Desain Skema RN4S Sebagai Solusi Skimmer Attack pada Automated Teller Machine (ATM) – “Kamjar”


Beberapa waktu yang lalu ketika masyarakat digemparkan dengan nilai nominal yang terdapat pada saldo rekeningnya tiba-tiba mengalami penyusutan atau menghilang. Kasus tersebut sempat membuat beberapa Bank kelabakan dengan keluhan dari para pemegang kartu. Yap, pencurian tersebut dilakukan terhadap kartu ATM mereka, tapi yang anehnya kartu tersebut tidaklah hilang. Mari kita pelajari lebih lanjut kasus ini.

Kartu Debit dan kartu ATM adalah kartu khusus yang diberikan oleh bank kepada pemilik rekening yang dapat digunakan untuk bertransaksi secara elektronis atas rekening tersebut. Pada masa seperti ini sesuatu yang instant dan praktis sangat berguna dan diminati, sebagai contohnya transaksi jual beli dll. Penggunaan yang singkat dan cepat adalah salah satu keuntungan sekaligus kerugian dari sistem Ini. Kebanyakan pada kartu ATM hampir di semua Bank menggunakan mekanisme yang sama yaitu menggunakan pita magnetik dan dari sinilah celah terlihat oleh para peretas.

Sebelum melanjutkannya, ada baiknya kita mengenal bagaimana sistem jaringan ATM itu sendiri. Berikut adalah alur gambar dari jaringan ATM itu sendiri.

gambar1

Sistem ATM terdiri atas data terminal dengan 2 input dan 4 output device. Seperti data terminal lainnya, ATM harus melakukan koneksi, dan berkomunikasi dengan sebuah host processor. Host processor mirip dengan ISP yang menjadi gerbang dari berbagai jaringan dan memberikan servis terhadap si pemakai ATM..

atm1

Kebanyakan jaringan yang digunakan jika tidak leased-line maka dial-up. Leased-line merupakan jaringan yang lansung terhubung ke host processor melalui 4 kabel, point-to-point, dedicated sambungan telephone. Untuk yang Leased-line, kecepatan dan through-putnya sangat besar tapi harganya juga besar.

Untuk inputannya ATM memiliki 2 input, untuk lebih jelasnya dapat melihat topologi ATM itu sendiri.

atm-parts

 

Karena isi pita magnetik adalah rekaman data, maka secara logis dapat dipindahkan ke pita magnetik lain. Bagi yang mengenal seluk-beluk dunia teknik dan informatika, alat khusus ini tidaklah terlalu rumit, terbukti banyak penjahat kota besar memilikinya. Rekaman data pada pita magnetik kartu kredit dipindahkan ke kartu kredit lain. Demikian pula kartu ATM. Sama halnya dengan data pulsa pada kartu telepon. Rekaman jumlah pulsa yang banyak dipindahkan ke kartu lain yang sudah kosong, atau kartu yang data jumlah pulsanya kecil.

Keamanan ATM sangat rentan dan serangan tersebut mencari celah pada berbagai lapisan layer. Dari layer application hingga physical itu sendiri, berikut adalah berbagai variasi serangan pada ATM itu sendiri :

  • Pencurian Uang
  • Pencurian Kartu
  • Skimming Attack
  • Phising Attack
  • PIN Block Attack
  • Bahkan serangan dari jaringan seperti MITM dapat menjadi senjata yang cukup ampuh.

Solusi terhadap penyerangan Skimmer Attack ini salah satunya adalah dengan desain skema RN4S oleh Rikson Gultom, Ariadi, dan Eko Yon Handri. Mereka memberikan solusi dengan membuat sebuah nilai hash pada pin yang akan dikirimkan melalui SMS dan mempresentasikannya pada pertemuan IDSECCONF 2010.

Biasanya sistem ATM yang ada mengharuskan User untuk memiliki kartu ATM dan PIN yang nantinya akan di identifikasi oleh server ATM. Untuk masalah ini, maka dengan mudah di authentifikasi oleh peretas.Salah satu caranya adalah dengan Skimmer Attack.

Pertama sebelum melanjutkannya, ada baiknya kita mengetahui apakah itu Skimemer Attack.

ATM Skimmer merupakan sebuah metode dilakukan oleh attacker untuk mengambil data dari magnetic stripe pada kartu ATM. Device yang digunakan lebih kecil dari deck kartu dan biasanya diletakkan didekat atau diatas card reader ATM yang aslinya. Pengambilan PIN tersebut diambil dari kamera yang terpasang di dalam box ATM tersebut. Berikut adalah ilustrasinya.

atm-1 Struktur Dasar ATM

ATM-3

Letak Device Skimmer

atm-5

Kondisi Mesin ATM yang ASLI

ATM-7

Kondisi Mesin ATM yang sama dengan Skimmer terpasang

atm-8

Pemasangan Skimmer pada ATM

ATM-9

Contoh Lain Skimmer pada Mesin ATM

atm-10

Bentuk Skimmer saat di pasang

atm-11

Jenis Skimmer yang portable

atm-12

Dapatkah Anda tentukan apakah ATM ini tidak terpasang kamera pengintai?

atm-14

Mari kita lepaskan…😀

atm-15

Ooopss… sesuatu nempel bos.. hihihi… ^__^

atm-16

Hmm.. Kali ini sepertinya ada yang nempel…🙂

atm-17

Ohh… ada handphone di belakangnya ternyata… dan itu adalah device wireless yang akan mengirimkan gambar/video dari handphone tersebut.. kalau sekarang udah pada support wireless semua ya?? tapi sayang buat diletakin di atm, riskan bos.. hehe…

 

ATM-18

Hm… sekarang apakah ada yang nempel lagi gak ya ??… :))

atm-19

Oooh… ternyata disitu toh.. hahaha…😀 kirain tadi itu fan/kipas angin… XD…ATM-20

Kalau yang ini kelihatannya gak bakalan bisa nempelin apa-apa di mesin ATM-nya.. hehe.. kan warnanya beda.. xD

atm-21

Wahhhh…. ternyata disitu yak.. wkwkwkwk… lumayan kan kalo dapat webcam mini gratis.. hehe….

atm-22

Nah… kali ini, si peretas lebih memikirkan betapa sakitnya kehilangan mini cam/handphone wirelessnya dikarenakan ketahuan tempatnya, jadi mereka mengubah metodenya dengan yang lebih extrim, yups,, penggunaan keyboard Skimmer mesin ATM

atm-23

Inilah bentuk aslinya, cara kerjanya? cukup ditimpa aja keyboard aslinya dengan yang skimmer, ini meniru keylogger hardware pada desktop

 

Nah, setelah mengetahui bagaimana sindikat tersebut beraksi dan metodenya, sekarang solusinya akan saya paparkan. Salah satu solusinya adalah dengan skema RN4S yaitu solusi yang mempergunakan algoritma pada enkripsi dan hashing terhadap kode yang akan dikirimkan oleh mesin ATM tersebut sehingga pada inputannya akan ditambahkan beberapa variabel.

Berikut adalah Ilustrasinya :

atm-24

Algoritma Biasa pada Sistem ATM

atm-25

FlowChart Skimmer Attack

atm-26

FlowChart RN4S

atm-27

Algoritma dengan RN4S

atm-28

Hasil hashing random number

Kesimpulan dari solusi ini adalah skema RN4S ini menggunakan pembangkit random number berupa fungsi hash dengan input waktu yang selalu berubah setiap detiknya, sehingga akan menghasilkan satu nilai random yang unik setiap transaksi berlangsung.

Dengan menggunakan skema RN4S yang menambahkan random number pada sistem ATM masalah skimmer attack diatasi. Skema  RN4S mudah digunakan karena hanya membutuhkan mobile phone yang dapat menerima sms.

Opini Saya : Tindakan ini sangat berbahaya dan dapat memberikan kerugian finansial yang cukup besar terhadap nasabah. Untuk masalah skimmer, ini setidaknya dapat diatasi dengan lebih teliti terhadap letak dan kondisi ATM yang akan dipakai. Untuk e-banking, saya rasa cukup berbahaya juga, namun itu tergantung pada keamanan jaringan Bank tersebut. Sebenarnya survey menunjukkan kepercayaan nasabah terhadap e-banking kurang dibandingkan dengan transaksi melalui ATM.

Source :

http://money.howstuffworks.com/personal-finance/banking/atm2.htm

http://id.wikipedia.org/wiki/ATM

http://www.slideshare.net

9 thoughts on “Desain Skema RN4S Sebagai Solusi Skimmer Attack pada Automated Teller Machine (ATM) – “Kamjar”

  1. gan boleh nanya tentang DES gak??
    itu sebuah program untuk meng-enkripsi bukan?
    kalau boleh tau gan lampirkan blog tentang source code DES dalam bahasa assembly dunkz gan😀

  2. ini source code DES dalam c -> http://www.4shared.com/file/Tb0EkvPm/DES.html
    udah umum kok program DES-nya.
    opini saya tentang skimmer n solusinya : tingkat keamanan berbanding terbalik dengan tingkat kenyamanan, semakin aman suatu sistem maka akan semakin tidak nyaman (banyak prosedur, tambah biaya, tambah resource, dsb) penggunaan sistem tersebut. dengan solusi yang ada setidaknya dapat mengurangi attack terhadap ATM.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s