07 September 2017

Thursday, September 07, 2017

Di Indonesia cukup lazim toko2 atau restoran baik besar maupun kecil menggesek kartu kredit, debit atau ATM (APMK) tidak saja ke mesin EDC milik bank, namun juga ke alat skimmer toko baik yg berbentuk skimmer lepaskan spt dlm gambar ataupun yg sdh embedded dlm keyboard cash register di cashier. Praktek ini dikenal sbg DOUBLE SWIPING dan jelas dilarang oleh PCIDSS dan Bank Indonesia. Kenapa???

Karena data kartu APMK nasabah jadi rentan DICURI. Data nasabah pada magnetic stripe kartu APMK tidak disandikan atau terenkripsi. Oleh karena itu, setiap kartu APMK digesek maka seluruh data kartu APMK akan terbaca oleh skimmer, baik nama nasabah, nomor kartu, expired date dan serangkaian data lainnya yg bersifat RAHASIA yg akan mengarah kepada rekening nasabah di Bank.

Fraud skenario 1:
Dalam banyak kasus, begitu kartu di swipe, maka seluruh data di semua track akan muncul di layar kasir secara 'telanjang' (plain text). Bila programmer toko  tidak menyembunyikan data, maka Kasir atau pegawai yg nakal dpt memotret dgn HP atau print screen layar komputer untuk mencuri data nasabah. Ini banyak terjadi, khususnya di Bali. Selanjutnya Kasir atau pegawai yg nakal tinggal mengintip PIN nasabah ketika ybs. melakukan entry PIN. Berbeda dgn di luar negri, mesin2 EDC bank banyak yg hanya diletakkan di meja kasir secara flat sehingga sangat mudah diintip. Next, tinggal bikin kartu palsu dgn memanfaatkan kartu hotel, white blank card, atau kartu bermagnetic lainnya dan buat unauthorised withdrawal sebanyak2 nya. Bobol deh rekening nasabah nasabah.

Fraud Senario 2:
Assume Kasir toko dan restoran tidak saja cakep dan ganteng tapi jg baik2. Bukan fraudster. Bahkan ketika disuruh penjahat untuk nge-fraud  skimming kartu nasabah dengan iming2 uang Rp1 juta per kartu, tetap bergeming.
Maka yg terjadi,  data kartu APMK nasabah akan tersimpan dalam hardisk computer toko. Pertanyaannya, pemilik toko atau siapapun yg bisa akses ke hardisk jahat atau enggak, karena tinggal colok USB data pindah semua. Data di hardisk di upload ke server gak? Komputer terhubung ke Internet gak? Ada firewall gak? Ada segregation of duties gak? Data di ekripsi gak? Semua pertanyaan tadi yg gak exhausted, jelas diatur untuk bank. Untuk toko???? Gak ada yg atur. Acquiring bank yg punya EDC dikasir, gak mau repot2 urusan jeroan toko. Blm tentu jg dikasih akses. Inget kasus hacking data ribuan kartu APMK di toko body shop di Jakarta thn 2013, semua berawal dari praktek double swipping toko itu.

Pertanyaanya: Kalau data nasabah tercuri di toko dan uang hilang apakah bank mau ganti? belum tentu. Ada sebagian bank yg tinggal kutip perjanjian dgn nasabah yg bilang, "semua transaksi yg menggunakan data kartu dan PIN yg benar, dianggap transaksi yg SAH". Kelar deh hidup loe nasabah hiks hiks....

Mitigasi: ketika akan membayar di Kasir, PAKSA dan ingatkan Kasir untuk entry data kartu APMK instead of di SWIPE. Most system cash register di Kasir punya fall back untuk entry data kartu. Dgn entry data, maka data RAHASIA dalam magstripe tidak akan berpindah atau terpapar ke sistem toko. Jadi tidak mungkin penjahat dapat membuat kartu palsu meski tahu PIN kita.

Oh iya, soal PIN jgn lupa selalu ditutupi dgn tangan ketika entry karena kita tidak pernah tahu apakah sdg diintip atau ada camera kecil nginep.

Jadi mulai sekarang yuk kita bikin gerakan tolak DOUBLE SWIPING di Kasir biar rekening kita di bank aman.

Repost dari fb iwan setiawan


Loading...