JAKARTA, PCplus –
Hati-hati ya kalau bayar belanjaan pakai kartu kredit atau kartu debit.
Sebab pencurian data kartu debit dan kartu debit tetap marak.
Mencurinya bukan secara fisik, tapi saat kartu dimasukkan dan dibaca
pada card reader di mesin POS (point of sales) di meja kasir.
“Ada beberapa jalan yang diambil
penyerang untuk mencuri data ini. Salah satu pilihan adalah untuk
mendapatkan akses ke database tempat data kartu disimpan. Namun pilihan
lain adalah untuk menargetkan titik di mana pengecer pertama kali
membutuhkan data kartu itu – point of sales (POS),” ungkap Raymond Goh
(Senior Regional Director Systems Engineering Symantec, Asia South
Region).
Sistem POS modern, khususnya di retailer besar, biasanya merupakan
sistem all-in-one. Umumnya digunakan komputer yang dikonfigurasi khusus
dengan software penjualan dan card reader. Ke card reader itulah,
penjahat bisa memasang pembaca data dari strip magnetik kartu.
Pengambilan data secara ilegal ini disebut “skimming.”
Data dari kartu yang dibaca
tersebut bisa langsung disalin dengan malware. Malware-nya tak perlu
khusus menyasar sistem POS. Tapi bisa malware apa pun yang berjalan pada
Windows. Ini karena mayoritas POS masih menggunakan sistem Windows XP
atau Windows XP Embedded/XPE
Alhasil penyerang tidak perlu
keahlian khusus untuk menargetkan sistem-sistem POS. Plus, perangkat
skimming tersedia di pasar gelap. Apalagi nanti setelah dukungan resmi
Microsoft terhadap XP dan XPE, termasuk update otomatis dan patch
sekuriti tak lagi tersedia. Dukungan untuk XP akan tampat per 8 April
2014, sedangkan untuk XPE pada Januari 2016.
Data dari magnetic strip kartu itu
kemudian di-kloning dan dijual ke pasar gelap. Satu kartu kloning ini
bisa dihargai sampai US$ 100.
Sebenarnya, teknologi keamanan
kartu kini sudah diperbaiki. Selain itu ada peraturan Industri Kartu
Pembayaran (PCI) Standar Keamanan Data Data Security Standard (DSS). Namun
menurut Goh, tetap masih ada celah dalam keamanan sistem POS. Ia
menyebutkan beberapa kelemahan keamanan yang lebih umum dalam
infrastruktur TI perusahaan membuat para retailer semakin terekspos ke
kelompok penjahat cyber yang memiliki semakin banyak sumberdaya dan
terorganisir, ” kata Goh.
Berita baiknya, data kartu yang
dicuri memiliki shelf-life terbatas. Perusahaan kartu kredit dengan
cepat mengenali pola pengeluaran anomali, seperti pemilik kartu yang
jeli. Ini berarti penjahat membutuhkan pasokan “segar” nomor kartu.
Para retailer pun kemudian belajar dari serangan-serangan ini
dan mengambil langkah-langkah pencegahan akan serangan serupa. Teknologi
pembayaran juga akan berubah. Banyak retailer di Amerika Serikat
sekarang mempercepat transisi ke standar-standar Europay, Mastercard dan
VISA (EMV), atau teknologi pembayaran “chip and pin”.
Kartu Chip and Pin jauh lebih sulit
dikloning, sehingga kurang menarik bagi penyerang. Dan tentu saja model
pembayaran baru dapat mengambil alih. Smartphone bisa jadi kartu kredit
baru karena ponsel, atau NFC, teknologi pembayaran semakin banyak
diadopsi
“Tidak ada keraguan bahwa penjahat
cyber akan merespon perubahan-perubahan ini. Tapi karena retailer
mengadopsi teknologi-teknologi baru dan perusahaan keamanan terus
memantau para penyerang, pencurian POS skala besar akan menjadi lebih
sulit dan tentu saja kurang menguntungkan,” kata Goh.
Goh menyarankan para operator POS
untuk mengurangi resiko serangan dengan menggunakan keamanan berlapis di
sistem POS dan di seluruh jaringan. Salah satu yang bisa dipakai adalah
Symantec Endpoint Protection dan Symantec Critical System Protection.
Symantec Endpoint Protection
dibangun pada beberapa lapisan perlindungan, termasuk Symantec Insight
dan SONAR yang dirancang untuk memberikan perlindungan dari
ancaman-ancaman baru dan tidak dikenal. Sedangkan Symantec Critical
System Protection menawarkan perlindungan-perlindungan server penting
untuk pusat data fisik dan virtual yang memungkinkan perusahaan untuk
mengunci aplikasi, pengaturan konfigurasi dan sumber daya sehingga kode
yang berbahaya dan kerentanan tidak dapat dieksploitasi.
Tidak ada komentar:
Posting Komentar