Menangkal Kejahatan Sistem Pembayaran
Rabu, 21 Maret 2018 - 08:39 WIB
Menangkal Kejahatan Sistem Pembayaran
A
A
A
Remon Samora
Analis di Departemen Surveilans Sistem Keuangan Bank Indonesia
DI TENGAH pesatnya kemajuan teknologi, modus kejahatan di bidang sistem pembayaran juga semakin berkembang. Dalam sepekan terakhir industri perbankan kembali dikejutkan oleh peristiwa raibnya dana nasabah secara misterius di Kediri dan beberapa kota lainnya.
Puluhan nasabah melaporkan berkurangnya saldo tabungan mereka kendati tidak melakukan penarikan dana. Tak pelak kejadian ini memunculkan pertanyaan tentang apa yang sebenarnya terjadi. Berdasarkan penyelidikan pihak kepolisian, ihwal kasus ini diduga akibat praktik skimming .
Per definisi, skimming merupakan tindakan pencurian informasi kartu kredit atau debit dengan cara menyalin informasi yang terdapat pada strip magnetik kartu secara ilegal. Bermodalkan mesin gesek pembaca kartu (skimmer ), pelaku kejahatan menempelkan alat tersebut pada slot mesin ATM.
Selanjutnya data strip magnetik pada kartu ATM nasabah akan terduplikasi, lalu dipindahkan ke kartu ATM kosong. Celakanya, beberapa jenis mesin skimmer saat ini dilengkapi dengan kemampuan membaca kode PIN kartu ATM. Terang saja pelaku bebas menguras tabungan nasabah selepas data kartu ATM dicuri.
Selain skimming, risiko fraud di bidang sistem pembayaran juga dibayang-bayangi oleh beberapa praktik kecurangan lainnya.
Pertama, gesek ganda (double swipe). Pada saat melakukan pembayaran, kartu debit konsumen terkadang tidak hanya digesek di mesin electronic data capture (EDC) saja, tapi juga di mesin kasir. Dari sudut pandang toko/pedagang (merchant), praktik ini semata-mata hanya mempermudah proses pencatatan pembayaran.
Namun, proses bisnis ini tetap menyimpan risiko bocornya data kartu milik konsumen. Tatkala kartu tersebut telah digesek dua kali, maka informasi yang mencakup nama pemegang kartu, nomor kartu, dan masa berlaku kartu akan terbaca otomatis oleh mesin.
Apabila data-data tersebut diretas oleh oknum tidak bertanggung jawab, maka perampokan melalui perangkat digital niscaya akan terjadi. Bank Indonesia secara tegas telah melarang praktik ini melalui Peraturan Bank Indonesia Nomor 18/40/PBI/2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran. Dalam setiap transaksi, kartu hanya boleh digesek sekali di mesin EDC dan tidak diperbolehkan melakukan penggesekan lainnya, termasuk di mesin kasir. Pelarangan penggesekan ganda tersebut bertujuan melindungi masyarakat dari pencurian data dan informasi kartu.
Untuk mendukung perlindungan data masyarakat, bank (acquirer ) wajib memastikan kepatuhan pedagang terhadap larangan penggesekan ganda. Bank juga diharapkan mengambil tindakan tegas, antara lain dengan menghentikan kerja sama dengan pedagang yang masih melakukan praktik penggesekan ganda.
Untuk kepentingan rekonsiliasi transaksi pembayaran, pedagang diharapkan dapat menggunakan metode lain yang tidak melibatkan penggesekan ganda.
Kedua, pengelabuan melalui situs palsu (phising ). Phising didefinisikan sebagai bentuk penipuan untuk mendapatkan informasi pribadi, seperti kata sandi dan kartu kredit, dengan menyamar sebagai entitas terpercaya melalui komunikasi elektronik.
Sering kali praktik ini dilakukan dengan memberikan penawaran menarik melalui surat elektronik dan menyertakan tautan palsu. Calon korban lalu diminta mengisi sebuah form yang mencakup biodata pribadi, termasuk data kartu kredit yang akan disimpan di server peretas. Seluruh data tersebut kemudian akan digunakan pelaku kejahatan untuk menggandakan kartu kredit dan berbelanja online menggunakan data korban.
Ketiga, malware atau perangkat lunak yang diciptakan seseorang dengan tujuan jahat. Praktik ini sempat heboh pada tahun 2015 karena melibatkan nasabah di tiga bank besar sebagai korban. Modus operandi kejahatan ini dilakukan dengan menyebarkan iklan software internet banking palsu yang muncul di laman internet.
Saat nasabah mengunduh software palsu tersebut, malware akan bergerak masuk ke ponsel sehingga tampilan laman internet banking palsu seolah-olah berasal dari bank. Menariknya, praktik ini melibatkan pihak ketiga yang disebut “kurir” untuk mengirimkan uang hasil pencurian.
Upaya Preventif
Untuk memitigasikan risiko fraud, terutama bersumber dari fitur strip magnetik, Bank Indonesia telah menerbitkan Surat Edaran No. 17/52/ DKSP tentang Implementasi Standar Nasional Teknologi Chip dan Penggunaan PIN online 6 digit untuk kartu ATM/ debit. Ketentuan ini mewajibkan seluruh kartu debit/ATM yang beredar telah menggunakan chip dan PIN online 6 digit secara penuh pada tanggal 1 Januari 2022.
Selama ini teknologi strip magnetik terbukti rentan dimanipulasi oleh oknum-oknum tertentu, terutama melalui praktik skimming. Pada lain pihak, teknologi chip memiliki fitur pengamanan berlapis sehingga probabilitas kartu dipalsukan sangat minim. Dengan hadirnya beleid ini, diharapkan perlindungan terhadap kartu ATM/debit berbasis chip akan semakin ketat.
Setali tiga uang, Bank Indonesia juga mewajibkan penggunaan PIN 6 digit untuk kartu kredit pada tahun 2020. Kewajiban penggunaan PIN tersebut menggantikan proses verifikasi dan autentikasi transaksi pembayaran yang sebelumnya menggunakan tanda tangan. Penggunaan tanda tangan dinilai berpotensi disalahgunakan apabila kartu kredit hilang atau berpindah tangan.
Di sisi lain, edukasi konsumen berperan sangat penting dalam pencegahan kejahatan di bidang sistem pembayaran. Beberapa langkah sederhana yang bisa dilakukan nasabah di antaranya tidak memberitahukan kode PIN kepada siapa pun, mengganti kode PIN secara reguler, membawa sendiri kartu debit/kredit ke mesin ATM dan EDC merchant, serta bertransaksi di situs resmi bank atau toko online.
Selain itu, nasabah diharapkan turut mengambil bagian dalam memenuhi ketentuan Bank Indonesia, misalnya segera mengganti kartu ATM/ debit apabila belum dilengkapi teknologi chip dan selalu menggunakan PIN saat bertransaksi dengan kartu kredit.
Bank Indonesia sebagai otoritas sistem pembayaran telah menyediakan laman khusus terkait edukasi dan perlindungan konsumen. Masyarakat bisa mengunjungi situs Bank Indonesia untuk mendapatkan informasi lebih lanjut perihal hal-hal yang harus diperhatikan agar tidak menjadi korban kejahatan sistem pembayaran. Selain itu, konsumen juga dapat memperoleh penjelasan tentang tata cara dan mekanisme pengaduan nasabah terkait permasalahan transaksi keuangan.
*)Tulisan ini adalah pandangan pribadi dan tidak mewakili lembaga tempat bekerja
Analis di Departemen Surveilans Sistem Keuangan Bank Indonesia
DI TENGAH pesatnya kemajuan teknologi, modus kejahatan di bidang sistem pembayaran juga semakin berkembang. Dalam sepekan terakhir industri perbankan kembali dikejutkan oleh peristiwa raibnya dana nasabah secara misterius di Kediri dan beberapa kota lainnya.
Puluhan nasabah melaporkan berkurangnya saldo tabungan mereka kendati tidak melakukan penarikan dana. Tak pelak kejadian ini memunculkan pertanyaan tentang apa yang sebenarnya terjadi. Berdasarkan penyelidikan pihak kepolisian, ihwal kasus ini diduga akibat praktik skimming .
Per definisi, skimming merupakan tindakan pencurian informasi kartu kredit atau debit dengan cara menyalin informasi yang terdapat pada strip magnetik kartu secara ilegal. Bermodalkan mesin gesek pembaca kartu (skimmer ), pelaku kejahatan menempelkan alat tersebut pada slot mesin ATM.
Selanjutnya data strip magnetik pada kartu ATM nasabah akan terduplikasi, lalu dipindahkan ke kartu ATM kosong. Celakanya, beberapa jenis mesin skimmer saat ini dilengkapi dengan kemampuan membaca kode PIN kartu ATM. Terang saja pelaku bebas menguras tabungan nasabah selepas data kartu ATM dicuri.
Selain skimming, risiko fraud di bidang sistem pembayaran juga dibayang-bayangi oleh beberapa praktik kecurangan lainnya.
Pertama, gesek ganda (double swipe). Pada saat melakukan pembayaran, kartu debit konsumen terkadang tidak hanya digesek di mesin electronic data capture (EDC) saja, tapi juga di mesin kasir. Dari sudut pandang toko/pedagang (merchant), praktik ini semata-mata hanya mempermudah proses pencatatan pembayaran.
Namun, proses bisnis ini tetap menyimpan risiko bocornya data kartu milik konsumen. Tatkala kartu tersebut telah digesek dua kali, maka informasi yang mencakup nama pemegang kartu, nomor kartu, dan masa berlaku kartu akan terbaca otomatis oleh mesin.
Apabila data-data tersebut diretas oleh oknum tidak bertanggung jawab, maka perampokan melalui perangkat digital niscaya akan terjadi. Bank Indonesia secara tegas telah melarang praktik ini melalui Peraturan Bank Indonesia Nomor 18/40/PBI/2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran. Dalam setiap transaksi, kartu hanya boleh digesek sekali di mesin EDC dan tidak diperbolehkan melakukan penggesekan lainnya, termasuk di mesin kasir. Pelarangan penggesekan ganda tersebut bertujuan melindungi masyarakat dari pencurian data dan informasi kartu.
Untuk mendukung perlindungan data masyarakat, bank (acquirer ) wajib memastikan kepatuhan pedagang terhadap larangan penggesekan ganda. Bank juga diharapkan mengambil tindakan tegas, antara lain dengan menghentikan kerja sama dengan pedagang yang masih melakukan praktik penggesekan ganda.
Untuk kepentingan rekonsiliasi transaksi pembayaran, pedagang diharapkan dapat menggunakan metode lain yang tidak melibatkan penggesekan ganda.
Kedua, pengelabuan melalui situs palsu (phising ). Phising didefinisikan sebagai bentuk penipuan untuk mendapatkan informasi pribadi, seperti kata sandi dan kartu kredit, dengan menyamar sebagai entitas terpercaya melalui komunikasi elektronik.
Sering kali praktik ini dilakukan dengan memberikan penawaran menarik melalui surat elektronik dan menyertakan tautan palsu. Calon korban lalu diminta mengisi sebuah form yang mencakup biodata pribadi, termasuk data kartu kredit yang akan disimpan di server peretas. Seluruh data tersebut kemudian akan digunakan pelaku kejahatan untuk menggandakan kartu kredit dan berbelanja online menggunakan data korban.
Ketiga, malware atau perangkat lunak yang diciptakan seseorang dengan tujuan jahat. Praktik ini sempat heboh pada tahun 2015 karena melibatkan nasabah di tiga bank besar sebagai korban. Modus operandi kejahatan ini dilakukan dengan menyebarkan iklan software internet banking palsu yang muncul di laman internet.
Saat nasabah mengunduh software palsu tersebut, malware akan bergerak masuk ke ponsel sehingga tampilan laman internet banking palsu seolah-olah berasal dari bank. Menariknya, praktik ini melibatkan pihak ketiga yang disebut “kurir” untuk mengirimkan uang hasil pencurian.
Upaya Preventif
Untuk memitigasikan risiko fraud, terutama bersumber dari fitur strip magnetik, Bank Indonesia telah menerbitkan Surat Edaran No. 17/52/ DKSP tentang Implementasi Standar Nasional Teknologi Chip dan Penggunaan PIN online 6 digit untuk kartu ATM/ debit. Ketentuan ini mewajibkan seluruh kartu debit/ATM yang beredar telah menggunakan chip dan PIN online 6 digit secara penuh pada tanggal 1 Januari 2022.
Selama ini teknologi strip magnetik terbukti rentan dimanipulasi oleh oknum-oknum tertentu, terutama melalui praktik skimming. Pada lain pihak, teknologi chip memiliki fitur pengamanan berlapis sehingga probabilitas kartu dipalsukan sangat minim. Dengan hadirnya beleid ini, diharapkan perlindungan terhadap kartu ATM/debit berbasis chip akan semakin ketat.
Setali tiga uang, Bank Indonesia juga mewajibkan penggunaan PIN 6 digit untuk kartu kredit pada tahun 2020. Kewajiban penggunaan PIN tersebut menggantikan proses verifikasi dan autentikasi transaksi pembayaran yang sebelumnya menggunakan tanda tangan. Penggunaan tanda tangan dinilai berpotensi disalahgunakan apabila kartu kredit hilang atau berpindah tangan.
Di sisi lain, edukasi konsumen berperan sangat penting dalam pencegahan kejahatan di bidang sistem pembayaran. Beberapa langkah sederhana yang bisa dilakukan nasabah di antaranya tidak memberitahukan kode PIN kepada siapa pun, mengganti kode PIN secara reguler, membawa sendiri kartu debit/kredit ke mesin ATM dan EDC merchant, serta bertransaksi di situs resmi bank atau toko online.
Selain itu, nasabah diharapkan turut mengambil bagian dalam memenuhi ketentuan Bank Indonesia, misalnya segera mengganti kartu ATM/ debit apabila belum dilengkapi teknologi chip dan selalu menggunakan PIN saat bertransaksi dengan kartu kredit.
Bank Indonesia sebagai otoritas sistem pembayaran telah menyediakan laman khusus terkait edukasi dan perlindungan konsumen. Masyarakat bisa mengunjungi situs Bank Indonesia untuk mendapatkan informasi lebih lanjut perihal hal-hal yang harus diperhatikan agar tidak menjadi korban kejahatan sistem pembayaran. Selain itu, konsumen juga dapat memperoleh penjelasan tentang tata cara dan mekanisme pengaduan nasabah terkait permasalahan transaksi keuangan.
*)Tulisan ini adalah pandangan pribadi dan tidak mewakili lembaga tempat bekerja
(sms)
