Sinkronisasi Token Menyerang KlikBCA

TRIBUNNEWS.COM. JAKARTA - Presiden Direktur PT Bank Central Asia (BCA) Tbk, Jahja Setiaatmadja mengatakan sudah ada 1.000 nasabah yang terkena masalah "Sinkronisasi Token" saat login melalui Internet Banking bank tersebut.

"Kira-kira 1.000 (nasabah) yang kena, sedikit sih. Kita kan nasabah ada 13 juta, ini yang kita tahu. Mudah-mudahan mereka aware setelah kita sudah coba sosialisasi bahwa kalau lebih dari sekali diminta token jangan lakukan," jelas Jahja.

Menurut Jahja, masalah dalam "Sinkronisasi Token" tidak akan membuat BCA mengganti sistem yang sudah ada. Pasalnya, kata dia, hal tersebut dikarenakan virus yang mengenai komputer personal nasabah.

"Token masih pakai yang lama, tidak diubah-ubah. Tokennya tidak salah, itu terjadi karena virus di PC customer, ini yang susah. Karena hal tersebut tidak bisa kita cegah. Penanggulangannya dengan telepon Halo BCA, nanti ada tim yang memberikan antivirus, diberesekan baru lakukan transaksi," lanjut Jahja.

Sebelumnya, beredar informasi di media sosial tentang seorang nasabah BCA yang merasa bahwa rekeningnya dibobol setelah dia berulang kali gagal melakukan transaksi Internet Banking BCA. Saat nasabah tersebut melakukan login, muncul tampilan "Sinkronisasi Token" dan menyebabkan komputer hang.

Setelah restart dan kembali login ke Internet Banking BCA, nasabah mendapati uangnya telah berkurang sebesar Rp 13 juta. Menurut Jahja, BCA sudah melakukan sosialisasi terhadap temuan tersebut, melalui layanan Halo BCA dan juga media sosial. Jahja menyarankan untuk menelepon ke Halo BCA 500-888 kalau terjadi permintaan memasukkan token berulang-ulang. (Stefanno Reinard Sulaiman)

Zeus Hantui Token Internet Banking

Jakarta - Zeus, Zues atau Zbot adalah trojan komputer yang berjalan pada OS Microsoft Windows dan memiliki kemampuan untuk melakukan banyak aksi kriminal seperti mencuri data kredensial penting dengan teknik man in the browser attack, key logging dan form grabbing.

Pertama kali diidentifikasi Juli 2007 dan digunakan untuk mencuri data Departemen Transportasi Amerika dan menyebar secara meluas pada Maret 2009. Pada bulan Juni 2009, Prevx memperkirakan Zeus menguasai lebih dari 74.000 akun FTP pada banyak situs penting seperti Bank of America, Nasa, Monster.com, ABC, Oracle, Cisco, Amazon dan Business Week.

Gameover Zeus (GoZ) sendiri dibangun dari komponen Zeus pada tahun 2011 dengan penyempurnaan di banyak aspek seperti komunikasi menggunakan jaringan Peer to Peer yang terenkripsi antara komputer yang terinfeksi botnet dengan C2 (server komando) dan menjadikannya sebagai salah satu jaringan botnet yang paling banyak beredar saat ini.

Gameover Zeus juga berada di belakang penyebaran Cryptolocker yang jika berhasil menginfeksi korbannya akan melakukan enkripsi (mengacak) semua dokumen penting di komputer yang menjadi korbannya dengan kunci/metode khusus dan hanya bisa dikembalikan (dekripsi) dengan kunci dekripsi yang hanya dimiliki oleh pembuat malware.

Untuk mendapatkan kunci dekripsi ini korbannya harus membayarkan sejumlah uang melalui bitcoin. Kontroller GoZ dapat menyetel botnet yang disebarkannya dan melakukan hal yang sebelumnya sulit dilakukan jaringan botnet konvensional lain seperti mencuri informasi hanya yang memiliki nilai komersial seperti kredensial login dari akun media sosial, email, online banking dan menurut Netwitness, kredensial yang paling banyak dicuri oleh GoZ adalah Facebook, Yahoo, Amazon dan Netlog.

Pada bulan Juni 2014, pemerintah Amerika berkoordinasi dengan agensi internasional lain menjalankan Operasi Tovar dan berhasil memotong sementara komunikasi utama antara GoZ dengan server komando utamanya sekaligus memberikan kabar baik bagi korban Cryptolocker karena server Cryptolocker berhasil diakses dan kunci dekripsi korban Cryptolocker dibagikan secara gratis.

Namun posisi ransomware Cryptolocker yang lumpuh karena servernya dihentikan segera digantikan oleh ransomware lain dan salah satunya adalah CTB Locker yang memakan ribuan korban di Indonesia pada pertengahan Januari 2015. Pada bulan Februari 2015, aktor intelektual di balik GoZ Evgeniv Bogachev menjadi buruan FBI yang mengadakan sayembara hadiah USD 3 juta bagi siapapun yang bisa memberikan informasi untuk menangkap Evgeniv Bogachev.

Indonesia termasuk ke dalam negara dengan infeksi GoZ yang cukup parah dan selalu berada dalam 10 besar sebagai negara dengan jumlah infeksi botnet GoZ terbanyak.

Sinkronisasi Token

Sinkronisasi token sebenarnya adalah salah satu bagian dari sistem administrasi token untuk menyamakan antara waktu token dengan waktu server PIN dan hanya dilakukan jika ada ketidakcocokan PIN otorisasi yang dikeluarkan oleh token dengan server PIN. Hal ini rupanya dengan cerdik dieksploitasi oleh kriminal.

Kasus pemaksaan sinkronisasi token yang terjadi pada pengguna internet banking beberapa bank besar di Indonesia membuka mata para pengguna internet banking bahwa sistem T-FA Two Factor Authentication yang selama ini digunakan untuk melindungi nasabah internet banking ternyata bisa dieksploitasi jika memiliki trojan sekelas GoZ.

Kalau trojan dengan keylogger biasa saja tidak akan mampu mengeksploitasi para pengguna internet banking karena sistem OTP One Time Password yang digunakan dapat mengamankan transaksi yang dilakukan melalui internet banking dengan baik.

Jadi sekalipun keylogger berhasil merekam PIN transaksi yang digunakan untuk otorisasi transaksi internet banking, PIN transaksi tersebut tidak akan berguna karena hanya bisa digunakan sekali dan tidak akan bisa digunakan untuk otorisasi transaksi lain.

Untuk mendapatkan PIN transaksi OTP, hanya server PIN internet banking dan token internet banking yang mengetahui urutan PIN yang sah dan lebih amannya lagi, PIN otorisasi transaksi yang tidak digunakan memiliki masa kadaluarsa yang sangat singkat yang ditentukan oleh time step, sebagai gambaran jika time step ditentukan 30 detik dan toleransi time step ditentukan 2 kali, maka waktu kadaluarsa PIN otorisasi transaksi yang tidak digunakan adalah 89 detik.

Artinya, setelah 89 detik PIN otorisasi transaksi dikeluarkan oleh Token, maka otomatis PIN tersebut hangus. Perlu menjadi catatan kalau time step ini bisa diperpanjang namun makin panjang time step, maka resiko eksploitasi PIN otorisasi makin besar.

Hal ini berlaku bagi salah satu bank yang tidak menggunakan token PIN dan menggunakan PIN otorisasi yang dikirimkan melalui SMS dalam jumlah lebih dari 1 dengan time step yang sangat panjang.

Lalu apa bedanya GoZ dengan trojan/keylogger konvensional lainnya sehingga mampu melakukan otorisasi transaksi tanpa perlu memiliki token PIN ?

Rahasianya adalah pada kemampuan komunikasi dua arah dimana GoZ memiliki kemampuan untuk mengubah trojan yang tertanam di komputer korban dan menyesuaikan dengan kondisi korbannya.

Jika trojan/keylogger konvensional memiliki kemampuan untuk merekam setiap ketukan keyboard komputer korbannya, maka pada komputer yang menggunakan internet banking dimana untuk login ke akun internet banking tidak membutuhkan OTP dan cukup username dan password yang terkadang di-save pada peramban yang digunakan untuk mengakses internet banking, maka akses maksimal yang bisa didapatkan menggunakan trojan konvensional adalah login ke akun internet banking tersebut dan melakukan transaksi non finansial seperti mengecek saldo dan mutasi saja.

Sedangkan untuk melakukan transaksi seperti pembelian, pembayaran atau transfer tidak akan bisa dilakukan karena membutuhkan OTP.

Lain halnya dengan GoZ, dengan berbekal informasi kredensial yang didapatkan di atas, kriminal bisa mengakses data saldo dan menentukan sasaran akun yang memiliki saldo besar untuk diincarnya. Sekali menentukan sasaran tembaknya maka ia akan mengirimkan trojan baru yang sudah dimodifikasi sesuai dengan kondisi korbannya melalui C2 (command center).

Sebagai contoh korbannya adalah pengguna internet banking bank ABC, maka trojan yang dikirimkan akan memonitor akses pengguna komputer ke bank ABC melalui peramban dan langsung melakukan webinject, dalam kasus ini ia akan menampilkan pop up dengan logo dan desain yang tentunya serupa dengan logo bank ABC meminta sinkronisasi token supaya korbannya tidak curiga, karena konyol juga jika internet banking bank ABC lalu pop up sinkronisasi token yang muncul berlogo bank Doraemon.

Sebagai catatan, sinkronisasi token hanyalah salah satu kreativitas yang digunakan oleh kriminal guna mendapatkan PIN otorisasi pendaftaran rekening baru dan PIN otorisasi transaksi dan kemungkinan rekayasa yang lain tidak terbatas. Karena itu para pengguna internet banking harus selalu waspada untuk tidak pernah memberikan PIN transaksinya dengan alasan apapun.

Satu hal yang mengkhawatirkan Vaksincom adalah jika GoZ mampu menipu korbannya untuk melakukan transaksi palsu dimana sebenarnya korbannya yang berniat melakukan transfer di giring untuk melakukan transfer pada situs internet banking palsu yang dirancang sedemikian rupa untuk mendapatkan PIN otorisasi lalu PIN tersebut langsung digunakan untuk melakukan transaksi pada situs internet banking yang sebenarnya oleh kriminal.

Gameover Token?

Pertanyaan terakhir tentunya, apakah pengamanan dengan token dan OTP sudah memasuki senja kala atau game over?

Melihat perkembangan di negara lain, OTP masih tetap dipergunakan.

Namun ada perbedaan yang besar dengan Indonesia dimana mayoritas negara-negara maju memiliki administrasi kependudukan yang baik dan tidak mudah untuk membuat kartu tanda pengenal ganda. Sedangkan di Indonesia sampai saat ini tidak sulit untuk membuat tanda pengenal ganda.

Hal ini akan memberikan dampak pada maraknya kejahatan kerah putih dimana dengan tanda pengenal palsu kriminal dapat membuka akun dan menguangkan uang hasil kejahatannya melalui ATM dan setiap kali ia ingin melakukan aksinya ia tinggal membuka akun baru dengan tanda pengenal baru.

Hal ini malah dipermudah dengan maraknya jual beli rekening Aspal dimana dengan membayar harga sekitar Rp 1 – 2 juta sudah mendapatkan rekening Aspal siap pakai lengkap dengan kartu ATM yang tinggal digunakan untuk menarik uang hasil kejahatan.

Selain itu, antisipasi yang tepat perlu dilakukan oleh pihak bank dimana jika hal ini didiamkan, tinggal menunggu waktu saja ledakan fraud internet banking akan terjadi karena sampai hari ini masih ada lebih dari 4.000 komputer di Indonesia yang terinfeksi GoZ.

*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.

Pengguna Klik BCA Terserang 'Malware Pencuri Uang'

Jakarta, CNN Indonesia -- Sejumlah pengguna layanan internet banking KlikBCA telah menjadi korban pencurian uang. Belasan juta raib dalam sekejap akibat program jahat komputer atau populer disebut malware.

Pakar antivirus dari Vaksincom, Alfons Tanujaya, menyebutkan sedikitnya ada tiga orang yang menjadi korban malware tersebut, salah satunya mengalami kerugian hingga Rp 13 juta.

"Kemungkinan komputer korban terkena malware Zeus," kata Alfons, saat dihubungi CNN Indonesia, Kamis (5/3).

Malware Zeus merupakan salah satu program jahat yang dirancang untuk menyerang transaksi perbankan melalui internet, versi baru aplikasi ini yang bernama GameOver Zeus yang diketahui banyak beredar di Indonesia.

Untuk kasus korban KlikBCA, pengguna layanan internet tersebut akan menjumpai sebuah pop-up saat mengunjungi klikbca.com. Menu tersebut meminta pengguna untuk melakukan sinkronisasi token.

Pengguna yang terkecoh dan mengikuti perintah yang tercantum pada pop-up tersebut, secara tak sadar sedang melakuan transaksi perbankan. Tetapi sebenarnya, itu merupakan bagian awal dari aksi penipuan perbankan secara digital. (Baca:Mengupas Cara Kerja Malware Pencuri Uang)

"Untuk situs KlikBCA sebenarnya aman, yang terserang itu browser komputer korban. Bisa jadi mereka terkena Zeus, atau add-on 'Gadis Mabuk' di Firefox," kata Alfons.

Terkait soal malware pencuri uang, sebelumnya program jahat ini dilaporkan telah menimbulkan kerugian hingga US$ 100 juta. Aplikasi ini dibuat oleh peretas Rusia bernama Evgeniy Bogachev yang saat ini menjadi buronan paling dicari oleh FBI. Bahkan pemerintah AS, rela memberikan hadiah US$ 3 juta bagi siapa saja yang bisa memberikan informasi keberadaan dirinya

"Tapi untuk kasus ini (KlikBCA) saya yakin orang lokal juga terlibat," jelas Alfons.

Zusy yang Membelah Diri

Jakarta - Jaringan (LAN) memang memberikan kemudahan bagi para pengguna komputer untuk berbagi informasi. Dengan LAN semua informasi dapat diakses dengan begitu cepat dalam hitungan detik.

Tetapi di samping kemudahan yang diberikan, ada sisi lain yang justru memberikan kerugian. Dengan alasan untuk mempermudah pekerjaan, user sering melakukan pertukaran data antar sesama rekan kerja dalam jaringan dengan melakukan share pada direktori/folder mereka.

Sekarang yang menjadi permasalahan utama adalah mode share yang dipakai itu mode full access. Hal inilah yang menjadi penyebab utama mudahnya penyebaran virus dalam jaringan.

Sebaiknya jika melakukan sharing terhadap suatu folder, share folder yang dibutuhkan saja dan sangat disarankan tidak melakukan share pada root drive [c:\ atau d:\] serta gunakan read only atau jika harus menggunakan full access sebaiknya batasi user yang dapat mengakses folder tersebut.

Salah satu malware yang patut diwaspadai dan menyebar dengan memanfaatkan file sharing adalah Trojan Zusy yang menyebarkan diri dengan membuat kamuflase dalam bentuk file yang terkompresi sehingga susah dideteksi di jaringan.

Bagi Anda yang sering melakukan transaksi internet banking dan belanja online namun tidak memiliki perlindungan Bankguard, harap ekstra hati-hati karena Trojan ini memiliki tujuan utama mendapatkan keuntungan finansial dari intrusi data internet banking dan e-commerce dan sangat berpotensi mengakibatkan kerugian finansial.

Selain itu, aksi Zusy menyebarkan dirinya secara tidak langsung menyebabkan penuhnya kapasitas hardisk khususnya yang melakukan folder sharing full.

Meskipun ukuran filenya relatif kecil, Vaksincom menemui banyak kasus dimana karena aksi mengkopikan diri secara masif pada openshare dan folder pada komputer yang diinfeksinya mengakibatkan penuhnya kapasitas hardisk atau folder open share.

Zusy dibuat dengan menggunakan program bahasa C++ mempunyai icon dan ukuran file yang berbeda-beda, sehingga mempersulit pada saat proses pembersihan.

Dengan update terbaru, G Data mendeteksi virus ini dengan nama Backdoor.Generic.792814 sedangkan untuk beberapa file pendukung lainnya dikenali dengan nama Win32.worm.SkypeBot dan Gen:Variant.Zusy10696.

Sebagai media penyebaran, virus ini akan memanfaatkan removable storage media (seperti flash disk/eksternal HDD/memory card) dengan membuat file duplikat di setiap folder/sub folder. File yang dibuat akan mempunyai nama yang sama dengan nama folder/sub folder tersebut serta mempunyai icon dan ekstensi yang berbeda-beda (*.pif, *.bat, *.scr, *.exe).

Agar virus ini dapat aktif secara otomatis pada saat user mengakses drive/removable media, ia akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf dan file pendukung (nama file acak) dengan ekstensi .bat. File autorun.inf ini berisi script untuk menjalankan file virus dengan ekstensi .bat tersebut.

Semakin sering Anda membuka aplikasi Windows Explorer akan semakin sering Anda akan mengaktifkan virus tersebut, karena virus ini akan aktif secara otomatis pada saat user membuka aplikasi Windows Explorer.

Untuk mempersulit proses pembersihan virus ini akan melakukan blok terhadap tools security tertentu (termasuk antivirus) pada saat tools tersebut dijalankan.

Virus ini juga akan blok utility Windows seperti regedit/msconfig serta akan menutup jendela windows explorer pada saat user mengakses folder yang mempunyai nama tertentu seperti virus, Kill, regedit dll.

Seperti yang sudah diinformasikan sebelumnya, untuk menyebarkan dirinya ia akan memanfaatkan removable storage media seperti flash disk/eksternal hardisk/memory card dengan membuat file duplikat di setiap folder/sub folder (nama file duplikat akan sama dengan nama folder/sub folder tersebut) dengan ekstensi acak (*.bat/*.exe/*.scr/*.pif).

Agar virus ini dapat aktif secara otomatis pada saat user mengakses drive atau Flash disk, ia akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf dan beberapa file pendukung lainnya dengan ekstensi .bat. File ini akan di sembunyikan agar tidak mudah dihapus oleh user.

Untuk mempermudah penyebaran, ia juga akan membuat file duplikat di setiap folder/sub folder. File duplikat ini akan mempunyai nama yang sama dengan nama folder/sub folder tersebut dengan ekstensi berbeda-beda (*.bat/*.exe/*.scr/*.pif), agar file duplikat ini tidak dicurigai sebagai virus oleh user, virus ini akan menyembunyikan ekstensi file tersebut.

Bagi Anda yang sering melakukan pertukaran data menggunakan file sharing/mapping drive (yang mempunyai akses full control), harap berhati-hati karena virus ini dapat menyebar dengan cepat dengan membuat file duplikat di setiap folder/sub folder yang di share/mapping tersebut.

Agar file virus tersebut tidak dicurigai oleh user, file yang mengandung virus tersebut akan di kompres (RAR/ZIP), hal ini akan mengakibatkan ruang penyimpanan hard disk semakin berkurang.

Sumber: inet.detik.com

JANGAN ASAL INSTALL APK ANDROID

Jakarta - Di Indonesia, penetrasi smartphone terus tumbuh tiap tahunnya dan jumlah aplikasi yang bisa diunduh juga kian meroket. Namun yang mengkhawatirkan, banyak sekali pengguna yang belum memiliki kesadaran terhadap keamanan dan kredibilitas aplikasi yang mereka unduh.

"Banyak di antara mereka yang bersikap 'asal mengunduh' dan tidak peduli apakah aplikasi yang mereka unduh aman atau justru berhahaya," ujar Tjandra Lianto, Marketing Director Advan.

Merujuk pada rendahnya tingkat kesadaran konsumen terhadap tingkat keamanan aplikasi mobile yang diunduhnya, serta seiring dengan meningkatnya tren beralihnya penggunaan telepon genggam biasa ke smartphone di kalangan konsumen di Indonesia, penggunaan solusi keamanan dinilai menjadi penting.

Terrence Tang, Senior Director of Consumer Business, Asia Pacific Trend Micro menambahkan, sebagaimana kuartal lalu, jumlah malware dan aplikasi mobile baru yang memiliki risiko tinggi mencapai lebih dari seperlima dari jumlah total ancaman terhadap Android.

Satu hal yang harus diwaspadai, para penjahat cyber kini telah mengalihkan sasaran serangnya ke titik paling lengah dari penggunaan smartphone, yaitu pengunduhan aplikasi-aplikasi game yang masih sering dilakukan secara sembarangan.

"Gaya hidup sebagian besar konsumen di Indonesia yang semakin terhubung dan kolaboratif dalam penggunaan smartphone mereka, mulai dari mobile gaming, pengaksesan data-data pekerjaan, sosial media, hingga mobile banking, menjadikan mereka sangat berpotensi dan rentan terhadap serangan cyber tersebut,” tegas Terrence.

SUMBER: inet.detik.com

Iklan 'Doubleclick' Google disusupi virus Trojan

Merdeka.com - Salah satu virus dari keluarga Trojan kemarin (19/09) diketahui menyusup di beberapa iklan Google. Otomatis, keberadaan virus tersebut membuat jutaan komputer di dunia terancam aksi hacking berskala global.

Menurut The Verge (19/09), peneliti asal Malwarebytes mengumumkan penemuan beberapa iklan Doubleclick Google yang sangat agresif. Iklan-iklan tersebut dituding dapat menonaktifkan peringatan yang terdapat di antivirus sebuah komputer dan menyerang beberapa sistem milik Malwarebytes.

Malwarebytes sendiri menemukan iklan yang diketahui mengandung virus Trojan 'Zemot' di beberapa portal berita seperti The Times of Israel dan The Jerusalem Post. Peneliti Malwarebytes, Jerome Segura, mengungkapkan bila virus Zemot itu masuk lewat server iklan Doubleclick Google dan agensi iklan Zedo.

Menanggapi peretasan dan persebaran virus Zemot, Google menyatakan bila pihaknya telah mengetahui aktivitas hacking tersebut dan tengah berusaha menghapusnya dari server mereka.

Segura menambahkan bila infeksi virus ini sudah dimulai sejak akhir bulan Agustus lalu. Setelah hampir satu bulan berlalu, Segura memprediksi bila saat ini terdapat jutaan komputer yang sudah diretas oleh virus Zemot.

Virus Zemot sendiri tidak akan langsung merusak sistem setelah infeksi, melainkan hanya membobol sistem dan membukakan jalan bagi virus berbahaya lain untuk masuk. Virus turunan Trojan ini lebih sering menyerang komputer dengan sistem operasi Windows XP. Namun, Zemot dinyatakan bisa menyerang komputer dengan OS modern berarsitektur x86 dan 64-bit.

Awas, Malware Sudah Bisa Infeksi iPhone

Jakarta - iPhone selalu dipercaya sebagai smartphone dengan tingkat keamanan yang tinggi dibandingkan Android. Hal tersebut bisa jadi benar pada zaman dahulu, namun sepertinya tidak lagi pada saat ini.

Pasalnya dari laporan Virus Bulletin, setidaknya ada 75 ribu iPhone yang terdeteksi terkena malware atau program jahat bernama AdThief. Jumlah tersebut mungkin hanya sebagian kecil yang terdeteksi dan bisa bertambah luas.

Memang puluhan ribu iPhone yang terkena malware tersebut merupakan handset yang sudah di-jailbreak atau dioprek. Sehingga, celah keamanannya bisa terbuka lebar untuk dimanfaatkan.

Seperti dikutip detikINET dari Ubergizmo, Rabu (20/8/2014), malware AdThief yang menginfeksi iPhone akan mengubah rute semua pendapatan dari iklan di aplikasi ke pencipta Adthief ini.

Jadi begini, ketika pengguna menginstal aplikasi gratisan, biasanya terdapat iklan sebagai lahan monetisasi bagi pengembang. Nah, semua pendapatan iklan yang harusnya diterima pengembang, malah dilarikan ke pencipta Adthief.

AdThief sendiri ditemukan pertama kali pada Bulan Maret dan dikenal juga Spat. Malware ini diciptakan oleh hacker China dan menyamar sebagai aplikasi di Cydia, App Store bagi iPhone 'Jailbreak'.

AdThief menargetkan iklan dari 15 jaringan populer, termasuk Google AdMob dan Mobile Ads, AdWhirl, MdotM, dan MobClick. Kendati tidak menganggu ke pengguna secara langsung, tapi setidaknya ini menjadi peringatan bahwa iPhone yang dipercaya sangat aman pun bisa disusupi malware.

Sumber: inet.detik.com