pembobolan Kantor Kas Bank Rakyat Indonesia
(BRI) Tamini Square. Melibatkan supervisor kantor kas tersebut dibantu empat
tersangka dari luar bank. Modusnya, membuka rekening atas nama tersangka di
luar bank. Uang ditransfer ke rekening tersebut sebesar 6 juta dollar AS.
Kemudian uang ditukar dengan dollar hitam (dollar AS palsu berwarna hitam)
menjadi 60 juta dollar AS.
2. Pemberian kredit dengan dokumen dan jaminan
fiktif pada Bank Internasional Indonesia (BII) pada 31 Januari 2011. Melibatkan
account officer BII Cabang Pangeran Jayakarta. Total kerugian Rp 3,6
miliar.
3. Pencairan deposito dan melarikan pembobolan tabungan nasabah Bank
Mandiri. Melibatkan lima tersangka, salah satunya customer service bank
tersebut. Modusnya memalsukan tanda tangan di slip penarikan, kemudian
ditransfer ke rekening tersangka. Kasus yang dilaporkan 1 Februari 2011, dengan
nilai kerugian Rp 18 miliar.
4. Bank Negara Indonesia (BNI) Cabang Margonda
Depok. Tersangka seorang wakil pimpinan BNI cabang tersebut. Modusnya,
tersangka mengirim berita teleks palsu berisi perintah memindahkan slip surat
keputusan kredit dengan membuka rekening peminjaman modal kerja.
5. Pencairan deposito Rp 6 miliar milik nasabah
oleh pengurus BPR tanpa sepengetahuan pemiliknya di BPR Pundi Artha Sejahtera,
Bekasi, Jawa Barat. Pada saat jatuh tempo deposito itu tidak ada dana. Kasus
ini melibatkan Direktur Utama BPR, dua komisaris, komisaris utama, dan seorang
pelaku dari luar bank.
6. Pada 9 Maret terjadi pada Bank Danamon.
Modusnya head teller Bank Danamon Cabang Menara Bank Danamon menarik
uang kas nasabah berulang-ulang sebesar Rp 1,9 miliar dan 110.000 dollar AS.
7. Penggelapan dana nasabah yang dilakukan Kepala
Operasi Panin Bank Cabang Metro Sunter dengan mengalirkan dana ke rekening
pribadi. Kerugian bank Rp 2,5 miliar.
8. Pembobolan uang nasabah prioritas Citibank
Landmark senilai Rp 16,63 miliar yang dilakukan senior relationship manager
(RM) bank tersebut. Inong Malinda Dee, selaku RM, menarik dana nasabah tanpa
sepengetahuan pemilik melalui slip penarikan kosong yang sudah ditandatangani
nasabah.
9. Konspirasi kecurangan investasi/deposito
senilai Rp 111 miliar untuk kepentingan pribadi Kepala Cabang Bank Mega
Jababeka dan Direktur Keuangan PT Elnusa Tbk.
Pendapat
Seiring
dengan kemajuan teknologi informasi dalam dunia perbankan yang semakin canggih,
proses operasional sebagian besar bank saat ini dilakukan selama 24 jam tanpa
mengenal batasan jarak, khususnya bagi bank-bank yang telah dapat melakukan
aktivitas operasionalnya melalui delivery channels, misalnya ATM,
internet banking, phone banking, dan jenis transaksi media elektronik
banking lainnya.
Seperti
halnya pada Bank Indonesia, sebagai otoritas moneter Bank Indonesia telah
mendorong bank-bank untuk memanfaatkan medium teknologi informasi seperti
internet dalam menjalankan transparansi guna mencapai good corporate
governance di industri perbankan nasional. Dalam peraturan Bank Indonesia,
secara jelas meminta bank-bank untuk memanfaatkan media internet, yaitu homepage
atau website yang dimiliki dan dikelolanya, dan mewajibkan untuk
menampilkan laporan keuangannya di media Internet sebagai upaya meningkatkan
transparansi.
Penggunaan
teknologi di bank seperti ATM , mobile ATM, internet banking, website,
dan transaksi via email, merupakan bentuk pelayanan bank yang diharapkan
dapat memudahkan nasabah. Bahkan nasabah sekarang ini banyak melakukan
transaksi perbankan melalui saluran elektronik (electronic chanel)
teknologi informasi yang memiliki serangkaian keunggulan. Selain praktis, cara
ini dapat menghemat biaya. Meskpun demikian, transaksi dengan memanfaatkan
teknologi informasi itu juga memunyai potensi kegagalan atau dampak negatif
yang justru menyebabkan kerugian bagi nasabah.
Munculnya
permasalahan kejahatan perbankan (cybercrime) juga harus didukung adanya
aturan yang memadai, baik yang dikeluarkan oleh badan regulasi yang terkait
seperti Bank Indonesia maupun oleh badan semacam self regulatory body.
Sumber
:
