JAKARTA, PCplus – Mungkin ada di antara kamu atau orang sekitarmu yang pernah mendengar cerita uang nasabah bank terkuras, padahal kartu ATM ada di dompet dan PIN-nya dirahasiakan? Permainan orang dalam?
Tidak selalu. Ternyata memang ada kelompok malware berbahasa Rusia yang bisa memaksa ATM untuk mencuri uang para nasabah perbankan. Malware ini bernama Skimer. Program jahat pertama yang menargetkan ATM itu ditemukan pada tahun 2009.
Tujuh tahun kemudian, Skimmer yang sudah berevolusi beraksi lagi. Pihak bank mendapatkan dirinya diserang, tapi kok tidak ada uang yang dicuri, dan sistem perbankan yang dimodifikasi. Para penjahat menghilang begitu saja.
Penyelidikan tim ahli Kaspersky Lab kemudian menemukan jejak dari versi terbaru malware Skimmer di salah satu ATM bank. Malware tersebut sengaja dibiarkan tidak aktif agar penjahat siber tidak ketahuan.
Aksi dimulai dengan mendapatkan akses ke sistem ATM – baik melalui akses fisik, atau jaringan internal bank. Setelah berhasil menginstal Backdoor.Win32.Skimer ke dalam sistem, backdoor tersebut menginfeksi inti dari ATM – sebuah executable yang bertanggung jawab untuk mengatur interaksi mesin dengan infrastruktur perbankan, pengelolaan uang tunai dan kartu kredit.
Nah, para penjahat kini memiliki kontrol penuh atas ATM yang terinfeksi. Namun mereka tidak memasang perangkat skimmer (pembaca kartu palsu untuk penipuan di atas pembaca yang asli) untuk menyedot data kartu. Mereka justru mengubah ATM menjadi skimmer. Maka dengan ATM yang berhasil terinfeksi dengan Backdoor.Win32.Skimer, penjahat siber dapat dengan mudah menarik semua dana di ATM atau mengambil data dari kartu yang digunakan di ATM: termasuk nomor rekening dan kode PIN nasabah.
Ngerinya, orang awam tidak bisa membedakan ATM yang terinfeksi dengan yang tidak terinfeksi. Tidak ada tanda-tanda fisik berbahaya. Dan para penjahat Skimmer pun tidak buru-buru beraksi: malware dapat beroperasi pada ATM yang terinfeksi selama beberapa bulan tanpa melakukan aktivitas apa pun.
Untuk membangunkan malware tersebut, penjahat harus memasukkan kartu tertentu, yang memiliki catatan tertentu pada strip magnetik. Setelah membaca catatan, Skimmer dapat menjalankan perintah yang di hardcoded, atau permintaan perintah melalui menu khusus yang hanya dapat diaktifkan oleh kartu. Antarmuka grafis Skimmer muncul di layar hanya setelah kartu dikeluarkan dan jika penjahat memasukkan session key yang tepat dari pin pad menjadi bentuk khusus dalam waktu kurang dari 60 detik.
Dengan bantuan menu ini, penjahat dapat mengaktifkan 21 perintah yang berbeda, seperti mengeluarkan uang (40 uang kertas dari money cassettes yang ditentukan), mengumpulkan rincian mengenai kartu yang dimasukkan, otomatis menghapus, melakukan pembaruan (dari pembaruan kode malware yang tertanam pada chip kartu ), dll. Juga, ketika mengumpulkan rincian kartu, Skimer dapat menyimpan file dengan dumps dan PIN pada chip kartu yang sama, atau mencetak rincian kartu yang telah dikumpulkan oleh Skimmer ke dalam tanda bukti ATM.
Dalam sebagian besar kasus, penjahat memilih untuk menunggu dan mengumpulkan data dari kartu yang berhasil di skim untuk membuat salinan dari kartu ini nanti. Dengan salinan ini mereka pergi ke, ATM non-terinfeksi yang berbeda dan dengan santai menarik uang dari rekening pelanggan. Dengan cara ini, penjahat dapat memastikan bahwa ATM yang terinfeksi tidak akan ditemukan dalam waktu dekat. Dan akses mereka ke uang tunai menjadi lebih mudah.