Amankah Kartu ATM Anda ?

Hilangnya dana pemegang rekening yang memiliki kartu ATM di Kuta, Denpasar, secara misterius pada pertengahan Januari 2010 membangunkan para pengguna jasa perbankan dari mimpi indah yang meninabobokan bahwa sistem pengamanan transaksi ATM yang digunakan bank-bank di Indonesia sudah aman.

Selama ini, kasus-kasus yang muncul ke permukaan kebanyakan adalah kasus penipuan rekayasa sosial yang memanfaatkan keserakahan korbannya, seperti ditipu menang undian dan diminta mentransfer dana dari rekeningnya ke rekening penipu.

Sebelum kasus ini, kesan yang timbul di masyarakat adalah sistem pengamanan transaksi bank di ATM sangat aman karena hanya kartu ATM yang bersangkutan yang dapat digunakan untuk menarik dana dari rekeningnya.

Kalau ada kesalahan, berarti pemegang kartu yang memberikan kartu ATM dan PIN kepada orang lain dan bank secara sepihak dapat melakukan pendebetan rekening nasabah hanya mendasarkan pada verifikasi kesamaan data kartu magnetik milik nasabah dan PIN nasabah. Seharusnya bank berkewajiban untuk memberikan data pendukung yang independen, seperti rekaman CCTV pada saat transaksi dilakukan.

Apalagi dibandingkan dengan sistem transaksi perbankan melalui internet yang sering dituduh sebagai sarang penyamun sehingga perlu mendapatkan perhatian khusus karena ancaman dari dunia maya yang tidak terlihat dikesankan lebih berbahaya dari ancaman di dunia nyata. Meskipun secara teknis pengamanan transaksi melalui internet yang menggunakan token (kalkulator PIN) sebenarnya jauh lebih aman daripada pengamanan transaksi melalui kartu ATM. Wajar saja, kebanyakan orang lebih takut setan daripada preman.

Teknologi lawas

Kenyataannya, teknologi kartu magnetik yang digunakan ATM saat ini adalah teknologi kuno yang ditemukan oleh IBM pada tahun 1960-an dan mulai di implementasikan sejak tahun 1972 oleh NBI (National BankAmericard Inc) yang kemudian berubah nama menjadi VISA dan meluas penggunaannya sampai hari ini.

Jika anda ingin mendapatkan perbandingan, teknologi kartu magnetik ini memiliki dua jenis. Pertama, teknologi perekaman lagu di kaset reel to reel analog yang saat ini sudah mulai menjadi barang kuno dan sudah bertransformasi menjadi digital dan disebarkan baik melalui keping CD atau online. Kedua, floppy disk drive (FDD) yang disimpan dalam bentuk disk magnetik dan bertransformasi menjadi penyimpanan dalam bentuk memori flash (UFD, USB flash disk).

Teknologi kartu magnetik memang sudah harus ditinggalkan dan sebenarnya hal ini sudah dilakukan para vendor kartu kredit (atas ”paksaan” dari Bank Indonesia) yang mulai mengimplementasikan Smart Card pada seluruh kartu kredit sejak Januari 2010. Namun, mungkin karena alasan ekonomis, bank-bank yang sebenarnya telah mendapatkan banyak keuntungan dari teknologi lawas ini tidak buru-buru menerapkan Smart Card pada kartu ATM.

Mungkin karena implementasi Smart Card membutuhkan penggantian hardware, baik kartu baru, mesin ATM, dan mesin debit yang tidak sedikit jumlahnya. Namun, apabila pertimbangan ekonomis mengalahkan pertimbangan keamanan, keputusan yang diambil oleh bank-bank ini cepat atau lambat akan menjadi bumerang bagi bank, terbukti dari munculnya kasus di Kuta ini dan bukan tidak mungkin akan mengakibatkan kerugian yang jauh lebih besar dari saat ini karena alat dan teknologi penyadapan dan pemalsuan kartu magnetik ini sudah sangat umum dan mudah didapatkan.

Proses keamanan

Jika nasabah dan bank selalu berhati-hati, mawas diri dan sadar sekuriti, kemungkinan terjadi insiden sekuriti akan dapat ditekan. Sebagai perbandingan, transaksi keuangan melalui internet secara teori sangat berbahaya karena, selain nasabah yang bersangkutan, ratusan juta orang di seluruh dunia terhubung ke internet yang sama dan tidak terhitung pelaku kriminal yang siap menerkam jika ada kesempatan.

Namun, terbukti karena semua pihak, baik bank maupun nasabah, sadar akan ancaman ini sehingga menjadi mawas diri dan mencari metode pengamanan yang memadai di mana salah satunya menggunakan token (two factor authentication) saat ini menjadikan transaksi di internet jauh lebih aman dibandingkan dengan transaksi menggunakan kartu ATM dan belum ada satu pun laporan yang sistem pengamanan dengan token ini berhasil di tembus.

Menurut pengamatan penulis, bank sebenarnya sudah menyadari akan adanya kelemahan pada pengamanan ATM ini, terbukti dengan dipasangnya alat anti-skimmer dan penutup keypad yang bertujuan untuk mempersulit penyadapan data, baik data kartu magnetik yang dapat disadap menggunakan skimmer (alat penyadap data kartu ATM magnetik) yang ditempelkan di mesin ATM persis di depan lubang memasukkan kartu ataupun data PIN yang biasanya disadap menggunakan kamera tersembunyi.

Namun, ternyata tidak semua mesin ATM dipasangi alat anti-skimmer dan penutup keypad sehingga teoretis lebih rentan disadap daripada mesin dengan anti-skimmer dan penutup keypad. Akan tetapi, sebenarnya hal ini bukan merupakan solusi permanen karena fungsi kartu ATM sekarang sudah lebih dari sekadar menarik uang di ATM, tetapi juga berfungsi sebagai kartu debit dan secara teknis lebih mudah menyadap data kartu pada kasir mesin debit dibandingkan dengan pada ATM.

Karena mesin debit sudah menyebar meluas dan dapat diakses dengan mudah tanpa pengawasan seperti mesin ATM dan mayoritas keypad pada alat debit sampai saat ini belum dipasangi penutup. Jika anda pengguna ATM dan kartu debit, ada baiknya menerapkan satu kebiasaan baru, yaitu tutupi keypad saat memasukkan PIN di mana pun, di ATM, kasir supermarket, atau ketika berbelanja ke Mangga Dua.

Bagi bank, penulis hanya memberikan satu saran yang harusnya sudah dilakukan dari tahun-tahun lalu. Segera ganti kartu-kartu ATM yang menggunakan teknologi magnetik kuno ini dengan kartu cip yang memiliki keuntungan utama mampu mengenkripsi data kartu dan selalu disiplin cadangkan dana untuk meng-update pengamanan ATM. Karena, sekali lagi, keamanan bukanlah sebuah produk, tetapi keamanan adalah sebuah proses.