Lembaga security Positive Technology baru-baru ini menemukan fakta menggelisahkan: sebagian besar ATM bisa dibobol kurang dari 20 menit. Kesimpulan tersebut diambil setelah pengujian intensif terhadap 26 mesin ATM dari pabrikan ATM ternama seperti NCR, Diebold Nixdorf, dan GRGBanking.
Teknik yang digunakan untuk membobol ATM ini beragam. Yang paling ganas adalah skimming alias mencuri data magnetik dari kartu ATM korban. Dengan teknik skimming, 100% mesin ATM tersebut bisa dibobol cukup dengan waktu 15 menit.
Inilah beragam kemungkinan pembobolan mesin ATM
Skimming sebenarnya bukan teknik baru, namun caranya semakin canggih. Pada cara lama, skimming dilakukan dengan memasang alat khusus di slot kartu ATM. Namun kini, hacker memiliki cara lain, yaitu dengan “mencegat” data yang dikirim dari ATM ke processing center di kantor pusat bank.
Cegatan ini efektif karena data yang dikirim dari mesin ATM pada dasarnya tidak dienkripsi atau diacak. Jadi semua data nasabah, mulai dari nomor kartu, tanggal berlaku kartu, sampai nomor PIN, dikirim dalam plain text. Dengan mencegat informasi yang dikirim, hacker bisa mendapatkan informasi krusial tersebut.
Banyak Cara
Penelitian ini juga mengungkap efektivitas serangan ke jaringan ATM, dengan 85% ATM berhasil dibobol dalam waktu 15 menit. Untuk melakukan serangan ini, hacker harus membongkar mesin ATM, mencabut kabel ethernet (yang menghubungkan ATM ke sistem pusat bank), dan menghubungkannya ke perangkat khusus. Jika modem berada di luar ATM, hacker dapat melakukan serangan di atas tanpa harus membongkar mesin ATM.
Namun ada cara lebih cepat untuk membobol ATM, yaitu menggunakan teknik yang disebut Black Box. Pada cara ini, peneliti memanfaatkan kelemahan koneksi antara komputer di mesin ATM dengan kas berisi uang. Koneksi ini biasanya menggunakan dispenser cable yang bisa diakses dengan berbagai cara, termasuk melubangi mesin ATM.
Black Box memanfaatkan komputer sederhana seperti ini untuk "menipu" mesin ATM
Setelah itu, dispenser cable tersebut dicolok dengan komputer sederhana (seperti Raspberry Pi) yang menjalankan software diagnostic utilities yang telah dimodifikasi. Software ini dapat “menipu” kas uang untuk mengeluarkan seluruh uang yang ada di dalamnya.Pembobolan menggunakan BlackBox ini terbilang cepat karena bisa dilakukan dalam tempo 10 menit saja. Dan mesin ATM yang rentan serangan ini mencapai 69%.
Namun satu hal yang perlu dipahami, risiko pembobolan mesin ATM tergantung dari banyak faktor. Jika sebuah ATM menggunakan Windows 10, misalnya, relatif lebih aman dibanding mesin ATM menggunakan Windows XP. Demikian pula jaringan ATM yang dilindungi sistem enkripsi akan meningkatkan profil security-nya. Dengan kata lain, penelitian ini tidak bisa menggambarkan keseluruhan mesin ATM yang ada di seluruh dunia, termasuk Indonesia.
Dalam laporannya, Positive Technologies pun memberikan saran dari setiap lubang keamanan yang mereka temukan. Semoga pihak bank mengikuti saran tersebut sehingga keamanan uang di ATM tetap terjaga.