medanToday.com,JAKARTA – Pengamanan kartu kredit dan kartu debit di Indonesia dinilai masih lemah. Penggesekan kartu kredit nasabah di mesin kasir supermarket dan berbagai toko retail merupakan salah satu sumber utama kebocoran data nasabah.
Pakar Keamanan Siber dan Kriptografi Pratama Persadha menjelaskan, salah satu sumber kebocoran data nasabah adalah adanya tindak penggesekan dua kali dalam transaksi nontunai (double swipe).
Saat nasabah melakukan transaksi non tunai baik kredit maupun debit, kartu akan diminta oleh kasir. Seharusnya kartu kredit atau kartu debet hanya digesekkan satu kali saja yaitu di mesin Electronic Data Capture (EDC). Tetapi terkadang ada kasir yang menggesek kartu tersebut di mesin kasir.
“Jadi, kalau kartu kita digesek di card reader komputer kasir, sebenarnya mereka juga membaca kartu kita. Kalau bisa baca, berarti bisa copy. Ya kalau bisa di-copy berarti bisa dipakai untuk siapa saja,” kata Pratama.
Oleh karena itu, lanjutnya, jika masyarakat membiarkan kasir menggesek dua kali maka sangat berisiko.
“Pengamanan kartu debit dan kartu kredit di Tanah Air masih lemah, sehingga sangat mudah sekali digandakan datanya. Jadi bila kartu kita digesek di card reader komputer kasir, sebenarnya mereka juga membaca sekaligus meng-copy data kartu kita,” kata dia.
Kalau data sudah di-copy, lanjut Pratama, bisa dipakai untuk apa saja. Data itu bahkan bisa di-copy ke kartu kosong. Hasil penggandaan kartu kredit bahkan langsung bisa dipakai, sedangkan kartu debit relatif lebih aman karena dilengkapi PIN.
Lebih parahnya lagi, data pengguna bisa dikopi ke kartu kosong yang dijual ke pasar gelap seharga US$ 5 atau setara dengan Rp 66 ribu (kurs 13.300 per dolar AS).
Jual Data Nasabah
Dan ini memang bukan hanya sekadar isapan jempol. Tim dari Subdirektorat Tindak Pidana Pencucian Uang Bareskrim Polri beberapa waktu lalu menangkap pria berinisial C (27) usai mendapat laporan dari masyarakat.
Direktur Tindak Pidana Ekonomi dan Khusus, Brigadir Jenderal Pol Agung Setya mengatakan, C ditangkap karena diduga menjual data nasabah. Menurut Agung, data nasabah perbankan harus dilindungi kerahasiaannya. Tidak boleh ada pihak-pihak yang mengambil informasi data nasabah kemudian dijual kepada pihak lain untuk keuntungan pribadi.
“Ini merupakan perbuatan melanggar hukum, di mana nasabah sudah dilindungi oleh undang–undang dengan tindakan yang dilakukan tersangka,” beber Agung.
Akibat bocornya data tersebut, nasabah tentu dirugikan, sementara kepercayaan terhadap perbankan pun juga terancam. Tersangka, tutur dia, sudah melakoni bisnis jual-beli data nasabah sejak 2014.
“Dia menggunakan uang hasil penjualan data nasabah untuk keperluan pribadinya,” Agung menjelaskan.
Sekretaris Perusahaan PT Bank Mandiri Tbk, Rohan Hafas menuturkan, salah satu perilaku masyarakat yang membuat data pribadi, termasuk rekening yang bisa tersebar ke publik, bahkan parahnya lagi diduplikasi, yakni menggesekkan kartu kredit atau kartu debet selain ke mesin EDC, juga ke keyboard komputer maupun mesin cash register kasir.
“Kalau konsumen sering berbelanja ke mal atau toko modern, membayar pakai kartu debet atau kartu kredit, kan biasanya digesek ke mesin EDC, itu normal tidak apa karena sudah ada peraturan dan etikanya terlindungi secara sistem,” tutur dia.
“Tapi setelah itu, si kasir biasanya gesek lagi di keyboard komputer atau mesin cash register, nah itu tidak boleh. Jangan mau, karena itu merekam data nasabah di komputer atau hardisk PC mereka,” Rohan menambahkan.
“Kalau komputer atau hardisk dikasihkan ke temannya misal, terus di-download, ya dapat itu semua data konsumen. Magnetiknya membaca data itu, kemudian kartu kosong baru disuntik data nasabah, jadilah kartu kloning,” kata Rohan.
Aksi Sindikat
Menurut Pratama Persadha menjelaskan, jual beli data nasabah dilakukan oleh sindikat. Saat ini banyak muncul kelompok ‘underground’ yang menawarkan data-data korban dari kartu kosong tersebut.
“Banyak toko-toko dan merchant yang nggak peduli bentuk kartunya, yang penting mereka maunya dibayar dengan transaksi apapun termasuk nontunai. Nah, mereka tidak tahu risiko dari penggesekan ganda. Data-data itu bisa dicuri oleh mereka (sindikat),” ujar Pratama.
Parahnya, sambung Pratama, data pengguna di kartu kredit yang dibobol bisa digunakan sindikat untuk belanja online. Ia mengambil contoh pada kasus besar kartu kredit palsu seperti Master Card dan Visa diretas beberapa waktu lalu.
“Waktu itu hacker kesal karena Visa dan Master Card menolak untuk digunakan untuk sebagai sarana pembayaran donasi ke WikiLeaks, kemudian datanya dibagikan ke Deep Web,” ujarnya menerangkan.(mtd/min)
===============
