Thursday, July 19, 2012

Cara Cracker Membobol Internet Banking

 saya memaparkan tentang pembobol ATM. Karena sedang marak pembobolan  uang nasabah di bank, kali ini saya akan menjelaskan bagaimana seseorang  meng-crack informasi di internet banking sehingga cracker mendapatkan data PIN dan saldo rekening korban. Berikut deskripsinya:

     1.      Teknik Session Hijacking     Dengan session hijacking, cracker menempatkan sistem monitoring/spying terhadap pengetikan yang dilakukan pengguna pada PC yang digunakan oleh pengguna (user)  untuk mengunjungi situs internet banking. Untuk mengatasi masalah ini  pengguna sebaiknya menggunakan komputer yang benar-benar terjamin dan  tidak digunakan oleh sembarang orang, misalnya komputer di rumah,  kantor, dsb. Perhatikan gambar berikut tentang session hijacking  Tehnik session hijacking Tehnik session hijacking   2.       Teknik Packet Sniffing   Pada teknik ini cracker melakukan  monitoring atau penangkapan terhadap paket data yang ditransmisikan  dari komputer user ke web server internet banking pada jaringan  internet. Cracker yang melakukan teknik ini terkenal juga dengan istilah  MITM (Man In The Middle). Untuk mengatasi masalah ini perlu dilakukan enkripsi/penyandian paket data pada komputer client sebelum dikirimkan melalui media internet ke web server. Perhatikan gambar berikut tentang packet sniffing.  Tehnik session hijacking Tehnik session hijacking   3.      Teknik DNS Spoofing   Pada teknik ini cracker berusaha  membuat pengguna mengunjungi situs internet banking yang salah sehingga  memberikan informasi rahasia kepada pihak yang tidak berhak. Untuk  melakukan tehnik ini cracker umumnya membuat situs internet banking yang  mirip namanya dengan nama server ecommerce asli. Misalnya  www.klikbca.com merupakan situs yang asli, maka hacker akan membuat  situs bernama www.klik_bca.com, www.klikbca.org, www.klik-bca.com,  www.klikbca.co.id. Dengan demikian ketika pengguna membuka alamat yang  salah, ia akan tetap menduga ia mengunjungsi situs klikbca yang benar.    Untuk mengatasi masalah tersebut di atas dapat dipecahkan dengan melengkapi Digital Certificates pada situs asli. Dengan demikian meskipun cracker dapat membuat nama yang sama namun tidak bisa melakukan pemalsuan digital certificate. Pengguna atau pengunjung situs dapat mengetahui bahwa situs itu asli atau tidak  dengan melihat ada tidaknya certificate pada  situs tersebut menggunakan browser mereka. Disamping itu webserver  eCommerce harus dilengkapi dengan firewall yang akan menyaring  paket-paket data yang masuk sehingga terhindar dari serangan Denial Of Service (DoS). Perhatikan gambar berikut tentang DNS Spoofing  Tehnik DNS Spoofing Tehnik DNS Spoofing   4.      Teknik Website Defacing   Pada teknik ini cracker melakukan  serangan pada situs asli misalkan www.klikbca.com kemudian mengganti  isi halaman pada server tersebut dengan miliknya. Dengan demikian  pengunjung akan mengunjungi alamat dan server yang benar namun halaman  yang dibuat cracker.     Untuk mengatasi masalah di atas server  eCommerce perlu dikonfigurasi dengan baik agar tidak memiliki security  hole dan harus dilengkapi firewall yang akan menyaring paket data yang  dapat masuk ke situs tersebut. Perhatikan gambar berikut tentang website defacing.   Teknik Website Defacing   Dalam wawancaranya di Metro TV hari  Minggu kemarin, pakar keamanan intermet mengatakan bahwa keamanan  informasi situs internet banking di Indonesia masih pada tahap prinsip availability. Inilah yang membuat nasabah masih sangat rawan menjadi korban cracker. Sistem keamanan informasi (information security) memiliki empat prinsip yang sangat mendasar, yaitu :   1.      Availability  Menjamin pengguna yang valid selalu bisa  mengakses informasi dan sumberdaya miliknya sendiri. Untuk memastikan  bahwa orang-orang yang memang berhak tidak ditolak untuk mengakses  informasi yang memang menjadi haknya.    2.      Confidentiality  Menjamin informasi yang dikirim tersebut  tidak dapat dibuka dan tidak dapat diketahui orang yang tidak berhak.  Sehingga upaya orang-orang yang ingin mencuri informasi tersebut akan  sia-sia.    3.      Integrity  Menjamin konsistensi dan menjamin data  tersebut sesuai dengan aslinya. Sehingga upaya orang-orang yang berusaha  merubah data itu akan ketahuan dan percuma.    4.      Legitimate Use  Menjamin kepastian bahwa sumberdaya tidak dapat digunakan oleh orang yang tidak berhak.

No comments:

Post a Comment

Flag Counter

free counters

CBox

Blog Archive

Translator

English French German Spain Italian Dutch Russian Portuguese Japanese Korean Arabic Chinese Simplified

Flag counter

Widgeo

Animation