Malware sinkronisasi token

Hari kamis kemarin kompas memberitakan ada nasabah BCA yang terkena malware sinkronisasi token. Ceritanya berawal karena ada seorang nasabah BCA yang bercerita di media sosial dia mengalami kesulitan untuk melakukan transaksi internet banking. Setelah bisa login di klikbca, muncul popup pada browser yang meminta nasabah melakukan sinkronisasi token. Setelah memasukkan token, uang di rekening berkurang Rp 13 juta. Padahal nasabah tersebut tidak merasa melakukan transaksi tersebut.

Menurut BCA sudah ada banyak nasabah yang terkena masalah yang sama. Menurut CNN indonesia bank mandiri juga sudah melaporkan adanya insiden serupa. Penyebabnya adalah adanya malware di komputer nasabah. Malware ini melakukan injeksi kode ke browser. Kode ini akan menampilkan menu pop-up yang meminta nasabah untuk memasukan token. Contoh tampilannya pop-upnya seperti pada gambar berikut:

sinkron

Melihat cara kerjanya, diduga malware yang digunakan adalah Zeus. Symantec tahun lalu telah mengumumkan analisa terhadap malware Zeus ini. Menurut Symantec setelah Zeus menginfeksi PC, malware ini akan menunggu korban untuk login pada web online banking. Setelah user login, zeus akan mencuri login, password atau pin yang digunakan korban. Data-data ini akan dikirim ke sebuah server. Tapi informasi ini belum cukup untuk menguras rekening nasabah. Karena sekarang banyak bank yang meminta nasabah untuk memasukkan token yang dikirim melalui handphone (two-way authentication). Nah malware Zeus ini kemudian menginjeksi kode tertentu pada browser, sehingga browser akan menampilkan halaman yang meminta nasabah untuk memasukkan token. Setelah itu kemudian rekening nasabah akan dikuras. Analisa Symantec tentang malware ini bisa dilihat pada link berikut :

https://www4.symantec.com/mktginfo/whitepaper/user_authentication/21195180_WP_GA_BankingTrojansImpactandDefendAgainstTrojanFraud_062611.pdf

Trendmicro juga sempat melaporkan adanya malware yang memiliki kemampuan yang sama. Trendmicro menamakannya operation emmental. Malware ini juga membersihkan rekening nasabah. Penjelasan Trendmicro tentang malware ini bisa dilihat pada link berikut:

https://dl.dropboxusercontent.com/u/88740461/images1407/140723FindingHolesOperationEmmental.pdf

Cara kerjanya bisa dilihat pada gambar berikut ini:

from TrendMicro
from TrendMicro

Selain Zeus dan operation emmental ada juga trojan Silentbanker dan Clampi yang menyerang transaksi perbankan. Kelihatannya institusi perbankan di Indonesia sedang menjadi target malware-malware ini. Sebaiknya kita lebih meningkatkan kewaspadaan ketika melakukan transaksi di Internet.

Tulisan pak Alfons Tanujaya tentang malware ini bisa dilihat pada link berikut:

http://www.vaksin.com/0614-goz-load_inject_script

Semoga bermanfaat

Silahkan tuliskan tanggapan, kritik maupun saran