Kartu Chip ATM: Pengamanan yang Berlebihan?

Pembobolan kartu kredit di Indonesia memang tergolong tinggi dan wajib segera dicari cara yang tepat untuk mengatasinya. Di sisi lain, kecurangan (fraud) pada jenis kartu lainnya, seperti kartu debet dan kartu ATM, sangat kecil. Namun, bank sentral memperlakukan aturan yang sama terhadap semua jenis kartu pembayaran, yakni kewajiban pemasangan chip.

Jika langkah Bank Indonesia (BI) itu dilihat sebagai antisipasi potensi kecurangan di masa depan yang tidak bisa diprediksi, tentu tak ada yang salah, bahkan bisa dibilang brilian. Namun, akan menjadi masalah serius jika dikaitkan dengan kesiapan bank untuk mengimplementasi aturan tersebut, terutama dari segi ongkos yang harus dikeluarkan. Apalagi, marjin keuntungan bank baru saja anjlok tahun lalu dan diperkirakan akan terulang lagi tahun ini. Untuk mengimplementasi aturan kartu ber-chip, bank harus merogoh kocek ratusan miliar rupiah hanya dalam waktu dua tahun. Maklum, selain harus memasang chip yang harganya sekitar dua dollar AS per buah pada jutaan kartu, bank juga harus mengganti puluhan ribu anjungan tunai mandiri (ATM) dan ratusan ribu EDC (electronic data capture) yang dipasang di merchant-merchant. Belum lagi ongkos modifikasi informasi teknologi di ”back end”. Menurut hitungan kasar, total biaya yang harus dikeluarkan seluruh bank untuk mengganti semua kartu dan mesin yang ada saat ini mencapai Rp 4 triliun. Karena itulah, bank meradang. Awalnya, hanya bisik-bisik keluh kesah satu dua bankir, lama kelamaan menggumpal menjadi kesepakatan bersama untuk mengajukan keberatan ke BI. Ketua Umum Himpunan Bank-bank Milik Negara (Himbara) Sigit Pramono mengungkapkan, saat ini tim Himbara sedang mendiskusikan masukan-masukan yang akan disampaikan kepada BI, khususnya mengenai besarnya investasi. Muaranya, kemungkinan Himbara akan mengusulkan penundaan jadwal dan tahapan implementasinya. Menurut Sigit, pada dasarnya Himbara mendukung kebijakan BI tersebut. Apalagi, kalangan perbankan juga sangat berkepentingan karena tujuan utamanya untuk meningkatkan keamanan (security) dalam bertransaksi dan mencegah kecurangan. ”Persoalannya adalah masalah investasi yang besar dan waktu pelaksanaannya. Dua hal inilah yang akan kami sampaikan sebagai masukan kepada BI,” kata Sigit, pekan lalu di Jakarta. Sejumlah bankir mengusulkan agar penggunaan chip diterapkan saat kartu pembayaran mulai dimanfaatkan secara optimal. Artinya, kartu pembayaran tidak hanya digunakan untuk transaksi perbankan atau pembayaran di merchant, tapi juga meluas untuk, misalnya, pembayaran tol atau parkir. Artinya, lebih baik BI dan pemerintah memasyarakatkan terlebih dahulu pemakaian kartu pada segala bidang. Dengan demikian, pemasangan chip tidak lagi ”mubazir” karena pemakaiannya optimal dan sesuai dengan potensi fraud yang akan muncul. Demi keamanan Berdasarkan Surat Edaran Bank Indonesia No 7/60 yang merupakan tindak lanjut dari Peraturan Bank Indonesia No 7/52/2005 tentang Penyelenggaraan Kegiatan Alat Pembayaran dengan Menggunakan Kartu, BI mewajibkan penggunaan teknologi chip pada kartu ATM, kartu debet, dan kartu kredit yang diterbitkan mulai tanggal 1 September 2006, baik untuk pemegang kartu baru ataupun untuk penggantian kartu lama (renewal). Adapun penggantian kartu lama wajib dilakukan paling lambat 31 Desember 2008. BI berharap dengan penggunaan chip keamanan kartu akan semakin terjaga mengingat jenis teknologi yang dipasang pada kartu ini memuat sejumlah aplikasi dan pengamanan. Meskipun tingkat kecurangan terutama pada kartu debet dan ATM masih sedikit, BI mengkhawatirkan adanya migrasi kejahatan kartu dari negara lain ke Indonesia. Tingkat pengamanan kartu pembayaran yang beredar kini memang sangat lemah. Teknologi magnetic stripe (seperti kebanyakan pada kartu-kartu selama ini) terbukti mudah dipalsukan dan datanya mudah dicuri pihak lain. Adapun teknologi chip memiliki tingkat pengamanan yang berlapis. Salah satu pengamannya berbasis kriptogram. Singkatnya, untuk saat ini mustahil kartu berbasis chip dipalsukan. Salah satu inspirasi aturan ini adalah keberhasilan bank sentral Malaysia menurunkan secara drastis kecurangan (fraud) pada kartu dengan menggunakan teknologi chip. Sebelum aturan chip diberlakukan di Malaysia, tingkat kecurangan sangat tinggi, tidak hanya terhadap kartu kredit, tetapi juga kartu debet dan ATM. Selain memberikan dampak berat bagi perbankan, sejumlah ketentuan dalam PBI dan surat edaran yang terkait kartu pembayaran juga dinilai agak rancu. Contoh, BI hanya berbicara tentang kewajiban pemasangan chip pada kartu, sementara standar kartunya tidak dijelaskan. Artinya, kartu yang diterbitkan bisa saja tidak mengikuti standar internasional sepanjang mengandung chip. Padahal, akan lebih baik jika kartu yang diterbitkan mengikuti standar Europe Mastercard Visa (EMV) yang merupakan standar internasional. Dengan demikian, kartu dari Indonesia bisa digunakan di negara-negara lain. BI juga tidak menjelaskan secara eksplisit tentang kewajiban memasang ”card reader” baru pada terminal ATM dan EDC agar sinkron dengan kartu ber-chip. Kartu chip tentu tak akan terpakai jika tak ada terminal yang bisa mengaksesnya. Kondisi ini tentu akan membingungkan kalangan perbankan. Kepala Biro Pengembangan Sistem Pembayaran Nasional Direktorat Akunting dan Sistem Pembayaran BI Dyah NK Makhijani belum bersedia menanggapi keluhan perbankan tersebut. Vice President Application dan Engineering Artajasa Zul Irvan menjelaskan, terkait dengan standar teknologi kartu, Artajasa berencana membuat standar kartu EMV di Indonesia. Dengan standar tersebut, setiap kartu pembayaran yang diterbitkan oleh siapa pun dapat digunakan di ATM atau EDC milik siapa pun. Standardisasi ATM Bank sentral sepertinya juga memimpikan adanya standardisasi penggunaan kartu pembayaran di Indonesia. Langkah awal yang dilakukan BI beberapa waktu lalu adalah mengimbau perbankan melakukan interkoneksi ATM. Tujuannya agar kartu ATM yang diterbitkan siapa pun dapat dilayani oleh seluruh ATM yang ada di Indonesia. Selain memudahkan nasabah, langkah tersebut juga sangat efisien dalam pengembangan jaringan ATM. Saat ini ada empat kelompok besar ATM, yaitu BCA, ATM Bersama, Alto, dan ATM Link. ATM BCA merupakan ATM milik Bank Central Asia (BCA) yang berjumlah sekitar 4.019 unit. ATM Bersama merupakan ATM yang bisa dipakai bersama-sama oleh 54 bank dengan jumlah mencapai 6.500 unit dan dioperasikan oleh Artajasa. Adapun ATM Link merupakan ATM yang dipakai bersama-sama oleh bank-bank pelat merah, yaitu Bank Mandiri, BNI, dan BRI. Keseluruhan jumlah ATM di Indonesia mencapai 13.688 unit. Kelompok ATM tersebut kini belum saling berinterkoneksi secara menyeluruh. Artinya, jika tak ada kerja sama, kartu ATM BCA tidak bisa digunakan di ATM Bersama dan sebaliknya. Interkoneksi tidak terjadi karena masing-masing kelompok tersebut memiliki standar kode yang tidak persis sama. Menurut Zul Irvan, sebenarnya interkoneksi ATM di Indonesia tidak terlalu rumit karena semua ATM umumnya telah menggunakan International Standards Organization (ISO) yang seragam, yakni ISO 8583. Yang mungkin jadi penghambat interkoneksi adalah tidak semua bank menginginkan hal tersebut. Bank yang memiliki ATM banyak di tempat-tempat strategis khawatir nasabahnya menjadi tidak nyaman karena nasabah bank lain ikut antre di ATM bersangkutan. Akan tetapi, bank bersangkutan juga akan mendapatkan komisi (fee) lebih banyak. Sebab, pemakaian oleh nasabah bank lain akan dikenai biaya. Geliat ATM Saat ini ATM telah menjadi kebutuhan vital masyarakat dalam bertransaksi. Menurut data Marketing Research Indonesia (MRI), volume perputaran dana melalui transaksi ATM selama setahun mencapai Rp 541,83 triliun. Frekuensi masyarakat menggunakan ATM rata-rata lima kali dalam sebulan per nasabah. Total jumlah transaksi menggunakan ATM mencapai 95 juta transaksi per bulan (intra dan antarbank), Perilaku masyarakat yang aktif menggunakan ATM ini dipicu kenyataan bahwa ATM merupakan medium transaksi yang mudah, cepat, dan bisa dilakukan kapan saja. Juga sudah jadi bagian integral dari masyarakat. Ide penciptaan ATM digagas Don Wetzel sekitar 37 tahun lalu. Adapun sejarah ATM di Indonesia dimulai tahun 1987. Saat hadir pertama kali, ATM begitu menyilaukan kalangan perbankan. Semua bank besar akhirnya berlomba-lomba berinvestasi menyediakan ATM sebagai bentuk layanan nasabahnya meskipun investasinya tidak kecil. Ongkos yang dikeluarkan bank untuk investasi ATM memang besar, tidak hanya mesin, tetapi ada perawatan. Harga satu unit terminal ATM mencapai 13.000-20.000 dollar AS. Biaya perawatan mencapai 125-150 dollar AS per bulan. Ini masih ditambah sewa lokasi, pengisian uang, dan pengoperasian ATM. Bank juga dituntut memelihara aspek lainnya yang terkait ATM, seperti komputer, jaringan komunikasi, dan manajemen kartu, yang tentu saja akan menguras energi dan pengeluaran bank. Sumber: kompas.com dan http://pk.datacrux.org/module.php?module=publisher&op=viewarticle&artid=46

Informasi Menyesatkan: Pembajakan Pin ATM, SCTV dan Roy Suryo

Pembajakan PIN ATM, SCTV + Roy Suryo = Menyesatkan! Konyol! Itulah kata pertama yang ada di benakku setelah membaca artikel di situs liputan6.com mengenai pembajakan PIN ATM yang isinya tidaklah lain merupakan hoax mengenai modus pencurian melalui ATM yang kemarin santer beredar di internet. Konyol, karena apa yang diberitakan terasa hanya menebak2, bahkan berusaha mengandalkan nama pakar multimedia Roy Suryo sebagai tameng kesahihan berita yang ditampilkan. Padahal, menyesatkan! Aku akan coba sekali lagi mengupasnya. Semoga panjenengan semua bisa menikmatinya.

========== Source: http://www.liputan6.com/view/11,116579,1,0,1138862231.html PIN ATM Dibajak, Rekening pun Dibobol 26/01/2006 14:31 Dengan menggunakan kartu magnetik yang sudah didesain sedemikian rupa, pelaku bisa mendapatkan PIN nasabah melalui mesin ATM. Melalui cara ini, pelaku dengan mudah menembus dan menguras rekening korban. Liputan6.com, Jakarta: Anjungan Tunai Mandiri atau Automatic Teller Machine (ATM) yang tersebar di berbagai tempat sedianya dihadirkan perbankan untuk memberikan kemudahan bertransaksi bagi nasabah. Namun, tak banyak yang mengetahui jika perkembangan teknologi ATM ternyata dimanfaatkan pelaku kejahatan. Mereka mengakali mesin ATM untuk membajak personal identification number (PIN) nasabah. Dari penelusuran SCTV, pelaku biasanya berpura-pura ikut dalam antrean nasabah di ATM. Ketika calon korban usai melaksanakan transaksi di ATM, mereka segera memasukkan selembar kartu magnetik yang sudah didesain sedemikian rupa agar mampu merekam PIN nasabah terakhir yang menggunakan ATM. Dengan cara ini, pelaku dengan mudah menembus data rekening korban dan mengurasnya. Modus pencurian memanfaatkan ATM ini memang bukan pertama kali. Sekitar empat tahun silam, kasus serupa pun pernah merebak. Pakar multimedia Roy Suryo juga membenarkan hal itu. Ia menjelaskan, mesin-mesin ATM generasi awal bisa “diakali” sehingga bisa memberikan informasi kartu terakhir dengan menggunakan “kartu master”. Untungnya, Roy menambahkan, mesin semacam itu sudah tak difungsikan lagi. Kejahatan melalui mesin ATM bisa dikurangi seiring perkembangan teknologi yang kini menggunakan layar digital atau touch screen. “Kemungkinan diterobos lebih kecil,” tambah Roy. Untuk menghindari berulangnya modus serupa, Roy mengharapkan pihak perbankan lebih sensitif dalam mengamankan fisik ruang ATM. Salah satunya, terus berupaya mengganti sistem yang ada sesuai perkembangan teknologi. Sebagai antisipasi, nasabah bisa menghapus menghapus jejak dengan memasukkan kembali kartu ATM dan memasukkan nomor PIN palsu untuk kemudian membatalkan transaksi. Cara itu cukup jitu untuk menghapus jejak nomor PIN asli.(TOZ/Ariana Herawaty dan Akbar Berno) ========== Jelas, dari paragraf awal dan akhir, panjenengan semua yang setia mengikuti update artikel di situs http://pk.datacrux.org tentunya tahu betul bahwa isi berita ini, tak lain tak bukan, mencoba mengangkat isu (baca: hoax, berita bohong) modus pencurian ATM dengan kartu magnetik yang sebelumnya tersebar di internet. Padahal dalam artikel tulisanku Kamis, 05-Januari-2006, aku sudah mencoba menjelaskan hal ikhwal kasus tersebut, yang mengerucut pada kesimpulan bahwa berita itu adalah hoax semata, seakan2 benar padahal bohong. Repotnya, aku melihat bagaimana hoax itu sudah cukup menyebar dan membuat resah dalam beberapa hari terakhir. Beberapa email dari pirsawan yang sempat mampir ke situsku mayoritas menanyakan kebenarannya. Artinya, tebaran keresahan untuk bertransaksi melalui ATM sudah terjadi di lapangan. Sayangnya, SCTV dengan Roy Suryo justru menambah keruhnya berita. Well, Aku akan coba ulas lagi mengacu kepada paragraf berita SCTV (dengan Roy Suryo-nya), semoga ini yang terakhir berkaitan dengan hal ini, sebelum menjadi sesuatu yang repetitif, berulang-ulang, dan membosankan. Tentu, semua uraianku tetap berdasar kepada perilaku mesin ATM merek NCR dan Diebold yang selama ini akrab denganku, dimana kedua merek itu dipergunakan oleh mayoritas bank di Indonesia. ———- Dari penelusuran SCTV, pelaku biasanya berpura-pura ikut dalam antrean nasabah di ATM. Ketika calon korban usai melaksanakan transaksi di ATM, mereka segera memasukkan selembar kartu magnetik yang sudah didesain sedemikian rupa agar mampu merekam PIN nasabah terakhir yang menggunakan ATM. Dengan cara ini, pelaku dengan mudah menembus data rekening korban dan mengurasnya. ———- Ini adalah paragraf yang mengawali kesesatan informasinya. Semua kartu ATM hakekatnya adalah kartu magnetik, memiliki bagian yang disebut dengan magnetic stripe. Didesain sedemikian rupa, dalam hal apa ? Bentuk ? Tidak mungkin! Kartu yang berubah bentuk bisa jadi malah akan ditolak oleh card reader mesin ATM. Magnetic stripe di kartu ATM hanya bisa berisi data dan tidak berisi rutin perintah yang bisa mengeksekusi (menjalankan) satu perintah tertentu kepada mesin ATM. Mampu merekam PIN nasabah terakhir yang menggunakan ATM? Jelas berfantasi saja. Hampir semua bank di Indonesia tidak menyimpan PIN di kartu ATM nasabah, tetapi di simpan di server bank. Yang pasti terdapat di magnetic stripe adalah nomor kartu ATM. Dalam siklus transaksi normal melalui mesin ATM, yang dikirim pertama kali ke server bank adalah 2 (dua) informasi, yakni nomor kartu (yang terdapat di kartu dan terbaca otomatis oleh card reader ATM) dan PIN (yang diinput oleh nasabah). Di sisi server bank, akan diperiksa apakah data nomor kartu beserta PIN yang dimasukkan sesuai dengan data yang disimpan di server bank. Tahu PIN saja tanpa memiliki kartu yang sesuai juga tidak akan bisa menembus data rekening! Para insan IT di bidang permesinan ATM maupun Perbankan tidaklah tampak sebodoh seperti yang terurai dalam kalimat “pelaku dengan mudah menembus data rekening korban dan mengurasnya”. ———- Modus pencurian memanfaatkan ATM ini memang bukan pertama kali. Sekitar empat tahun silam, kasus serupa pun pernah merebak. Pakar multimedia Roy Suryo juga membenarkan hal itu. Ia menjelaskan, mesin-mesin ATM generasi awal bisa “diakali” sehingga bisa memberikan informasi kartu terakhir dengan menggunakan “kartu master”. Untungnya, Roy menambahkan, mesin semacam itu sudah tak difungsikan lagi. Kejahatan melalui mesin ATM bisa dikurangi seiring perkembangan teknologi yang kini menggunakan layar digital atau touch screen. “Kemungkinan diterobos lebih kecil,” tambah Roy. ———- Jika paragraf sebelumnya menyorot kartu magnetik yang didisain sedemikian rupa (tanpa penjelasan seperti apa), di paragraf ini pakar multimedia Roy Suryo mengatakan mesin ATM generasi awal bisa diakali dengan kartu master, meskipun sekarang – katanya sih – mesin semcam itu tidak difungsikan lagi. Apa sih yang dimaksud dengan kartu master? Apakah ini maksudnya kartu Admin yang dipergunakan oleh Administrator? Sepanjang pengetahuan dan pengalamanku, memang dimungkinkan sebuah bank membuat kartu khusus untuk Administrator sehingga ketika kartu tersebut dimasukkan, menu yang ditampilkan dilayar ATM adalah menu Admin. Kenapa harus tidak memfungsikan mesin hanya karena ada kartu Admin? Mungkin sangkaanku tentang kartu master yang disebut Roy keliru. Maafkan, karena aku memang tidak jelas dengan yang dimaksud. Lalu apa hubungannya proses pembajakan PIN ATM melalui kartu magnetik dengan teknologi layar ATM yang sudah digital atau touch screen? Ada-ada saja. Aku pikir SCTV telah salah mengambil rujukan. Untuk ukuran sekaliber Roy Suryo, tentu lebih tepat berkomentar tentang IT yang bersifat umum dan berskala besar, bukan mengomentari detail teknis bersekala kecil seperti ini. Terlalu sayang mempertaruhkan kepakarannya dalam kasus ini, sehingga hanya terkesan mengawang-awang saja. Jika SCTV cerdas, seharusnya mengambil rujukan kepada para praktisi di bidang IT Perbankan. ———- Untuk menghindari berulangnya modus serupa, Roy mengharapkan pihak perbankan lebih sensitif dalam mengamankan fisik ruang ATM. Salah satunya, terus berupaya mengganti sistem yang ada sesuai perkembangan teknologi. Sebagai antisipasi, nasabah bisa menghapus menghapus jejak dengan memasukkan kembali kartu ATM dan memasukkan nomor PIN palsu untuk kemudian membatalkan transaksi. Cara itu cukup jitu untuk menghapus jejak nomor PIN asli. ———- Akhirnya berita ini ditutup dengan kekonyolan terakhirnya, yakni – katanya – nasabah bisa menghapus menghapus jejak dengan memasukkan kembali kartu ATM dan memasukkan nomor PIN palsu untuk kemudian membatalkan transaksi. Harap diketahui oleh khalayak, segala masukan melalui keypad di mesin ATM tidak akan berarti apa-apa jika diakhiri penekanan tombol Cancel (membatalkan transaksi). Resiko terbesar, cara tersebut justru bisa mengakibatkan kartu tertelan oleh mesin ATM. Benar, SCTV dan Roy Suryo benar-benar menyesatkan kali ini… Dengan segala maaf. sumber: http://pk.datacrux.org/module.php?module=publisher&op=viewarticle&artid=34