“HALO Pak Wibowo, kita mau memberitahukan kalau kartu kredit Anda sudah over limit. Demi kenyamanan Anda, mohon segera dibayar,” kata petugas customer service Citibank Jakarta. Bagai disambar petir, kabar pada 6 Februari 2002 lalu itu sontak membuat kepala Wibowo Prasetyo nyut-nyutan. Maklum, jumlah tagihan dalam mata uang dolar AS, Australia, dan Euro di kartu kreditnya membengkak hampir Rp 4 juta. “Kok bisa, padahal saya tak pernah belanja pakai dollar,” kata pria yang masih membujang itu.

Transaksi dalam bentuk dolar itu tercatat pada 6 Januari 2002 lalu sebesar US$ 5,95 dan US$ 11,95, 7 Januari 2002 US$ 22,00, 11 Januari 2002 10,00 Australian dolar, 17 Januari 2002 US$ 59,95, dan 27 Januari 2002 US$ 59,40. Total tagihan bulan Februari yang jatuh tempo pada 25 Februari 2002 menjadi Rp 3.983.286. Wibowo makin bingung karena transaksi di kartu kreditnya banyak dilakukan via Internet. Ia lantas mengontak temannya yang bekerja di Citibank. Atas saran temannya, Wibowo membayar Rp 0,5 juta untuk mengurangi tagihan.

Belum terlintas keinginannya untuk komplain. Baru beberapa hari berikutnya ia mengontak Gwenny dari customer service Citibank. Selain menanyakan detil transaksi, ia meminta kartu kreditnya diblokir, sekaligus mengajukan komplain. “Surat komplain Anda sudah kami proses dan tengah diinvestigasi,” kata Gwenny. Prosesnya sendiri makan waktu 35 hari kerja. Atas saran Gwenny, Wibowo lantas menggunting kartu kreditnya dan menyerahkannya ke Citibank untuk diganti dengan kartu baru dengan nomor baru pula. Yang membuat Wibowo puyeng, selama investigasi, beban bunga tetap berjalan.

Wibowo tidak sendirian. Tan Tjong Sie Tjing, warga Kembang Ayu IV, Puri Indah, Jakarta, yang memegang kartu kredit Citibank sejak enam tahun lalu, pun bernasib serupa. Bulan September 2001, ia mendapat tagihan untuk penarikan tunai senilai Rp 1 juta di Makro. Padahal, ia tidak pernah melakukan transaksi di mana pun. Tetapi sama dengan Wibowo, Tan pun tetap ditagih dan harus membayar meskipun sudah mengajukan komplain segala. Sama seperti Wibowo, selama proses investigasi, tagihannya terus membengkak.

Kejahatan perbankan demikian tidak cuma menimpa Citibank, bank asing asal AS itu. Bank Central Asia (BCA), yang 51% sahamnya sudah dimiliki pihak asing (Farallon) itu pun ketiban apes yang sama. Yohannes Biantoro, nasabah BCA Cabang Purwokerto, misalnya, mengaku kebobolan duit Rp 36,5 juta melalui situs pancingan milik pelaku cybercrime. Penjelasan demikian mudah dipahami. Namun, bagaimana menjelaskan kasus yang dialami pedagang sayuran di Pasar Senen, Nyonya Rostani Perangin-angin?

Cahaya Purba dan Yulianti Tarigan, anak perempuan Perangin-angin, melapor ke Polres Metro Jakarta Pusat bahwa ibunya menjadi korban pembobolan rekening Tahapan BCA senilai Rp 1,35 juta. Setelah buku tabungan dicetak, tertera keterangan penarikan via Internet sebanyak dua kali senilai duit tadi. Tarigan bingung bukan kepalang. Sebagai pedagang sayuran, jangankan mengoperasikan transaksi lewat Internet, melihat komputer pun rasanya tidak pernah dilakukan ibunya. Lalu, pembobol tahu data PIN (personal identification number) rekening tabungan ibunya itu dari mana?

Stephen Liestyo, General Manager Consumer Banking BCA, mengakui bahwa pihaknya banyak menerima pengaduan berkaitan dengan pembobolan rekening lewat Internet. Namun, nasabah selalu saja menyalahkan penyedia jasa electronic banking (e-Banking). “Padahal, pembobolan itu banyak terjadi karena kecerobohan nasabah,” kata Liestyo. Selain itu, memang ada orang yang iseng dengan memanfaatkan kelengahan dan kecerobohan nasabah untuk mengeruk keuntungan pribadi. Nasabah pun seringkali selalu mengelak ketika ditanyai oleh pihak bank dari mana saat mengakses Internet Banking.

Pengamat teknologi informasi (TI) Roy Suryo mengamini. Menurut staf pengajar UGM Yogyakarta ini, dalam kejahatan perbankan berbasis elektronik, selain ada sisi teknis juga ada sisi nonteknis. Secara teknis, Roy tidak sedikit pun meragukan sisi keamanan jaringan yang dibangun pihak bank, baik lewat ATM (anjungan tunai mandiri) maupun lewat Internet. Sebuah bank yang menerapkan Internet Banking harus memiliki sertifikasi standar keamanan yang dikeluarkan SET (Secure Electronic Transaction) International, aliansi perbankan dan internet di AS. Standar yang sekarang berlaku untuk perbankan, minimal SSL (Secure Socket Layer) 64 bit.

WARNET: Disinyalir menjadi tempat penjahat cyber melaku-kan aksinya.

Nah, bank-bank nasional yang memberikan layanan e-Banking saat ini malah menggunakan piranti di atas standar tersebut. Bank BCA, Bank Lippo, Bank Internasional Indonesia (BII), dan Bank Permata - yang kesemuanya sudah merambah layanan e-Banking, misalnya, rata-rata menggunakan piranti SSL 128 bit. Hal tersebut dibenarkan oleh Liestyo. Layanan ATM yang berdiri sendiri dan tidak melalui Internet gotong-royong pun sangat aman. “Masalah banyak terjadi karena faktor manusianya sendiri,” kata Roy Suryo. Ia memberi contoh kasus klikbca.com yang sempat membuat heboh karena ulah Steven Haryanto yang membuat situs yang mirip dengan milik BCA itu.

Akibat banyaknya pengaduan, pihak BCA pun sigap. Menurut Liestyo, ada sejumlah temuan menarik dari sejumlah kasus yang dilaporkan ke BCA. Nasabah menggunakan User ID dan PIN klikbca di situs-situs palsu yang penampilannya sama dengan Internet Banking BCA. Pemilik situs me-record User ID dan PIN nasabah, kemudian digunakannya untuk membobol rekening. Beberapa nasabah ada yang ngiler karena tawaran seseorang bahwa telah mendapat hadiah dari BCA. Nasabah lantas diatur sedemikian rupa sehingga User ID-nya bisa diketahui pemberi hadiah. Sejumlah nasabah juga diketahui kebobolan rekeningnya karena mengakses Internet Banking di warnet.

Yang aneh, kata Roy Suryo, ia menemui masih ada orang yang dengan lugunya menginformasikan User ID dan password ke pihak lain. Itu terjadi, misalnya, ketika Anda masuk ke situs lelang. Apakah lelang online, iklan baris, atau iklin mini? Kadang-kadang orang menawarkan barang, yang meminta peserta lelang untuk menuliskan User ID dan password BCA yang dimilikinya. “Lho, ini kan gila dan bodoh sekali jika dituruti,” kata Roy.

Selain cara-cara yang rada konvensional itu, menurut pakar sekuriti program Budi Rahardjo, ada modus yang disebut dengan key logger, sebuah cara teknik mengunci setiap tuts keyboard komputer. “Jadi, setiap Anda memencet tuts keyboard, angka dan simbol-simbol itu bisa disimpan di komputer langsung,” kata Budi. Rekening teman Budi terkuras habis karena modus ini. Modus ini dilakukan, misalnya, oknum di warnet memasukkan program key logger tertentu. Lalu, data hasil men-log tuts keyboard itu dikirim ke alamat e-mail.

Saat ini, kata Roy, ada program cookies atau pathfinder yang bisa menampilkan kembali apa saja yang diketik seseorang. Untuk melacak kedua kejahatan ini susahnya bukan main. Makanya, ketika nasabah tahu duitnya berkurang, sebaiknya segera di-close.

Lalu, bagaimana menjelaskan orang yang tidak pernah bertransaksi bank yang kebobolan? Menurut Roy, bisa jadi, nasabah tersebut kartunya pernah hilang. Meskipun ada PIN, nasabah belum bebas dari kejahatan. Maklum, sekarang ada alat magnetic card reader (pembaca kartu) yang bisa membaca informasi apa saja pada sebuah kartu, baik kartu kredit, kartu debit, maupun kartu cash. Ini terjadi karena kartu kredit tak ubahnya disket.

Celakanya, jika kartu kredit itu terkopi pembaca kartu. Ia tidak menuduh kasir toko atau penjaga counter sebagai pihak pelaku, tapi pelaku sebenarnya bisa memanfaatkan mereka. “Saya menduga, sindikat besar credit card sudah beredar di Indonesia ,” katanya. Buktinya, kata Roy, kini marak orang membuat dan menjual kartu magnetik bodong yang bisa diisi seperti kartu magnetik telepon zaman dulu. Ini belum beredar di pasar.

Namun, Roy tidak setuju jika semua kesalahan tersebut ditimpakan kepada nasabah. Menurut Roy, kebijakan perbankan yang sangat tertutup dengan berlindung di balik UU kerahasiaan bank amatlah merugikan. Ketika merugi karena pembobolan, nasabah akan kalah jika bank tidak membantu, misalnya memberikan catatan bukti. Seringkali pihak bank menyebut jika transaksi terbukti dan sah karena rekening tersebut dibuka yang berhak. Definisi “yang berhak” adalah yang punya password. “Padahal, orang yang tahu password belum tentu pemilik asli,” kata Roy.

Untunglah, bagi konsumen yang rekeningnya kebobolan, sementara pihak BCA bisa memblokirnya, akan tetap diganti pihak BCA. Masalahnya, bukan cuma soal diganti atau tidak. Tapi bagaimana kasus semacam ini bisa dilibas. Sayangnya, aparat kepolisian belum bisa banyak diharapkan. Menurut Kadispen Polda Metro Jaya, Komisaris Besar Polisi Prasetyo, polisi memang masih kurang begitu ngeh dengan modus kejahatan lewat Internet ini. Makanya, bekerja sama dengan sebuah perusahaan TI yang membawa ahli dari India, tahun lalu Polda Metro Jaya mendidik 35 penyidik khusus untuk dibekali dengan keahlian kejahatan baru ini. Problemnya lagi, perangkat hukum yang digunakan untuk menjerat pelaku masih belum ada. “Kita sering terbentur ketika harus membuktikan unsur-unsurnya,” kata Prasetyo.

Roy Suryo: Bobolnya keamanan Internet lebih banyak karena ulah manusianya sendiri

Selama ini, jika ada kejahatan berbasis internet, pihak kepolisian masih menggunakan instrumen Kitab Undang-Undang Hukum Pidana (KUHP). Masalahnya KUHP yang dibuat pada zaman baheula itu belum mengendus, apalagi mengenali seluk-beluk kejahatan berbasis Internet. Kekosongan instrumen hukum inilah yang membuat masalah tersebut menjadi runyam. Di sisi lain, masyarakat pun tidak banyak yang melaporkan kejahatan ini ke polisi. Buktinya, Polda Metro Jaya sampai saat ini baru menerima pengaduan dari dua orang. “Masyarakat harus lapor, supaya kita ada pekerjaan khusus di bidang cybercrime,” pinta Prasetyo.

Keluhan nasabah yang kurang bersahabat juga dilontarkan Liestyo. Menurutnya, BCA sudah ikrar akan “berperang” melawan kejahatan Internet banking. “Sayangnya, ada konsumen yang tidak mau bekerja sama dengan kita untuk menuntaskan masalah ini,” keluh Liestyo. Meskipun belum ada cyber law, pihaknya bertekad bakal membawa kasus ini ke meja hijau.

Soal absennya instrumen hukum itu, Roy Suryo menawarkan jalan tengah. Kepada para praktisi hukum, ia meminta agar segera mere-up date UU yang ada, baik perdata maupun pidana. Pengesahan Rancangan Undang-Undang cyber law sendiri, dimana Roy Suryo ikut di dalamnya, selain tergantung DPR, di dalamnya pun cuma mengatur hal-hal umum. Misalnya, bagaimana e-Commerce, satelit telekomunikasi dan internet. Tanpa upaya-upaya terobosan itu, hukum tidak akan berjalan. Ia sendiri mengaku sudah capek menjadi saksi ahli dalam sejumlah kasus di meja hijau. Roy meminta pemerintah harus segera membuat solusi dengan mengatur soal ini. Agar “tuyul” pencuri nasabah tertangkap.

Idealnya, kata Budi Rahardjo, Bank Indonesia membuat regulasi standar keamanan dalam e-Banking yang harus digunakan setiap bank. Ini kebutuhan yang mendesak ketika mobilitas masyarakat tinggi dan membuat mereka memilih kecepatan dengan keamanan yang bagus dalam bertransaksi. Phone banking di Amerika Serikat sudah jadi kesepakatan di salah satu operator telepon bahwa operator menjamin kerahasiaan dalam bertransaksi. Di bank sendiri, sudah saatnya dibentuk divisi khusus yang menangani soal ini. Untuk mengurangi risiko, ia meminta agar nasabah tidak bertransaksi di Internet.

Untuk menghindari pembobolan, Liestyo menyarankan agar menghindari akses klikbca dari alamat lain. Ia pun meminta agar nasabah tidak melakukan registrasi Internet Banking karena tergiur hadiah. Yang juga penting, jangan melakukan transaksi di tempat yang tak terjamin keamanannya. “Yang perlu dijaga, menjaga kerahasiaan User ID dan PIN,” kata Liestyo. April 2002 lalu, BCA telah meluncurkan piranti baru bernama key BCA. Alat ini bakal menggantikan PIN saat mengakses Internet Banking dan sebagai indikator jika nasabah sudah benar masuk situs BCA asli. Harapannya, “tuyul” penggarong duit tak lagi misteri. •KI