Urgen! Keamanan transaksi digital di tengah rendahnya literasi

Bulan April silam, Gandhi Gumelar (25) menerima pesan dari seseorang yang tak dikenal. Si pengirim pesan hendak memesan paket menanam Microgreen yang dijualnya melalui media sosial. Paket tersebut terdiri dari benih, media tanam, tray, nutrisi, dan panduan menanam. Dia memang mencantumkan kontaknya di akun media sosial yang digunakannya untuk berbisnis.

“Biasanya pembayaran bisa online, bisa mobile banking, atau transfer. Kita enggak usah lakuin apa-apa sebagai penjual, tinggal pembeli saja yang transfer. Kalau yang penipu ini, dia minta aku untuk ikutin langkah-langkah dia supaya dia bisa transfer,” tuturnya beberapa waktu lalu. 

Sang pelaku meminta Gandhi untuk mengajukan virtual card number (VCN) dari fitur debit online pada aplikasi mobile banking dalam ponselnya. Kemudian, sang pelaku menyuruhnya untuk mengirim nomor tersebut.

Alih-alih mendapatkan pembayaran dari sang 'pembeli', saldo rekening banknya malah terkuras hingga Rp3,4 juta. Ia langsung melihat keterangan catatan transaksi di sejumlah e-commerce dan dompet elektronik dari aplikasi mobile banking yang digunakannya.

“Selama aku jualan belum pernah ada pembeli yang nipu. Aku berpikir positif mungkin ini cara baru buat transfer. Ditambah aku belum pernah menggunakan Debit Online. Aku enggak tahu itu untuk membuka akses buat ambil nominal dari rekening aku,” cerita pria yang berdomisili di Yogyakarta ini.

Keesokan harinya, Gandhi berniat melaporkan peristiwa penipuan itu ke pihak kepolisian. Namun, rencana itu ia urungkan lantaran tidak ada jaminan uangnya bakal kembali. Belum lagi kekhawatirannya jika data pribadinya akan tersebar lebih luas. Akhirnya ia memutuskan untuk mengganti rekening bank miliknya. Beruntung, saldo tabungannya masih tersisa.

“Sisa dikit sih. Alhamdulillah lah masih ada. Kenapa masih ada sisa? Soalnya aku maksain ke ATM ambil uang mumpung belum dibobol lagi,” ungkap ayah satu anak ini.

Inklusi digital semakin masif, ancaman keamanan meningkat

Pandemi Covid-19 sejak Maret lalu telah memicu perubahan gaya hidup masyarakat Indonesia. Menurut survei yang dilakukan oleh Jakpat selama 29 Mei – 2 Juni 2020, sebanyak 83% responden mengaku lebih banyak beraktivitas secara daring, termasuk transaksi keuangan digital. Sebanyak 41% responden lebih banyak berbelanja secara daring, 36% lebih sering menggunakan platform pembayaran daring, dan 25% makin sering memesan makanan melalui aplikasi daring.

Inklusi keuangan Indonesia juga terus meningkat. Survei Nasional Literasi dan Inklusi Keuangan (SNLIK) yang dikeluarkan Otoritas Jasa Keuangan (OJK) mencatat inklusi keuangan naik dari 59,74% pada 2013, menjadi 67,82% pada 2016, dan 76,19% pada 2019.

Menurut Managing Director Asia Pacific GBG Plc. June Lee, layanan transaksi digital daring menjadi primadona bagi institusi keuangan di Indonesia. Empat layanan transaksi daring yang paling banyak dikeluarkan oleh institusi keuangan di Indonesia adalah dompet elektronik (67%), e-banking (65%), aplikasi mobile banking (63%), dan pinjaman daring (47%). GBG memprediksi rata-rata harian transaksi keuangan digital akan mengalami peningkatan dari 690 juta kali pada 2020 menjadi 739 juta kali pada 2022.

Di sisi lain, meningkatnya penetrasi platform keuangan digital turut mengerek risiko ancaman keamanan di industri jasa keuangan. Berdasarkan laporan X Force Intelligence Index 2020 yang dikeluarkan oleh IBM Security, industri ini paling rentan mendapat serangan siber dengan kontribusi sebesar 16%. Bahkan, GBG memprediksi kerugian yang ditimbulkan oleh kejahatan siber bagi institusi keuangan di Asia Pasifik mencapai US$171 miliar.

“Para penipu-penipu digital tersebut juga mengunakan berbagai teknologi digital, sehingga serangan penipuan tersebut semakin canggih juga. Walaupun perusahaan jasa finansial sudah menggunakan berbagai teknologi, tapi bagaimana kedepannya penyelengara jasa ini bisa bersaing dengan pelaku kejahatan tadi siapa yang paling cepat bisa mengatasi pelaku kejahatan tersebut,” tuturnya dalam telekonferensi, Rabu (30/9).

GBG memproyeksi praktek penipuan dalam transaksi digital semakin meningkat sepanjang tahun ini. Jenis penipuan yang akan meningkat paling signifikan adalah money mule, yakni praktek pembukaan rekening bank dengan iming-iming upah bagi nasabahnya. Sang pelaku mendapatkan uang melalui rekening korban yang dikelolanya.

June melihat pengembangan teknologi anti fraud (penipuan) menjadi kunci untuk melindungi transaksi keamanan digital. Perusahaan kecerdasan data yang berasal dari Inggris ini mencatat, rata-rata anggaran pencegahan fraud yang digelontorkan oleh satu perusahaan keuangan di Indonesia bisa mencapai US$88,9 juta.

Masifnya serangan siber juga ditunjukkan dari data Badan Siber dan Sandi Nasional (BSSN). Lembaga ini melaporkan adanya kenaikan serangan siber dari 39,33 juta pada Januari-Agustus 2019 menjadi 189,94 juta pada Januari-Agustus 2020 atau naik sebesar 382,94%.

Direktur Deteksi Ancaman BSSN Sulistyo menilai ancaman siber berasal dari tiga komponen yaitu niat, lingkungan yang memungkinkan serangan, dan kapabilitas sistem. Sayangnya, ruang siber yang tak memiliki batas negara menjadi tantangan dalam mengatasi ancaman siber. 

Sulistyo melihat kecepatan dan kemudahan akses internet dimanfaatkan oleh threat actor (pelaku ancaman) untuk melancarkan gangguan terhadap sistem keamanan siber. Menurutnya, ada beberapa hal yang akan memicu peningkatan serangan siber di masa-masa mendatang yaitu pemanfaatan komputasi awan (cloud computing), interkonektivitas IoT (Internet of Things), dan malware.

“Kita lihat misalkan posisi penyerang akan berusaha bagaimana membangun kemampuan tools-tools yang digunakan untk mengganggu sebuah sistem. Mereka akan mencoba celah atau standar sistem yang dibuat sebuah organisasi dan perusahaan. Kemudian, kembali melakukan penguatan dari kapabilitas yang dilakukan,” jelasnya dalam webinar yang diadakan oleh Perbanas, Rabu (7/10).

Wakil Direktur Tindak Pidana Siber Badan Reserse Kriminal Kepolisian RI (Bareskrim Polri) Suyudi Ario Seto menambahkan para pelaku kejahatan siber umumnya bersifat anonim (anonymous), tidak terbatas jarak dan waktu (borderless), terorganisir, dan masing-masing anggotanya memiliki peranan masing-masing. 

Menurutnya, pembobolan uang melalui penyerangan siber cenderung menimbulkan kerugian lebih besar daripada praktek konvensional. Berdasarkan data dari Patroli Siber, dari 2.889 laporan kejahatan siber yang dilaporkan ke pihak kepolisian selama Januari-Agustus 2020, hanya 673 kasus berhasil diselesaikan.

"Mereka saling melindungi, militansinya ada, dan saling memeberikan informasi, bahkan membentuk grup di medsos. Kalau ada kelemahan di share ke grup-grup mereka untuk bertukar informasi. Apabila ada upaya penindakan dari kita, ini menjadi sebuah kegiatan yang tidak mudah untuk menerobos jantung pertahanan mereka karena memiliki informan-informan yang disebar ke kampung itu (lokasi pelaku),” ungkapnya.

Upaya platform keuangan digital dan institusi keuangan 

Seperti yang dijelaskan oleh June Lee, institusi keuangan seperti bank, lembaga keuangan non-bank, maupun perusahaan teknologi finansial di Indonesia terlihat jor-joran dalam melakukan investasi pencegahan fraud.

"Gojek Shield sendiri dijalankan dan dikelola oleh tim yang sangat kompeten. Selain itu, kita manfaatkan teknologi terkini untuk menerapkan security control dan standar yang sangat tinggi.,” terangnya dalam webinar yang diadakan oleh Aliansi Jurnalis Indonesia, Rabu (30/9).

Fitur-fitur Gojek Shield tersebut terdiri dari penyamaran nomor telepon pengguna (konsumen, pengemudi, dan merchant), pencegahan pembajakan melalui proses end-to-end encryption, verifikasi wajah, dan sidik jari untuk menjamin keamanan dalam bertransaksi. Belum lagi autentikasi berlapis menggunakan pin dan OTP (One Time Password).

“Kita juga memberi fitur bagi mitra-mitra merchant agar bisa mengelola akun mereka secara penuh dan registrasi mandiri. Data-data tersebut bisa dikirim memakai aplikasi Gobiz ke server kita yang sangat aman,” terangnya.  

Dari segi edukasi, pihaknya bekerja sama dengan berbagai pemangku kepentingan untuk meningkatkan literasi keamanan transaksi digital. Upaya edukasi difokuskan melalui media sosial, aplikasi, maupun surat elektronik.

“Kita ada satu satu threat intelligence yang kita memonitor dari internet, komunitas, atau medsos. Bahkan kita mengambil informasi dari komunitas hacker underground atau dark web untuk mengetahui info tren serangan ini seperti apa. Hasil laporan kita dapat gunakan untuk mengembangkan fitur-fitur baru dalam Gojek Shield,” tuturnya.

Di sektor perbankan, VP Information Security Bank Rakyat Indonesia Muharto menganggap ancaman siber akan terus menghantui sektor perbankan. Menurutnya, tren perbankan yang semakin terkoneksi dengan API (Application Programming Interface) tidak hanya membuka kemudahan bertransaksi, namun juga membuka peluang meningkatnya ancaman siber.

“Ada interkoneksi digital antara bank dengan fintech dan lain-lain membuka pintu risiko. Ancaman malware semakin lama semakin meningkat tajam, terutama randomware. Komunikasi kami ke pihak-pihak lainnya juga membuka pintu resiko. Terakhir, API yang akan menjadi standar kita bisa komunikasi dengan industri perbankan maupun industri lainnya juga membuka pinta bahwa API bisa disalahgunakan,” katanya melalui telekonferensi, Rabu (7/10).

Muharto menjelaskan pihaknya melakukan berbagai cara untuk menangkal kejahatan siber seperti pemasangan alat end-to-end point protection untuk mencegah serangan malware, pemasangan anti deep skimming untuk mencegah pencurian data kartu di ATM, serta bekerja sama dengan operator telekomunikasi untuk memblokir nomor ponsel nasabah bila terdapat aktivitas penggantian kartu SIM yang mencurigakan.

“Apa yang harus dilakukan untuk melakukan fraud minimizing system. Ada governance, organisasi, ada standar framework (kerangka kerja), dan teknologi. Terus ada fraud command system (pusat komando penipuan). Tanpa perlu menyebar kemana-mana langsung kita blokir atau tutup,” tuturnya. 

Selain itu, pihaknya juga meningkatkan pengamanan di balik layar melalui pengamanan berlapis-lapis, sehingga tidak harus selalu mengubah protokol keamanan yang dihadapi oleh nasabah.

Rekayasa sosial dan konsumen

Peneliti Tamu Center for Digital Society Universitas Gadjah Mada (UGM) Tony Seno Hartono berpendapat peretasan sistem keamanan jaringan akan semakin sulit dilakukan seiring dengan kemajuan infrastruktur teknologi informasi yang diikuti dengan penguatan sistem keamanannya.

Tony memandang penipuan melalui rekayasa (sosial engineering) akan semakin marak di tengah rendahnya tingkat pemahaman dan kesadaran masyarakat mengenai keamanan digital. Menurut laporan ISACA State of Cybersecurity tahun 2020, rekayasa menduduki peringkat teratas ancaman digital di dunia dengan kontribusi sebesar 15% dari total serangan siber.

“Social engineering ini adalah suatu seni atau ilmu memanipulasi orang, sehingga setelah dimanipulasi, orang tersebut mau memberi informasi rahasia yang ingin didapatkan. Informasinya macam-macam misalnya password, informasi bank, nama ibu kandung, dan sebagainya,” terangnya.

Berdasarkan kajian Center for Digital Society UGM, terdapat 5 jenis rekayasa sosial yaitu phising, phone scams, SMSshing, pretexting, dan impersonation. Phising memanfaatkan surat elektronik, media sosial, maupun halaman web untuk mengelabui korbannya. Phone scams merupakan penipuan melalui telepon untuk meminta data pribadi korban. SMSShing adalah phising yang memanfaatkan SMS. Sementara itu, pretexting dan impersonation berupa modus pelaku yang mengatasnamakan seseorang.

“Kasus ini tidak memandang pendidikan seseorang. Makanya tidak usah heran orang berpendidikan tinggi bisa ketipu karena mungkin dia baru pakai internet ketika dewasa. Berdasarkan pengamatan anak-anak generasi digital lebih imun daripada orang tua yang setelah dewasa baru mengakses internet,” tuturnya.

Menurutnya, edukasi dan regulasi perilindungan data pribadi menjadi kunci agar masyarakat terhindar dari praktik rekayasa sosial sekaligus sadar betapa pentingnya aspek keamanan transaksi digital.

“RUU Perlindungan Data Pribadi mohon cepat diselesaikan, sehingga tahun ini bisa keluar karena peraturan itu memastikan bahwa setiap pemangku kepentingan digital sadar terhadap perlindungan data pribadi,” ungkapnya.

Sementara itu, Kepala Grup Perlindungan Konsumen Bank Indonesia Elsya MS Chani menilai maraknya penipuan digital disebabkan oleh rendahnya literasi mengenai hak dan kewajiban konsumen serta minimnya kewaspadaan dalam bertransaksi secara digital.

Berdasarkan hasil survei Bank Indonesia pada 2018, tingkat literasi konsumen terhadap hak dan kewajiban dalam penggunaan alat pembayaran menggunakan kartu (APMK) dan uang elektronik masing-masing mencapai 41,6% dan 55,5%. Sementara itu, tingkat kewaspadaan terhadap pengguanaan APMK dan uang elektronik baru mencapai 36,32%.

“Itu tentu cukup berbahaya di ranah digital sekarang. Resikonya apa? Ada resiko malicious softaware, phishing, dan orang memancing konsumen dimana dia mengirimkan email atau link tertentu, menelepon kita minta data OTP, terus kategori skimming yaitu dimana data kita diambil melalui pita magnetik, dan sim card swap,” jelasnya melalui telekonferensi, Kamis (24/9).

Elsya mengatakan pihaknya melakukan upaya perlindungan konsumen melalui perizinan dan pengawasan terkait aktivitas penyelenggara sistem pembayaran, termasuk uang elektronik. Ia menegaskan para penyelenggara harus memenuhi syarat dan ketentuan yang ditetapkan oleh Bank Indonesia.

“Kita wajibkan semua penyelenggara layani pengaduan dan harus menangani dalam service level tertentu. Boleh ke Bank Indonesia setelah dari level penyelelenggara. Kalau tidak selesai di level penyelenggara, konsumen bisa mengadu ke Bank Indonesia. Untuk itu di Bank Indonesia bisa dilakukan tiga hal yaitu edukasi, fasilitasi, dan konsultasi,” jelasnya.

Kolaborasi antar pemangku kepentingan jadi kunci

Sementara itu, Executive Vice President Center of Digital BCA Wani Sabu mengklaim keberhasilan pihaknya dalam mengungkapkan kasus penipuan perbankan sebesar 90% lantaran pusat manajemen fraud yang tergabung dengan pusat layanan konsumen. Selain itu, pihaknya senantiasa melakukan manajemen risiko bila ada kejadian skimming kartu, peretasan, rekayasa sosial, phishing, dan kejahatan siber lainnya.

Di sisi lain, pihaknya mengaku kesulitan bila kasus kejahatan siber yang dialami juga terhubung dengan bank lainnya lantaran terganjal undang-undang kerahasiaan bank. Ada sebagian pihak yang kooperatif, namun ada juga yang tidak.

“Apalagi di masa pandemi kasus penipuan online naik 30%. Penjahat sudah tahu kalau nasabah BCA transfernya dia kasih ke bank lain supaya kita lebih lambat. Kita jadi nyesek kalau kita enggak kompak. Ketika ke sebuah bank dan minta blokir bank minta surat pernyataan dan surat kepolisian juga. Alamak butuh berapa jam, duitnya udah diambil, sehingga dana nasabah sering tidak selamat,” ungkapnya pada Rabu (7/10).

June Lee dari GBG berpendapat pengembangan teknologi tidaklah cukup dalam mencegah praktek penipuan di industri keuangan. Menurutnya, institusi keuangan perlu melakukan pertukaran data dengan institusi keuangan lainnya maupun regulator. Hal ini sudah menjadi praktek yang lazim di beberapa negara dan sudah diatur dalam peraturan perudang-undangan.

“Apa yang bisa dilakukan relgulator di Indonesia? Contohnya memberi kebebasan kepada institusi finansial untuk berbagi informasi satu sama lain, saling berpartisipasi. Jika ada satu yang diserang, maka akan diinfokan ke pelaku industri finansial lainnya. Dengan adanya pembagian informasi ini, diahrapkan bisa mengurangi dampak dari penipuan,” katanya.

Sebenarnya BSSN telah membangun sistem deteksi dini ancaman siber yang bernama Honeynet Project sejak 2018. Proyek ini sifatnya sukarela karena dasarnya hanya Peraturan Presiden. BSSN telah bekerjasama dengan berbagai mitra yang terdiri dari pemerintah daerah, perguruan tinggi, lembaga negara, lembaga perbankan, dan lainnya. 

Sulistyo dari BSSN berharap semakin banyak institusi keuangan yang bergabung untuk mencegah. Pasalnya, Honeynet memungkinkan para mitra didalamnya untuk saling menukarkan data dalam rangka pengamanan siber. Namun, perbedaan standar mengenai data yang dapat dibagikan pun menjadi kendala. 

“Ini salah satu yang menjadi kesulitan diantara komunitas yang tergabung untuk membagi informasi. Mungkin termasuk extend of information kali. Bertukar informasi gitu, lu kasih apa, gue kasih itu. Yang benar sharing tanpa dimintapun seharusnya dikasih,” keluhnya.

Komisaris Besar Polisi Suyudi Ario Seto menghimbau kepada para korban agar melaporkan kejahatan siber yang dialaminya kepada pihak kepolisian. Kemudian, pihaknya mendorong pihak perbankan maupun lembaga keuangan lainnya untuk berani memerangi kejahatan siber. 

Suyudi mengatakan harus ada keterbukaan antara pemangku kepentingan sektor perbankan dengan pihak kepolisian demi mengungkap kasus penipuan daring. Menurutnya, keamanan transaksi keuangan dengan sendirinya akan mendorong kenyamanan dan kepercayaan konsumen di sektor keuangan.

“Dalam kesempatan yang baik ini saya berpesan ke seluruh stakeholder perbankan untuk kita sama-sama merapatkan barisan, bersikap terbuka, memberi kontribusi laporan, dan berbagi informasi untuk memerangai kejahatan ini. Kita Polri ada di garda terdepan memerangi ini,” tegasnya.

Sementara Tony Seno Hartono yang juga menjadi konsultan lepas di bidang komputasi awan, transformasi digital, dan keamanan siber menilai basis data yang terpecah-pecah menyulitkan upaya pengawasan dan penindakan kasus kejahatan siber. Oleh karena itu, ia berharap pemerintah membuat regulasi yang menyatukan basis data pemerintah maupun swasta serta identitas digital bagi para pengguna internet di Indonesia.

“Kalau sekarang saya punya email bisa banyak, jadi untuk melacaknya susah. Jadi kita punya satu identitas digital untuk melakukan kegiatan digital dan ada peraturan orang hanya butuh satu identitas untuk media sosial , jadi kalau ada penipuan kita mudah lacak,” katanya.