DESAIN SKEMA RN4S SEBAGAI SOLUSI SKIMMER ATTACK PADA Automated Teller Machine (ATM)

Rikson Gultom, Ariadi basuki, Eko Yon Handri

{rikson.gultom, aria_dee, nguyen_kai}@yahoo.com

Abstraksi

Automated Teller Machine (ATM) saat ini telah menjadi alat yang sangat membantu baik bagi nasabah dan institusi perbankan dalam melakukan transaksi. Namun, kemudahan dalam bertransaksi melalui ATM tidak sepenuhnya aman. Terbukti setelah terjadi pelanggaran terutama yang tidak menggunakan kontak fisik pelaku seperti duplikasi kartu nasabah menggunakan skimmer. Skimmer merupakan sebuah alat yang ditambahkan oleh pelaku pengganda kartu ATM untuk merekam data kartu ATM dan aksi nasabah mamasukkan nomor PIN. Pada paper ini dibahas terkait keamanan ATM terhadap skimmer dan solusi berupa verifikasi nasabah menggunakan random yang dikirimkan melalui Short Message Service (SMS). Paper ini menunjkkan verifikasi SMS dapat digunakan sebagai solusi untuk Kata kunci : Skema RN4S, Automated Teller Machine, Personal Identity

Number (PIN), Skimmer, Short Message Service (SMS).

A. Pendahuluan

Otomatisasi perbankan menggunakan Automated Teller Machine (ATM) meningkatkan produktifitas pengguna dan bank dalam bertransaksi. Penggunaan mesin untuk mempermudah transaksi tidak sepenuhnya aman. Kartu ATM nasabah dapat digandakan dan dipergunakan oleh pihak yang tidak berwenang. Hal ini menjadi fatal karena kartu ATM tersebut digunanakan sebagai alat yang menunjukkan identitas pemilik rekening pada ATM. Dengan menggandakan kartu ATM tersebut dan informasi PIN yang digunakan nasabah, pelaku penyalahgunaan dapat dengan mudah melalukan semua transaksi yang sah sebagai nasabah pemilik rekening. Sebagai antisipasinya saat ini, berbagai pihak hanya menganjurkan pada nasabah untuk menjaga diri dan memeriksa mesin ATM yang digunakan. Mereka diharuskan untuk waspada terhadap segala peralatan yang terpasang pada ruangan ATM, dan menjaga PIN yang mereka gunakan. Diperlukan antisipasi yang lebih baik yang berupa penambahan faktor keamanan pada proses identifikasi ATM dan nasabah.

Pada paper ini diajukan sebuah faktor keamanan tambahan berupa verifikasi penggunaan ATM menggunakan SMS. Penggunaan SMS pada paper ini dibatasi sebagai media untuk mengirimkan hasil perhitungan dari server untuk menverifikasi nasabah. Hal yang terkait dengan pengimplementasian SMS diluar bahasan dalam paper ini.

B. Skema ATM dengan skimmer

1. ATM Kartu Debit dan kartu ATM4 adalah kartu khusus yang diberikan oleh bank kepada pemilik rekening, yang dapat digunakan untuk bertransaksi secara elektronis atas rekening tersebut. Pada saat kartu digunakan bertransaksi, akan langsung mengurangi dana yang tersedia pada rekening. Awal mula penyediaan ATM adalah untuk memudahkan layanan pengambilan uang dari tabungan nasabah, namun seiring perkembangan teknologi dan kebutuhan akan

peningkatan layanan kepada para nasabah, penggunaan ATM telah meluas. Saat ini memungkinkan bagi para nasabah untuk melakukan transfer (pemindah bukuan) uang, pembayaran, pengecekan saldo, dan transaksi keuangan lain. Secara umum, teknologi pada ATM merupakan suatu bentuk jaringan komputer yang tersebar, yang dapat digambarkan (gambar 1) sebagai berikut:

Gambar 1 Jaringan ATM

Proses transaksi pada jaringan membutuhkan kemanan dalam tiap proses transaksi. Teknik pengamanan yang dilakukan adalah dengan penggunaan personal identification number (PIN) sehingga hanya orang tertentu saja yang dapat mengakses ataupun melakukan transaksi pada ATM. Untuk pengaksesan pada mesin ATM para nasabah akan memiliki kartu dengan pita magnetik atau sebuah chip yang berfungsi sebagai tempat penyimpanan data seperti nomor kartu, nomor PIN, dan data keamanan lainnya. Dalam sistem keamanan yang diterapkan pada ATM terdapat proses enkripsi data untuk menjaga keamanan data pribadi, seperti nomor PIN ataupun nomor kartu, dan juga untuk menjaga keamanan selama proses transaksi berlangsung (pada saat proses transaksi berlangsung terjadi komunikasi antara ATM dengan komputer bank yang melalui jaringan perbankan). Untuk menjamin keamanan pada ATM digunakan metode enkripsi data dengan teknik data encryption standard (DES); yang kemudian dikembangkan menjadi Triple DES guna meningkatkan keamanan data.

2. Keamanan ATM Pada sistem keamanan ATM umumnya menggunakan nomor PIN dengan kombinasi empat angka. Proses pembuatan nomor PIN tersebut menggunakan perhitungan sebagai berikut: a. Ambil lima digit terakhir dari nomor rekening b. Gabungkan kelima angka tersebut dengan 11

digit data validasi (data validasi diciptakan sendiri)

c. Keenambelas angka tersebut merupakan data yang menjadi data masukan untuk algoritma DES. Pada pemrosesan dengan algoritma DES digunakan kunci berukuran 16 digit yang kemudian disebut sebagai “kunci PIN”.

d. Dari hasil pemrosesan dengan DES diambil 4 digit pertama kemudian diubah ke dalam bentuk desimal – penggunaan DES akan menghasilkan bilangan dengan satuan heksadesimal. Empat digit tersebut kemudian disebut sebagai “PIN alami”.

e. Dari PIN alami tersebut kemudian ditambahkan dengan 4 digit yang disebut sebagai offset sehingga menghasilkan nomor PIN yang akan digunakan oleh nasabah.

Sebagai contoh : • Misalkan nomor rekening nasabah adalah

4506602100091715 • Lima digit terakhir adalah 91715 • Data validasi adalah 88070123456 • Masukan untuk algoritma DES adalah

8807012345691715 • “Kunci PIN” untuk algoritma DES adalah

FEFEFEFEFEFEFEFE • Hasil dari algoritma DES adalah

A2CE126C69AEC82D • “PIN alami” (empat digit pertama) adalah

0224 • Nilai offset adalah 6565 • Nomor PIN nasabah adalah 6789

Pada kartu ATM (ataupun kartu kredit) yang dimiliki oleh nasabah terdapat pita magnetik– umumnya sering disebut sebagai lapisan ke-dua (track 2) pita magnetik – yang digunakan untuk

menyimpan data rahasia terkait dengan data-data keamanan seperti nomor rekening, nomor kartu, nomor PIN, dan lain sebagainya.

3. Serangan Skimmer terhadap keamanan ATM

Metode skimming dapat dipahami sebagai metode “penyaringan” data pada kartu ATM nasabah. Untuk kasus kejahatan dengan metode skimming digunakan alat yang disebut sebagai “skimer” (gambar 2). Fungsi alat ini adalah untuk “menyaring” data-data yang terdapat di dalam kartu ATM nasabah.

Gambar 2. Mesin Skimmer

Penempatan skimer diletakkan di sekitar mesin ATM sehingga seolah-olah alat tersebut merupakan bagian dari mesin ATM. Cara kerja alat ini adalah dengan menyalin data-data yang ada di dalam pita magnetik kartu ATM pada saat digesekan di alat tersebut. Setelah data di dalam kartu ATM disalin maka pelaku kejahatan dapat melakukan duplikasi kartu ATM dan melakukan transaksi pengambilan uang di ATM layaknya seorang nasabah.

C. Skema RN4S yang diajukan

1. Random Number Generator Nilai random yang digunakan pada skema ini dengan menggunakan fungsi hash. Nilai random dihasilkan dari fungsi hash dengan inputan berupa penggabungan waktu transaksi berlangsung, initial vector (IV), nilai PIN murni, nilai PIN inputan user, dan 4 digit terakhir nomor telepon user. Tujuan memberikan 5 inputan ini adalah

untuk meningkatkan keamanan. Karena hasil hash dari inputan ini selalu berudah-ubah setiap kali proses.

Gambar 3. Skema Random Number Generator

2. Verifikasi dengan menggunakan random yang

dikirim melalui SMS Usulan skema kami yaitu dengan menambahkan random number yang dikirimkan server melalui SMS ke mobile phone user, yang kemudian random number tersebut diinputkan user ke mesin ATM yang akan menjadi nilai pembanding oleh server untuk user dapat melakukan transaksi. Secara garis besar ditunjukkan pada gambar 4 berikut :

Gambar 4. Skema RN4S

Proses tersebut dimulai dari proses pembuatan PIN menggunakan perhitungan sebagai berikut: a. Ambil lima digit terakhir dari nomor rekening b. Gabungkan kelima angka tersebut dengan 11

digit data validasi (data validasi diciptakan sendiri)

c. Keenambelas angka tersebut merupakan data yang menjadi data masukan untuk algoritma DES. Pada pemrosesan dengan algoritma DES digunakan kunci berukuran 16 digit yang kemudian disebut sebagai “kunci PIN”.

d. Dari hasil pemrosesan dengan DES diambil 4 digit pertama kemudian diubah ke dalam

bentuk desimal – penggunaan DES akan menghasilkan bilangan dengan satuan heksadesimal. Empat digit tersebut kemudian disebut sebagai “PIN alami”.

e. Dari PIN alami tersebut kemudian ditambahkan dengan 4 digit yang disebut sebagai offset sehingga menghasilkan nomor PIN yang akan digunakan oleh nasabah.

Sebagai contoh : • Misalkan nomor rekening nasabah adalah

4506602100091715 • Lima digit terakhir adalah 91715 • Data validasi adalah 88070123456 • Masukan untuk algoritma DES adalah

8807012345691715 • “Kunci PIN” untuk algoritma DES adalah

FEFEFEFEFEFEFEFE • Hasil dari algoritma DES adalah

A2CE126C69AEC82D • “PIN alami” (empat digit pertama) adalah

0224 • Nilai offset adalah 6565 • Nomor PIN nasabah adalah 6789 • Nilai Random ( R ) inputan user adalah 9999 • Nilai IN (R - offset ) adalah 3434 • Ketika nilai R yang diinput user benar maka

IN perhitungan mesin ATM dan IN perhitungan server sesuai maka proses verifikasi benar.

3. Analisa Skema dengan verifikasi SMS

a. Keamanan Dengan penyerang berhasil menduplikat kartu ATM user maka serangan skimmer akan berhasil apabila penyerang memperoleh nomor PIN user. Namun dengan usulan skema yang kami ajukan sekalipun nomor PIN dapat diketahui oleh penyerang proses transaksi masih membutuhkan satu tahap proses lagi, yaitu proses input nomor random yang dikirimkan server BANK melalui SMS ke nomor telepon genggam user, nomor ini selalu berubah tiap kali proses transaksi. Sehingga menambah faktor keamanan. Apabila diasumsikan nasabah menginputkan nomor yang bukan random (sama setiap kali transaksi), server bank tetap akan mengirimkan nomor random pada nomor telepon genggam pada pemilik rekening.

Sehingga penyerang tetap memerlukan nomor telepon genggam pemilik rekening.

b. Kemudahan Skema ini relative cukup mudah, karena user dalam melakukan transaksi melalui ATM dengan menggunakan cara yang hamper sama dengan proses transaksi pada ATM biasanya. Hanya saja pada skema kami user membutuhkan sebuah tambahan alat yaitu berupa telepon genggam yang dapat menerima pesan SMS. Tanpa harus melakukan installasi software apapun ke dalam telepon genggam.

B. Penutup 1. Kesimpulan

Dengan menggunakan skema RN4S ini, serangan skimming dapat diatasi, dengan sistem keamanan pada skema kami yang berlapis, hal ini karena nilai random inputan yang selalu berubah-ubah setiap kali proses transaksi yang server kirimkan kepada user melalui SMS. Jadi walaupun penyerang dapat menduplikat kartu ATM, dan mengetahui nomor PIN, penyerang tetap tidak dapat mengetahui nomor random rahasia yang user inputkan.

2. Saran Sistem verifikasi menggunakan SMS ini merupakan salah satu solusi memanfaatkan media SMS tanpa mengganti seluruh sistem ATM. Tidak seluruh sistem ATM memerlukan solusi dengan menambahkan faktor keamanan. Namun, bila terjadi skimming sebaiknya operator ATM mengikuti rekomendasi dari European Payment Council. Dengan berdasarkan pada rekomendasi European Payment Council dan skema yang diajukan, sebaiknya dilakukan beberapa hal sebagai berikut: a. ATM memenuhi syarat minimal tahan

terhadap skimmer yang telah diuji secara independen.

b. Operator ATM juga harus memperhatikan keadaan yang mungkin terjadi tergantung pada keadaan dan proses bisnis masing-masing.

c. Apabila ATM akan dipasang pada lokasi beresiko tinggi dan atau dinding maka alat anti skimming harus dipasang sebagai fitur standar.

d. Bila ATM telah diserang, solusi anti skimming harus digunakan.

e. Operator ATM, dan penyedia kartu, harus terus mengembangkan sistem dan prosedur skema penggunaan kartu ATM untuk memerangi serangan skimming dan transaksi penipuan. Kerjasama dan berbagi informasi harus terus dikembangkan dan diperbaiki untuk menekan kerugian sekecil mungkin.

C. Referensi

1. Omer Bergman, “Unbearable lightness of PIN breaking”, Tel Aviv University school of computer science.

2. Mike Bond, “Decimalization Table Attack for PIN cracking”, Cambrige University computer laboratorium, Februari 2003

3. Doc Card 115-08, “Recommended ATM anti skimming solution within SEPA”, European Payment Council, 17 September 2008.

4. Bank Indonesia, “Mengenal Kartu Debit dan ATM”. Bank Indonesia. (http://www.bi.go.id/NR/rdonlyres/BBE21279-B059-4C04-BBE8-E2D58360DB06/1465/MengenalKartuDebitdanATM.pdf)