Skimming web, juga dikenal sebagai skimming digital adalah teknik peretasan yang menargetkan bisnis digital dengan memanipulasi aplikasi web sisi klien yang tidak terkontrol dan disusupi. Biasanya, serangan ini dimulai dengan menempatkan kode JavaScript (JS) berbahaya secara strategis pada pembayaran situs web dan laman tempat pengguna yang tidak menaruh curiga memasukkan informasi pribadi maupun keuangan secara mendetail. Platform yang diserang umumnya ditemukan pada situs e-niaga. Namun, platform perbankan, keuangan, perawatan kesehatan, perjalanan, dan layanan elektronik lainnya juga menjadi incaran dalam peretasan.[1]
Penjahat dunia maya kini telah mulai menempatkan skimer web dan skrip Magecart ke dalam gambar, logo, dan favicon untuk menambahkannya ke pustaka JavaScript populer atau dalam beberapa kasus menyembunyikannya di widget situs web seperti obrolan langsung yang ditemukan di setiap situs web e-service saat ini.
Jenis skimming web
Serangan langsung
Serangan langsung merupakan jenis skimming web melalui kode skimming (malware) yang telah ditanamkan pada web yang akan dieksploitasi. Jenis serangan ini cukup sulit dilakukan karena membutuhkan perencanaan dan koordinasi yang tepat. Agar menemukan detail dan kredensial admin yang tepat, peretas dapat mengotomatiskan kredensial login. Selain itu, peretas juga dapat mengeksploitasi kelemahan zero-day.[1]
Serangan rantai pasokan perangkat lunak situs web
Jenis serangan ini menjadi populer karena penggunaannya yang meluas oleh pihak ketiga (saat ini rata-rata lebih dari 60 situs e-commerce). Sementara pihak ketiga ini meningkatkan fitur dengan cepat, mereka juga membuat dependensi baru. Malware disuntikkan ke situs hosting pihak ketiga tepercaya dan muatannya kemudian dijalankan di semua situs menggunakan aplikasi web.[1]
Serangan-serangan tersebut tidak sepenuhnya efektif apabila diatasi dengan solusi dan alat keamanan aplikasi tradisional karena malware tertanam dalam kode asli pihak ketiga. Metode kebingungan juga berkembang sehingga mempersulit CISO (Chief Information Security Officer) dan tim keamanan. Aksi akan terjadi di sisi klien, di mana korban yang tidak menaruh curiga tidak tahu apa yang terjadi sampai semuanya terlambat dan pelanggaran telah terjadi.
Eksekusi skimming web
Pada dasarnya serangan skimming web adalah serangan rantai pasokan perangkat lunak melalui situs web pihak ketiga yang dieksploitasi dan dapat menjangkau ratusan atau ribuan situs web. Server web pihak ketiga ini menjadi sasaran peretas karena HTML/JavaScript pihak ketiga dikirim ke situs web dari repositori yang sama sekali berbeda dan tidak dapat dikontrol oleh pemilik situs web (serta tidak dapat dikontrol secara langsung). Hal ini memberikan akses tidak sah kepada penyerang ke beberapa perpustakaan pihak ketiga. Ini masalah menambahkan kode enkripsi ke salah satu file JavaScript yang ada dan menyembunyikannya.
Ketika pengguna/pelanggan situs web membuka situs web menggunakan browser atau perangkat seluler, kode berbahaya dimuat ke browser pengguna bersama dengan kode pihak ketiga yang sah. Pemilik situs web tidak memiliki log atau bukti bahwa kode berbahaya itu ada atau sesuatu yang mencurigakan terjadi, karena kode berbahaya diunduh dari server pihak ketiga.
Keamanan aplikasi pihak ketiga
Teknologi keamanan tradisional seperti Web Application Firewall (WAF), Intrusion Prevention Systems (IPS), dan Content Protection Policies (CSPs) tidak dapat mendeteksi masalah pihak ketiga. Fakta mengkhawatirkan lainnya adalah banyak penyedia pihak ketiga mengintegrasikan aplikasi pihak ketiga (empat pihak) mereka sendiri untuk memanfaatkan fungsi-fungsi penting. Ini menambah ketergantungan dan kerentanan ke dalam campuran.
Pihak ketiga dan keempat membantu situs web mendapatkan fungsionalitas siap pakai di berbagai tingkatan – analitik, pemasaran, penjualan, pengembangan, dan produktivitas. Namun, perlu dicatat bahwa aplikasi eksternal ini juga membuat amplop keamanan yang serius, karena mereka terus-menerus mengubah dan mengubah dinamika ketergantungan di bawah tenda, yang tidak dapat dikendalikan oleh solusi keamanan aplikasi tradisional karena sifat statisnya.
Pemantauan berkelanjutan terhadap aplikasi pihak ketiga dengan wawasan waktu nyata adalah cara paling efektif untuk mendapatkan visibilitas dan kendali penuh atas situs web Anda. Ini adalah satu-satunya cara untuk mencegah skimming web dan penyerang Magecart mengeksploitasi kode JavaScript dan iFrame yang disematkan di situs web Anda. Tidak ada cara yang lebih baik untuk memeriksa keamanan aplikasi pihak ketiga untuk pengalaman online yang lebih aman.
Cara kerja skimming ATM dan cara pencegahan
Cara kerja skimmer ATM
Skimmer akan membaca dan merekam data di kartu ATM tersebut, baik strip magnetik maupun PIN ATM korban saat kartu ATM dipakai di mesin ATM. Data yang sudah terekam membantu pelaku mendapatkan semua data yang diperlukan. Dengan begitu, pelaku dapat melakukan transaksi tanpa sepengetahuan korban. Metode pembobolan rekening ini agak sulit dideteksi. Masyarakat bisa lebih berhati-hati ketika melakukan transaksi via kartu ATM.[2]
Cara menghindari skimming ATM[2]
- Mengganti pin kartu ATM secara berkala
- Memeriksa alat transaksi dan melaporkan kepada pihak keamanan apabila terdapat kejanggalan
- Menutup tangan ketika mengetikkan pin
- Menggunakan kartu berbasis chip, karena sudah mengaplikasikan teknologi enkripsi data
Perlindungan hukum terhadap nasabah yang dirugikan akibat kejahatan skimming
Perlindungan hukum dalam konteks hukum pidana
Kejahatan skimming termasuk dalam pelanggaran terhadap pasal 30 ayat 2 Undang-undang Informasi dan Transaksi Elektronik yaitu tindak pidana dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik. Sanksi terhadap pasal 30 ayat 2 Undang-undang Informasi dan Transaksi Elektronik (ITE) terdapat pada pasal 46 ayat 2 Undang-undang yang sama yang berbunyi “Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp700.000.000,00 (tujuh ratus juta rupiah)”.[3]
Perlindungan hukum dalam konteks hukum perdata
Pasal 1365 Kitab Undang-undang Hukum Perdata menjelaskan bahwa “Tiap perbuatan melanggar hukum, yang membawa kerugian kepada orang lain, mewajibkan orang yang karena salahnya menerbitkan kerugian itu, mengganti kerugian tersebut". Dalam regulasi sektor jasa keuangan, pihak perbankan harus bertanggung jawab terhadap kerugian yang menimpa para nasabah. Hal ini dapat dilihat dalam Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen. Dalam Pasal 19 ayat (1) Undang-Undang Perlindungan Konsumen menyebutkan pelaku usaha dalam hal ini perbankan bertanggung jawab memberikan ganti rugi atas kerugian konsumen akibat mengkonsumsi jasa yang dihasilkan. Aturan mengenai kewajiban perbankan harus bertanggung jawab atas dana nasabah juga tercantum dalam Peraturan Bank Indonesia (PBI) Nomor 16/1/2014 tentang Perlindungan Konsumen.Dalam Pasal 10, aturan tersebut menyebutkan “Penyelenggara wajib bertanggung jawab kepada konsumen atas kerugian yang timbul akibat kesalahan pengurus dan pegawai Penyelenggara.
Referensi
- ^ a b c Sharabi, Daniel (2021-04-26). "All You Need to Know About Web Skimming Attacks". Reflectiz (dalam bahasa Inggris). Diakses tanggal 2023-04-12.
- ^ a b Media, Kompas Cyber (2022-03-28). "Apa Itu Skimming? Ini Modus dan Cara Menghindari Skimming ATM Halaman all". KOMPAS.com. Diakses tanggal 2023-04-17.
- ^ Ekawati, Dian (2018-12-26). "PERLINDUNGAN HUKUM TERHADAP NASABAH BANK YANG DIRUGIKAN AKIBAT KEJAHATAN SKIMMING DITINJAU DARI PERSPEKTIF TEKNOLOGI INFORMASI DAN PERBANKAN". UNES Law Review (dalam bahasa Inggris). 1 (2): 157–171. doi:10.31933/law.v1i2.24. ISSN 2622-7045.