LatarBelakang
• Semakinbanyaknyalayananbankyangdapatdiaksesnasabahsecaralangsungdenganmenggunakanteknologiinformasi
• Penggunaanteknologiinformasididalambankpunsemakinmeningkat
• Teknologiinformasidankomputerberkembangterusdenganmenghasilkanprodukyangsemakincepatdankecilukurannya
• Meningkatnyakejahatanyangdilakukandenganmenggunakanteknologiinformasi
17Februari2010 2BR‐PembobolanBankdenganIT
GarisBesar
• ITdisalahgunakanuntukmelakukanfraud(pembobolan)– External– Internal
• ITdigunakanuntukmendapatkaninformasi,frauddilakukansecarakonvensional
17Februari2010 3BR‐PembobolanBankdenganIT
PenyalahgunaanIT
• Olehpihakeksternal– Internetbanking• Webinternetbankingabal‐abal/gadungan• Buruknyadesaindanimplementasidariaplikasiinternetbanking(misalmenggunakandatapribadisebagaibagiandariusername)• Takeoverkomputerklien• Diperlukanauditsecuritydariaplikasi
17Februari2010 4BR‐PembobolanBankdenganIT
PenyalahgunaanIT
• Olehpihakeksternal(cont.)– SMSbanking• Jikamenggunakanplaintext,rentanbocordata
– mBanking?– Penyadapanjaringankomunikasi(internet,LAN,VSAT,…)
– ATMdipasangialat
17Februari2010 5BR‐PembobolanBankdenganIT
PenyalahgunaanIT
• Olehpihakinternal– Mengaksescorebankingatauaplikasi(ataudevices)untukmembuattransaksi[iktif
– LinkkartuATMkerekeningyangberbeda– Dampaklebihdahsyatdaripadaattackdarieksternal
– Proteksi:logging,analysis
17Februari2010 6BR‐PembobolanBankdenganIT
ITsebagaipendukungfraud
• ITdigunakanuntukmendapatkandatanasabah– Skimmer(menangkapdatadimagneticstrip)– Sniffer(menangkappaketdatayanglalulalangdijaringankomunikasi)
– Keylogger(menangkapapayangdiketikkandikeyboardkomputer)
– Phishing(personalinformation4ishing,dengansitusabal‐abal,socialengineering)
17Februari2010 7BR‐PembobolanBankdenganIT
Perlindungan
• Twofactorauthentication– Whatyouhave– Whatyouknow– Whatyouare
• Datayangberubahsecaradinamik(misaldenganmenggunakantoken)
• Loggingdananalisisdata
17Februari2010 8BR‐PembobolanBankdenganIT
Perlindungan
• Desaindanimplementasiaplikasiyangsecure
• Evaluasiberkalakondisi([isikdanlogic)darideliverychannel(misalATM)
17Februari2010 9BR‐PembobolanBankdenganIT
Perlindungan
• Edukasimasyarakat/nasabah– Untukmengurangipotensiseranganphishing– KebijakanbahwabanktidakakanpernahmenanyakanPIN/passwordmelaluitelepon/email/SMS
– TidakmenggunakandatapribadisebagaibagiandariPIN/password
– Tidakmenampilkandatapribadidiberbagailayanansocialnetwork
– Kemanaharusmelapor(helpdesk)17Februari2010 10BR‐PembobolanBankdenganIT
Penutup
• SemogalayananperbankanIndonesiabisalebihamandannyaman
17Februari2010 11BR‐PembobolanBankdenganIT