JAKARTA, PCplus – Hati-hati ya kalau bayar belanjaan pakai kartu kredit atau kartu debit. Sebab pencurian data kartu debit dan kartu debit tetap marak. Mencurinya bukan secara fisik, tapi saat kartu dimasukkan dan dibaca pada card reader di mesin POS (point of sales) di meja kasir.
“Ada beberapa jalan yang diambil penyerang untuk mencuri data ini. Salah satu pilihan adalah untuk mendapatkan akses ke database tempat data kartu disimpan. Namun pilihan lain adalah untuk menargetkan titik di mana pengecer pertama kali membutuhkan data kartu itu – point of sales (POS),” ungkap Raymond Goh (Senior Regional Director Systems Engineering Symantec, Asia South Region).
Sistem POS modern, khususnya di retailer besar, biasanya merupakan sistem all-in-one. Umumnya digunakan komputer yang dikonfigurasi khusus dengan software penjualan dan card reader. Ke card reader itulah, penjahat bisa memasang pembaca data dari strip magnetik kartu. Pengambilan data secara ilegal ini disebut “skimming.”
Data dari kartu yang dibaca tersebut bisa langsung disalin dengan malware. Malware-nya tak perlu khusus menyasar sistem POS. Tapi bisa malware apa pun yang berjalan pada Windows. Ini karena mayoritas POS masih menggunakan sistem Windows XP atau Windows XP Embedded/XPE
Alhasil penyerang tidak perlu keahlian khusus untuk menargetkan sistem-sistem POS. Plus, perangkat skimming tersedia di pasar gelap. Apalagi nanti setelah dukungan resmi Microsoft terhadap XP dan XPE, termasuk update otomatis dan patch sekuriti tak lagi tersedia. Dukungan untuk XP akan tampat per 8 April 2014, sedangkan untuk XPE pada Januari 2016.
Data dari magnetic strip kartu itu kemudian di-kloning dan dijual ke pasar gelap. Satu kartu kloning ini bisa dihargai sampai US$ 100.
Sebenarnya, teknologi keamanan kartu kini sudah diperbaiki. Selain itu ada peraturan Industri Kartu Pembayaran (PCI) Standar Keamanan Data Data Security Standard (DSS). Namun menurut Goh, tetap masih ada celah dalam keamanan sistem POS. Ia menyebutkan beberapa kelemahan keamanan yang lebih umum dalam infrastruktur TI perusahaan membuat para retailer semakin terekspos ke kelompok penjahat cyber yang memiliki semakin banyak sumberdaya dan terorganisir, ” kata Goh.
Berita baiknya, data kartu yang dicuri memiliki shelf-life terbatas. Perusahaan kartu kredit dengan cepat mengenali pola pengeluaran anomali, seperti pemilik kartu yang jeli. Ini berarti penjahat membutuhkan pasokan “segar” nomor kartu.
Para retailer pun kemudian belajar dari serangan-serangan ini dan mengambil langkah-langkah pencegahan akan serangan serupa. Teknologi pembayaran juga akan berubah. Banyak retailer di Amerika Serikat sekarang mempercepat transisi ke standar-standar Europay, Mastercard dan VISA (EMV), atau teknologi pembayaran “chip and pin”.
Kartu Chip and Pin jauh lebih sulit dikloning, sehingga kurang menarik bagi penyerang. Dan tentu saja model pembayaran baru dapat mengambil alih. Smartphone bisa jadi kartu kredit baru karena ponsel, atau NFC, teknologi pembayaran semakin banyak diadopsi
“Tidak ada keraguan bahwa penjahat cyber akan merespon perubahan-perubahan ini. Tapi karena retailer mengadopsi teknologi-teknologi baru dan perusahaan keamanan terus memantau para penyerang, pencurian POS skala besar akan menjadi lebih sulit dan tentu saja kurang menguntungkan,” kata Goh.
Goh menyarankan para operator POS untuk mengurangi resiko serangan dengan menggunakan keamanan berlapis di sistem POS dan di seluruh jaringan. Salah satu yang bisa dipakai adalah Symantec Endpoint Protection dan Symantec Critical System Protection.
Symantec Endpoint Protection dibangun pada beberapa lapisan perlindungan, termasuk Symantec Insight dan SONAR yang dirancang untuk memberikan perlindungan dari ancaman-ancaman baru dan tidak dikenal. Sedangkan Symantec Critical System Protection menawarkan perlindungan-perlindungan server penting untuk pusat data fisik dan virtual yang memungkinkan perusahaan untuk mengunci aplikasi, pengaturan konfigurasi dan sumber daya sehingga kode yang berbahaya dan kerentanan tidak dapat dieksploitasi.