Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Pembobolan Bank Dengan IT

2,805 views

Published on

Masalah penyalahgunaan IT di lingkungan Perbankan.

  • Be the first to comment

Pembobolan Bank Dengan IT

  1. 1. Pembobolan
Bank
Berbasis
IT
 Budi
Rahardjo
 budi@indocisc.com
 JW
Marriott
Hotel,
Jakarta,
17
Februari
2010

  2. 2. Latar
Belakang
 •  Semakin
banyaknya
layanan
bank
yang
dapat
 diakses
nasabah
secara
langsung
dengan
 menggunakan
teknologi
informasi
 •  Penggunaan
teknologi
informasi
di
dalam
bank
 pun
semakin
meningkat
 •  Teknologi
informasi
dan
komputer
 berkembang
terus
dengan
menghasilkan
 produk
yang
semakin
cepat
dan
kecil
 ukurannya
 •  Meningkatnya
kejahatan
yang
dilakukan
 dengan
menggunakan
teknologi
informasi
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 2

  3. 3. Garis
Besar
 •  IT
disalahgunakan
untuk
melakukan
fraud
 (pembobolan)
 – External
 – Internal
 •  IT
digunakan
untuk
mendapatkan
 informasi,
fraud
dilakukan
secara
 konvensional
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 3

  4. 4. Penyalahgunaan
IT
 •  Oleh
pihak
eksternal
 – Internet
banking
 •  Web
internet
banking
abal‐abal
/
gadungan
 •  Buruknya
desain
dan
implementasi
dari
aplikasi
 internet
banking
(misal
menggunakan
data
pribadi
 sebagai
bagian
dari
username)
 •  Take
over
komputer
klien
 •  Diperlukan
audit
security
dari
aplikasi
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 4

  5. 5. Penyalahgunaan
IT
 •  Oleh
pihak
eksternal
(cont.)
 – SMS
banking
 •  Jika
menggunakan
plain
text,
rentan
bocor
data
 – mBanking?
 – Penyadapan
jaringan
komunikasi
(internet,
 LAN,
VSAT,
…)
 – ATM
dipasangi
alat
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 5

  6. 6. Penyalahgunaan
IT
 •  Oleh
pihak
internal
 – Mengakses
core
banking
atau
aplikasi
(atau
 devices)
untuk
membuat
transaksi
[iktif
 – Link
kartu
ATM
ke
rekening
yang
berbeda
 – Dampak
lebih
dahsyat
daripada
attack
dari
 eksternal
 – Proteksi:
logging,
analysis
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 6

  7. 7. IT
sebagai
pendukung
fraud
 •  IT
digunakan
untuk
mendapatkan
data
 nasabah
 – Skimmer
(menangkap
data
di
magnetic
strip)
 – Sniffer
(menangkap
paket
data
yang
lalu
lalang
 di
jaringan
komunikasi)
 – Keylogger
(menangkap
apa
yang
diketikkan
di
 keyboard
komputer)
 – Phishing
(personal
information
4ishing,
dengan
 situs
abal‐abal,
social
engineering)
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 7

  8. 8. Perlindungan
 •  Two­factor
authentication
 – What
you
have
 – What
you
know
 – What
you
are
 •  Data
yang
berubah
secara
dinamik
(misal
 dengan
menggunakan
token)
 •  Logging
dan
analisis
data
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 8

  9. 9. Perlindungan
 •  Desain
dan
implementasi
aplikasi
yang
 secure
 •  Evaluasi
berkala
kondisi
([isik
dan
logic)
 dari
delivery
channel
(misal
ATM)
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 9

  10. 10. Perlindungan
 •  Edukasi
masyarakat
/
nasabah
 – Untuk
mengurangi
potensi
serangan
phishing
 – Kebijakan
bahwa
bank
tidak
akan
pernah
 menanyakan
PIN/password
melalui
telepon
/
 email
/
SMS
 – Tidak
menggunakan
data
pribadi
sebagai
 bagian
dari
PIN/password
 – Tidak
menampilkan
data
pribadi
di
berbagai
 layanan
social
network
 – Ke
mana
harus
melapor
(help
desk)
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 10

  11. 11. Penutup
 •  Semoga
layanan
perbankan
Indonesia
bisa
 lebih
aman
dan
nyaman
 17
Februari
2010
 BR
‐
Pembobolan
Bank
dengan
IT
 11


×