Aktiviti Penggodaman Akaun Bank di Malaysia – Ancaman Terhadap Keselamatan Negara dan Keyakinan Terhadap Sektor Kewangan Negara

Baru-baru ini, seorang doktor yang juga merupakan seorang warganet tersohor telah mendedahkan bahawa akaun bank beliau dengan sebuah bank tempatan telah digodam dan beliau telah mengalami kerugian sebanyak RM30 ribu. 

Doktor tersebut telah meluahkan kekecewaan beliau akan kegagalan bank tersebut menangani isu penggodaman akaun beliau dan kerana bank tersebut dikatakan telah menolak tuntutan beliau walaupun beliau sudah menjadi pelanggan bank tersebut selama beberapa dekad. 

Apa yang dialami oleh doktor tersohor berkenaan bukanlah sesuatu yang baru.  Malahan, baru-baru ini kelihatan telah berlaku peningkatan mendadak aktiviti penggodaman akaun, sama ada akaun simpanan dan semasa, mahupun penggodaman akaun kad kredit.

Namun, yang menjadikan isu terkini menjadi kerisauan adalah dalam kebanyakan kes baru-baru ini, mangsa-mangsa menyatakan bahawa mereka tidak pernah menerima nombor TAC (Transaction Authorisation Code), atau nombor kod kelulusan transaksi yang digunakan untuk meluluskan transaksi-transaksi berkenaan.

Malahan, dalam beberapa kes, mangsa ada menerima nombor TAC, tetapi tidak mendedahkan nombor berkenaan kepada pihak ketiga.

Dalam tempoh masa yang sama kes-kes di atas menjadi kian berleluasa, pendedahan syarikat pengendali pemprosesan pembayaran iPay88 Malaysia Sdn. Bhd. bahawa sebilangan proses pembayaran kad kredit yang diproses syarikat berkenaan bagi pihak pelanggan mereka telah dipintas oleh sekumpulan sindiket. 

Rencana kali ini, penulis akan membincangkan beberapa jenis penipuan yang penulis perhatikan telah berlaku dalam negara kita dan bagaimana aktiviti-aktiviti penggodaman ini membawa risiko terhadap keselamatan negara kita, sebelum mengakhiri rencana ini dengan beberapa tips keselamatan yang telah penulis perolehi.

Penggodaman Melalui Media Sosial

Aktiviti penggodaman hari ini lebih mudah dilakukan kerana sifat narsistik manusia ditambahkan lagi dengan kewujudan media sosial.  Media sosial ataupun kedai kopi zaman internet ini menjadi platform mudah bagi penggodam untuk mendapatkan maklumat peribadi mangsa-mangsa mereka. 

Sebagai contoh, tarikh hari jadi merupakan maklumat yang amat penting dalam sistem perbankan dan sering menjadi soalan ‘bocor’ untuk membuat pengesahan identiti di atas talian.  

Para penggodam cuma perlu memerhatikan bila masa rakan-rakan dan keluarga sasaran mengucapkan selamat hari jadi kepada sasaran mereka.

Ada juga yang tidak segan silu memaparkan tarikh lahir mereka di media sosial, dan akhirnya mensialkan diri.

Ini diburukkan sikap sesetengah individu yang gemar menggunakan tarikh hari jadi keluarga terdekat untuk dijadikan nombor PIN mahupun kata laluan mereka.

Sifat narsistik juga memperlihatkan sesetengah individu gemar berkongsikan maklumat mengenai tabiat perbelanjaan mereka di media sosial tanpa menyedari sesetengah bank juga menggunakan soalan mengenai pembelian terakhir mereka untuk membuat pengesahan identiti.

Penggunaan Malware

Aktiviti penggodaman yang paling biasa berlaku pada hari ini adalah aktiviti penggodaman menggunakan malware. Malware boleh ‘dihantar’ kepada sasaran mereka sama ada melalui email, pautan ke laman yang telah dikompromi, mahupun melalui iklan-iklan perkhidmatan palsu.

Aktiviti malware yang berjaya dikesan di Malaysia setakat ini adalah malware yang ‘curi’ membaca bacaan pada papan kekunci, iaitu keylogger dan juga malware yang berupaya membaca TAC yang dihantar oleh pihak bank.

Terbaru, penulis sendiri telah bergelar mangsa apabila kad kredit penulis telah digunakan untuk pembelian atas talian. 

Dalam kes penulis sendiri, TAC yang dihantar pihak bank bukan sahaja berjaya dibaca oleh pihak penggodam, malahan penulis hanya menerima TAC yang dihantar itu antara beberapa jam sehingga sekurang-kurangnya enam jam kemudian. Modus operandi ini kini sedang disiasat pihak berwajib.

Serangan Brute Force

Melalui maklumat yang diperolehi penulis, serangan brute force merujuk kepada modus operandi penggodam menggunakan bot script mencuba kata-kata laluan yang dikira menggunakan algoritma maklumat-maklumat yang dibeli mengenai sasaran mereka. 

Sasaran mereka adalah individu-individu yang menggunakan nama mereka sendiri sebagai nama profil mereka.  Serangan ini dipercayai pernah berjaya dilaksanakan di Malaysia dan dikatakan telah berjaya dihalang setelah dikesan di beberapa buah bank seluruh negara.

Aktiviti Pemintasan Talian

Tidak semua aktiviti penggodaman memperlihatkan serangan dilaksanakan melalui atas talian. 

Beberapa tahun lalu, dipercayai telah berlaku serangan yang dilakukan oleh sekurang-kurangnya sebuah sindiket pemalsuan cek yang turut mempergunakan cut-out yang boleh dikorbankan berserta turut melibatkan pemintasan talian telefon. 

Dalam modus operandi jenis ini, sindiket berkenaan menyasarkan syarikat-syarikat yang menggunakan kaedah pembayaran menggunakan cek. 

Cut-out yang boleh dikorbankan dihantar ke cawangan bank yang dijadikan sasaran sama ada untuk mengeluarkan wang dengan menggunakan cek yang dipalsukan itu, atau dengan membuat pindahan ke akaun keldai di bawah kawalan mereka. 

Apabila pihak bank membuat panggilan untuk membuat pengesahan pembayaran, mereka bertindak memintas talian telefon pengendali akaun sebenar, dan pihak bank tanpa was-was membuat bayaran kepada sindiket berkenaan.

Dipercayai sekurang-kurangnya seorang cut-out berjaya ditahan polis dalam satu percubaan mereka beberapa tahun dahulu.

Aktiviti Pintasan Email

Aktiviti penggodaman melalui pintasan email dikatakan juga pernah berleluasa di dalam negara kita.  Dalam modus operandi ini, pihak sindiket mengenalpasti sasaran mereka yang biasanya sedang berada dalam rundingan perniagaan dengan rakan niaga mereka. 

Sebelum sasaran mereka membuat bayaran, mereka akan menghantar email kepada sasaran mereka dan meminta sasaran mereka membuat bayaran kepada akaun yang dikatakan dimiliki pembekal mereka di bank lain. 

Adakalanya bank tersebut terletak di negara lain. Email yang dihantar pula mirip dengan email pembekal sebenar. 

Dalam hampir setiap kes sedemikian, mangsa mereka akan diberitahu bahawa mereka perlu membuat bayaran kepada akaun selain daripada akaun yang biasa digunakan atas alasan sama ada akaun sebenar sedang disekat akibat masalah pemindahan dana, ataupun akaun berkenaan sedang diaudit pihak berkuasa cukai negara berkenaan dan sasaran diminta bekerjasama dengan mereka untuk mengelak membayar cukai.

Aplikasi Palsu

Aplikasi Android palsu yang mewar-warkan sama ada tawaran perkhidmatan murah ataupun berpura-pura menjadi aplikasi pesanan makanan atas talian turut dikesan di Malaysia. 

Dalam tempoh masa dua tahun kebelakangan ini, telah kelihatan meningkatnya aktiviti penggodaman yang dibuat melalui iklan perkhidmatan membersihkan rumah pada kadar yang murah.  

Dalam modus operandi ini, mangsa dikehendaki memuat-turun aplikasi yang boleh dipasangkan menggunakan fail APK (Android Package Kit) keluaran Google untuk peranti yang menggunakan OS Android.  

Setelah memasang aplikasi palsu itu, apabila mangsa telah membuat pilihan dan memilih untuk membuat bayaran, mereka dihantar ke laman FPX palsu. FPX adalah aplikasi pengantara antara bank-bank di Malaysia yang dikendalikan oleh syarikat PayNet Sdn Bhd. 

Apabila mangsa memasukkan kata-kata laluan ke laman palsu itu, penggodam dengan serta-merta memasukkan kata laluan di laman perbankan internet sebenar. 

Apabila TAC dijanakan, mangsa secara tanpa sedar memasukkan TAC ke laman palsu, dan ini digunakan penggodam untuk memulakan aktiviti mengosongkan akaun mangsa.  

Selain daripada perkhidmatan pembersihan, aplikasi palsu melibatkan sebuah syarikat Pizza yang meningkat naik turut dijadikan sasaran, dan penulis telah mendapatkan pengesahan daripada syarikat sebenar bahawa aplikasi yang dijumpai di Google Play itu adalah aplikasi palsu.

Modus operandi menggunakan aplikasi palsu ini juga dilihat dalam kes-kes menakutkan mangsa.  Mangsa dihubungi oleh sindiket dan mangsa diugut bahawa mereka kini disiasat oleh pihak polis atas tuduhan pengedaran dadah atau mana-mana jenis jenayah berpredikat lain.

Mangsa diminta memuat-turun aplikasi palsu di Google Play yang menggunakan logo PDRM dan Bank Negara Malaysia.

Setakat ini, kaedah ini berjaya disekat, namun setiap kali selepas aplikasi-aplikasi palsu ini dibuang daripada Google Play, sindiket akan mencuba menaikkan semula aplikasi-aplikasi ini menggunakan nama lain.

Bagaimana Aktiviti Penggodaman Akaun Bank ini Menjadi Ancaman Terhadap Keselamatan Negara

Aktiviti-aktiviti penggodaman ini sedikit sebanyak menggoyahkan kepercayaan rakyat terhadap keutuhan sistem perbankan negara.

Berita-berita mengenai aktiviti penggodaman ini, biarpun boleh jadi disebabkan kesilapan pengguna sendiri yang tidak peka terhadap ancaman-ancaman siber ini, biasanya berakhir dengan tindakan pihak bank-bank yang memilih untuk menolak aduan mangsa. 

Apabila pihak bank memilih jalan ini, mangsa sering kali tidak berpuas hati dan bertindak menghentikan urusan mereka dengan bank berkenaan. 

Sekiranya kes-kes ini adalah terpencil, keyakinan rakyat terhadap keutuhan sistem perbankan ini masih boleh dijaga. Namun, apabila terlalu ramai mangsa melaporkan kes-kes sama, pihak berkuasa dilihat seolah-olah tidak mengambil tindakan terhadap sindiket-sindiket yang berleluasa ini. 

Apabila keutuhan sistem perbankan ini goyah, tidak menghairankan sekiranya rakyat biasa mula mengambil langkah untuk menarik keluar simpanan mereka di dalam bank-bank. Ini secara tidak langsung boleh menyebabkan kehilangan kecairan dalam sistem perbankan negara. 

Apabila bank kehilangan kecairan, ini memaksa bank meminjam duit daripada bank-bank lain, dan sekiranya bank lain tidak berupaya meminjamkan wang, Bank Negara Malaysia terpaksa melangkah masuk sebagai peminjam langkah terakhir, atau lender of last resort. 

Peminjam langkah terakhir merupakan langkah terakhir yang boleh diambil oleh bank-bank untuk mengelakkan mereka tumbang. Bank Negara Malaysia pula perlu mengambil langkah ini untuk mengelakkan berlakunya kejutan terhadap ekonomi negara. 

Bank Run

Sekiranya isu kecairan dalam sistem perbankan ini ditambahkan lagi dengan sikap herd mentality, yakni sikap bertindak secara bersama-sama tanpa berfikir panjang, keadaan panik boleh timbul menyebabkan rakyat mengerumuni cawangan-cawangan bank yang menghadapi masalah kecairan, dan mencetuskan apa yang dipanggil sebagai larian bank, atau bank run. 

Dalam larian bank, bukannya bank itu berlari tetapi pelanggan mengerumuni bank untuk mengeluarkan wang simpanan mereka. Pihak bank pula biasanya tidak menyimpan jumlah wang yang terlalu besar di cawangan-cawangan kerana kos faedah terlepas. 

Apabila pihak bank tidak dapat membayar pelanggan yang panik ini disebabkan kehabisan tunai cair, para pelanggan akan menjadi kian panik dan ini secara tidak langsung menimbulkan huru-hara.

Di sebelah pelanggan, para pelanggan pula kini memegang sejumlah tunai yang besar pada badan mereka dan mereka pula menjadi sasaran mudah kepada rompakan, sekaligus meneruskan kitaran keganasan.

Dalam keadaan ini, Polis Diraja Malaysia (PDRM) terpaksa diletakkan dalam keadaan berjaga-jaga menjaga ketenteraman awam. 

Dengan keadaan huru-hara ini boleh menjangkit ke seluruh negara, PDRM sudah tentu akan berhadapan isu tersebar terlalu luas sehingga tidak cukup untuk melaksanakan tugas kepolisan. 

Ini akan memaksa kerajaan untuk meminta Angkatan Tentera Malaysia (ATM) memberi bantuan kepada PDRM dan ini mengganggu tugas hakiki ATM.

Dan kita belum lagi memasuki topik bagaimana aktiviti penggodaman ini boleh mengganggu keupayaan strategik, khususnya dalam mengaktifkan unit-unit simpanan ATM. 

Aktiviti penggodaman ini juga boleh digunakan untuk melumpuhkan keupayaan komunikasi awam dan meningkatkan perasaan panik di kalangan masyarakat.

Aktiviti Pemintasan dan Penggodam Menyasarkan Pemimpin Negara

Kita juga tidak boleh lupa bagaimana talian Dato’ Sri Najib Razak ketika beliau masih bergelar Perdana Menteri telah berjaya dipintas oleh pihak ketiga dan rakaman tersebut kemudiannya diserahkan kepada Suruhanjaya Pencegahan Rasuah Malaysia (SPRM) untuk didedahkan kepada umum. 

Bukan sahaja ini mendedahkan bahawa talian-talian pemimpim utama negara turut menjadi sasaran.  Terbaru, talian Telegram milik Perdana Menteri Dato’ Seri Ismail Sabri telah menjadi sasaran digodam.

Tips Keselamatan Talian

Seperti dijanjikan, kita lihat beberapa tips keselamatan yang diterima penulis daripada beberapa rakan yang terlibat dalam tugasan keselamatan siber.

Tukar kad SIM sekurang-kurangnya setiap setahun

Setiap cip kad SIM mempunyai algoritma yang memerlukan sejumlah masa untuk digodam. Walaupun kegiatan penggodaman jenis sim-swapping dikatakan telah berjaya ditamatkan di Malaysia, ada kalanya tidak salah meneruskan langkah berhati-hati yang sama.

Memasangkan Aplikasi Antivirus

Adalah digalakkan untuk memasang aplikasi antivirus pada peranti-peranti milik anda, khususnya bagi peranti yang digunakan untuk membuat pengesahan perbankan atau mana-mana aktiviti lain.

Jangan Dedahkan Nombor Telefon Peribadi di Internet

Salah satu cara akaun media sosial dan email dirampas penggodam adalah dengan mendapatkan nombor telefon sasaran mereka. 

Reformat Peranti Sekiranya Sering Mengalami Masalah Kehilangan Talian Internet

Sekiranya internet di telefon pintar anda sering terputus, berkemungkinan sama ada talian internet anda sedang diintip atau terdapat malware di dalam peranti anda. 

Berdasarkan pengalaman pedih penulis sendiri, telefon bimbit penulis sering terputus hubungan dengan internet.  Satu-satu aplikasi yang penulis jumpai memberi amaran sekiranya talian internet terputus adalah aplikasi Facebook.

Oleh itu, sekiranya terdapat tanda-tanda talian internet anda terputus, laksanakan reformat pada peranti anda.

Tips Keselamatan Talian Tambahan

Periksa Bil Telefon untuk Panggilan ke Nombor yang Pelik

Umum tahu, kebanyakan nombor telefon untuk telefon bimbit di Malaysia adalah sepanjang 10 atau 11 digit.  Sekiranya terdapat panggilan yang dibuat ke nombor yang tidak dikenali selama antara 1 atau 2 saat, anda perlu menukarkan nombor talian anda. 

Dalam serangan yang mana penulis menjadi mangsa, penulis mengesan beberapa ‘panggilan’ telah dibuat daripada nombor penulis kepada nombor yang tidak dikenali.

Penulis memanggil nombor ini sebagai nombor spoof ini hampir sama dengan nombor penulis dan adalah lebih panjang sedikit daripada nombor sebenar. Sebagai contoh, sekiranya nombor telefon penulis adalah 012-3456789, nombor spoof ini adalah 012-xx34566789. 

Untuk makluman pembaca, setakat ini penulis bertanyakan kepada rakan-rakan dalam sektor keselamatan siber, mereka tidak pernah lagi menjumpai mana-mana maklumat mengenai kaedah mengesan serangan sedemikian. 

Pihak pengendali telekomunikasi dalam kes penulis ini telah diberitahu akan kewujudan kesan ini untuk tindakan mereka.

Pada masa sama, penulis berasa adalah tidak adil untuk mendedahkan identiti pengendali ini kerana sikap herd mentality yang wujud boleh menyaksikan ramai pengguna bertindak menukar kepada talian lain sedangkan isu ini besar berkemungkinan turut wujud di pengendali telekomunikasi lain.

Jangan Menekan Pautan yang tidak Dikenalpasti

Pautan-pautan yang tidak dikenali boleh jadi merupakan pautan palsu yang turut boleh menanam malware ke dalam peranti anda.

Kesimpulan

Pada pendapat penulis sendiri, adalah amat sukar untuk melawan aktiviti penggodaman ini secara sistematik. 

Namun, sekiranya para pengguna turut mengambil maklum langkah-langkah yang perlu diambil untuk mengelakkan anda jadi mangsa, sila ambil langkah-langkah berjaga-jaga seperti yang dinasihatkan.  Jangan jadi macam penulis, sehingga diri sendiri menjadi mangsa penggodam.

Tetapi kalau penulis sendiri tidak kena serangan ini, mungkin modus operandi terbaru ini juga tidak dapat dikesan?