Fitur Enterprise Ancaman Keamanan di Balik Penggunaan Kartu Kredit

Ancaman Keamanan di Balik Penggunaan Kartu Kredit

Memerhatikan perkembangan industri retail di Indonesia beberapa tahun terakhir, kita akan melihat sebuah perubahan besar sedang terjadi.

Industri retail online berkembang begitu pesat, menjual segala macam barang yang dapat dinikmati konsumen tanpa harus datang ke toko fisik. Pemain-pemain retail online baru bermunculan, pemain retail lama pun mulai membuka gerai online.

Di sisi lain, metode pembayaran nontunai pun berkembang dan semakin beragam. Penggunaan kartu kredit, debit, uang elektronik, dan metode pembayaran lain semakin banyak digunakan. Retailer skala kecil sekarang pun banyak memanfaatkan mesin Electronic Data Capture (EDC) dan memiliki Point Of Sale (POS) mereka sendiri.

Menurut data Bank Indonesia, penggunaan kartu kredit dan debit sebagai alat pembayaran mengalami peningkatan dari tahun ke tahun. Data tahun 2014 menunjukkan transaksi kartu kredit di Indonesia sebesar lebih dari Rp250 triliun, sedangkan transaksi kartu debit mencapai hampir Rp4.500 triliun.

Perubahan ini membawa risiko-risiko baru, khususnya risiko yang terkait pemanfaatan teknologi informasi (TI). Pencurian/pembobolan data adalah ancaman keamanan utama yang dihadapi industri retail. Tahun 2014 sempat disebut-sebut sebagai “the year of data breach”, atau tahun “pembobolan data” di Amerika Serikat (AS). Industri eceran (retail) termasuk salah satu sektor yang mengalami kerugian terbesar saat itu.

Frekuensi transaksi yang relatif tinggi menempatkan industri retail sebagai sasaran empuk para fraudster. Dalam sekali transaksi, para pembobol data ini dapat mengakses informasi tentang pelanggan, termasuk data yang terkait kartu kredit dan kartu debit.

Sistem POS Dirundung Malware

Sistem POS (Point of Sales) menjadi salah satu sasaran utama karena menyimpan data pribadi, data kartu kredit, dan kartu debit pelanggan. Dikabarkan saat itu, sistem POS yang digunakan oleh beberapa pemain retail besar di AS, seperti Target dan Home Depot, terinfeksi malware dan berujung pada bobolnya puluhan juta data pelanggan.

Sedangkan di Indonesia, pada awal Maret 2013 terjadi aksi pembobolan data kartu kredit di beberapa gerai merchant produk kecantikan The Body Shop. Salah satu bank papan atas Indonesia mengalami kerugian hampir 1 miliar rupiah akibat insiden tersebut.

Backoff dan BlackPOS adalah contoh malware yang menginfeksi sistem POS. Keduanya termasuk kategori malware RAM scraper. BlackPOS berperan dalam insiden pembobolan data secara masif terhadap beberapa retailer terbesar di AS.

Menurut laporan Trend Micro, PoS RAM Scraper Malware Past, Present, and Future” yang ditulis Numaan Huq, sekitar 70 juta data kartu dengan potensi nilai US$ 53.7 juta berhasil dibobol pada akhir tahun 2013.

Malware RAM scraper pada dasarnya memanfaatkan momen saat data kartu sedang berada di dalam memori di sistem POS dan berada dalam kondisi tidak terenkripsi (clear text). Malware tersebut akan membaca memori dan mencari data kartu.

Setelah mendapatkan data kartu, malware akan mengirimkan data kartu tersebut ke server-server yang telah disiapkan oleh para pelaku kejahatan. Data kartu ini kemudian digunakan untuk melakukan pembelian barang atau dijual kembali ke pihak lain.

Semua kejadian itu membawa satu isyarat yang sama bagi industri retail: ancaman keamanan sangatlah nyata dan cyber security telah menjadi bagian penting dalam industri retail baik di masa kini maupun nanti. Jadi, apa yang telah Anda lakukan untuk mengamankan bisnis retail Anda?

alt

Mengapa Menyasar Kartu Kredit?

Kartu kredit adalah sasaran empuk yang diincar para pelaku fraud. Karena begitu fraudster memperoleh data-data pemilik kartu kredit, mereka bisa dengan mudahnya mengeruk keuntungan.

Dalam transaksi online menggunakan kartu kredit, mungkin Anda tidak menyadari bahwa fisik kartu sebenarnya tidak diperlukan dalam bertransaksi.

Berbekal data pemilik kartu, nomor dan tanggal kedaluwarsa kartu, nomor CVV (Card Verification Value), alamat penagihan, bank penerbit dan informasi lainnya, siapa pun dapat bertransaksi menggunakan kartu tersebut. Sadarkah Anda bahwa data tersebut tertera jelas pada kartu dan lembar tagihan kartu kredit?

Ada beberapa cara yang umum digunakan fraudster untuk mendapatkan data pribadi, antara lain mencari di tempat sampah (dumpster diving), dihafalkan oleh pramuniaga/kasir saat pembayaran; mencuri lembar tagihan di kotak pos; menginfeksi PC dengan malware yang mengirimkan data pribadi pemilik PC ke server mereka (rekaman ketikan pada keyboard, daftar situs yang dikunjungi, dan lain-lain).

Untungnya, saat ini para penerbit kartu kredit sudah menerapkan proses verifikasi tambahan. Verifikasi tambahan ini umumnya dilakukan melalui nomor ponsel pelanggan, dimana pihak penerbit akan mengirimkan pesan one time password ke nomor ponsel. Transaksi online bisa diselesaikan ketika pemilik kartu meng-input password tersebut.

Selain itu, Bank Indonesia juga telah mewajibkan beberapa pengamanan tambahan dalam penggunaan kartu kredit, yaitu penggunaan enam digit PIN sebagai sarana verifikasi dan autentikasi bagi kartu kredit dari penerbit domestik dan pembatasan kepemilikan kartu kredit dari aspek usia dan pendapatan.

Dengan adanya mekanisme pengaman tambahan diatas, diharapkan transaksi dengan menggunakan kartu kredit menjadi lebih aman. Namun perlu diingat bahwa risiko fraud akan tetap ada, sehingga kita tetap perlu waspada.

Apa yang Dapat Dilakukan oleh Pebisnis Retail?

Ancaman akan selalu ada dan berkembang seiring berkembangnya bisnis retail dan penggunaan teknologi. Mekanisme pengamanan pun semakin canggih dan beragam. Apa saja yang dapat dilakukan oleh pebisnis retail untuk mengamankan data pelanggannya?

Menurut salah satu peringatan keamanan yang dirilis United States-Computer Emergency Response Team terkait malware yang menyerang sistem POS, ada 6 rekomendasi yang sebaiknya dilakukan oleh retailer untuk mengamankan sistem POS:

  1. Gunakan password yang kuat: Sistem POS memiliki password default yang biasanya digunakan pada saat implementasi agar prosesnya bisa berlangsung cepat. Default password ini bisa diperoleh para oknum di internet dengan mudah. Gantilah password default dengan password yang kompleks dan lakukan penggantian password secara berkala.
  2. Update aplikasi POS: Pastikan sistem POS menggunakan versi terbaru dan telah mengimplementasikan seluruh patch yang relevan.
  3. Gunakan firewall:Batasi akses ke sistem POS Anda dengan menggunakan firewall. Firewall dapat mencegah akses dari dan ke segmen jaringan/network tertentu dengan melakukan filtering terhadap lalu lintas data di jaringan, termasuk di antaranya virus dan malware.
  4. Gunakan antivirus: Antivirus yang selalu ter-update dengan definisi virus terbaru dapat secara efektif mencegah infeksi malware yang telah dikenali ke sistem POS.
  5. Batasi akses ke internet:Pembatasan akses ke sistem POS dari terminal-terminal user yang terhubung ke internet perlu dilakukan untuk mencegah user yang secara tidak sengaja mengekspos sistem POS terhadap ancaman-ancaman keamanan melalui internet. Jaringan sistem POS sebaiknya hanya boleh terhubung ke internet untuk melakukan aktivitas terkait transaksi penjualan, bukan penggunaan internet secara umum.
  6. Jangan gunakan remote access: Dengan menggunakan remote access, user dapat mengakses sistem dari mana saja. Feature ini dapat dieksploitasi oleh para pelaku kejahatan untuk mendapatkan akses ke sistem POS.

Langkah-langkah berikut juga dapat diterapkan oleh retailer untuk meminimalkan risiko pembobolan data.

  1. Edukasi pelanggan: Banyak kasus penipuan dan pencurian data diakibatkan oleh kelalaian atau ketidaktahuan pelanggan. Panduan bertransaksi dan peringatan-peringatan akan bahaya penipuan dan pencurian data bisa membantu pelanggan Anda mengamankan datanya.
  2. Enkripsi: Melakukan enkripsi terhadap data menjadi salah satu langkah utama mengamankan data pelanggan. Tidak hanya data yang tersimpan di server, data yang sedang ditransmisikan, bahkan berada dalam memori pun sebaiknya terenkripsi.
  3. Tokenisasi: Sistem tokenisasi melakukan pembuatan “token” sebagai pengganti data kartu, dan memetakan setiap token kepada data kartu spesifik di dalam sistem token. Token ini yang kemudian akan digunakan untuk berbagai pemrosesan di level aplikasi, sehingga penggunaan data kartu yang sebenarnya dapat terisolasi di sistem tokenisasi tersebut.
  4. Uji keandalan: Vulnerability assessment dan penetration test adalah serangkaian pengujian yang berupaya megidentifikasi kelemahan sistem dan mengekploitasinya untuk mendapatkan akses ke dalam sistem. Melaui pengujian ini, kelemahan-kelemahan yang masih ada di sistem diharapkan dapat teridentifikasi, lalu diperbaiki.
  5. Patuhi peraturan dan standar yang disyaratkan: Dengan mematuhi peraturan dan standar yang disyaratkan, selain memperkuat pengamanan, pebisnis retail juga dapat meminimalkan risiko terhadap kepatuhan (compliance) dan hukum (legal). Sebagai contoh, jika retailer menyimpan data kartu dalam sistem POS, umumnya mereka dituntut untuk mematuhi standar PCI-DSS (Payment Card Industry – Data Security Standard).

Penulis: Aat Ruhimat (Praktisi Teknologi Keamanan Informasi)

Comments

comments