Kalau mau dipaksakan kejahatannya memang dari ATM, saya curiga aplikasi di
sebagian ATM jebol. Masalah pertamanya adalah OS dari aplikasi ATM yg
kelihatannya kurang ter-customize, yang bisa dilihat dari pesan2 error standar
yg kadang2 muncul di ATM rusak. OS yang kurang tercustomize ini mungkin
mengijinkan local access (akses melalui keyboard di dalam mesin ATM) dengan
cara menjebol mesinnya secara fisik. Kalaupun keyboard tidak bisa diaktifkan,
mungkin penjebol bisa menggunakan feature autoload dari CD/USB untuk memasukkan
program penyadap.
Dan begitu satu mesin jebol, mengingat (misalnya) OSnya sudah tidak terupdate
lagi dan tidak mengakali menutup lubang keamanan yang ada, penjebol tinggal
memakai remote exploit OS tersebut (yang beredar di internet) untuk menguasai
seluruh ATM di jaringan. Kalo memang benar begini, wah bisa super heboh :-D.
Bisa juga dijebol dari komunikasi datanya. Saya sendiri tidak tahu komunikasi
data ATM ke pusat bagaimana tapi kalau melihat contoh internet banking dari
salah satu bank (yang sampe detik ini masih membuat saya takjub, itu gabungan
antara pelit dan pelit), jangan2 mereka tidak pernah mengasumsikan kalau bisa
muncul sebuah komputer jahat di dalam jaringan internal ATM mereka.
Kalau menyadap PIN yang berlalu lalang di jalur komunikasinya, harusnya sih
tidak yah, harusnya PIN sudah dienkripsi sih. Tapi gak tahu deh, tergantung
enkripsi yang dipakai.
Kalau melihat sedikitnya jumlah korban dan bervariasinya lokasi korban, saya
curiga jangan2 semua korban adalah orang2 yang kebetulan nomor hash
("enkripsi") nya sama, dan tergantung metode dan pilihan hashnya, jangan2nya
PIN nya yang sama semuanya :-D.
Bahkan jangan2 kartu korban tidak pernah dicopy, jadi kartu2 yang dipakai hasil
generate-an dari mereka, jadi cuma kartu nomor2 tertentu doang yang bisa, yang
mengimplikasikan kalau hash collisionnya parah banget.
Saya tidak tahu apakah data di magnetic strip itu cuma nomor kartu aja atau ada
nomor tambahan di belakangnya yang kalau digabungkan harus lolos algoritma
pengecekan tertentu. Kalaupun ada nomor tambahan, mungkin mereka sudah berhasil
menjebol algoritma tersebut, jadi asal tahu nomor kartunya, magnetic stripnya
bisa dibuat.
So many possibilities, dan mungkin kita tidak akan pernah tahu kebenarannya
:-p. Yang pasti kita tidak bisa langsung menyalahkan divisi keamanan bank
tersebut atau perusahaan yang mengelola ATM. Keamanan itu mahal dan merepotkan,
belum tentu nasabah rela.
Semua di atas mengasumsikan jebolnya dari ATM.
NB: Beberapa bulan (mungkin hampir setahun?) yang lalu saya melihat pesan error
aneh di salah satu mesin ATM, seakan-akan ada program yang tidak diapprove
hendak berkomunikasi. Mungkin ada hubungannya :-p.
--- In AhliKeuangan-Indonesia@yahoogroups.com, "Oka Widana" <o...@...> wrote:
>
> Bagi saya case ini sama sekali ngak jelas. Saya ngak paham knapa seolah2
> sudah dapat dipastikan bahwa kejahatan dilakukan via ATM.
>
> Memang dulu pernah ada alat skimmer dan kamera yg dipasang sekitar ATM. Tapi
> kalo kejadiannya menyangkut ratusan account dan terjadi dalam waktu singkat,
> bagaimana penjelasannya?
>
> Saya tahu persis bagaimana pengamanan fisik ATM dilakukan. At least, saat ini
> kayaknya mustahil. Karena, setiap hari paling tdk 2-3 kali, petugas bank atau
> vendornya datang ke lokasi ATM utk isi uang, bersih2 atau cek fisik.
>
> Kalo ngomong kemungkinan, justru cracking mudah terjadi di mesin2 EDC
> daripada ATM. Perhatikan deh mesin EDC lokasinya ada dipasar, toko besar
> maupun kecil bahkan kios. Infra struktur di toko kan ngak bisa di kontrol
> bank, mau masang alat pengganda model apapun sangat mungkin dilakukan.
>
> Polisi juga saat ini saya kira serba salah. Mau terbuka, bisa2 menyalahi
> ketentuan rahasia bank, mau tertutup nanti dibilang tak transparan. Tapi
> statement polisi atau BI yg menyalahkan sistem bank saya kira ngak tepat.
>
>
> Oka
> Powered by Telkomsel BlackBerry®
