Walaupun ada yang namanya Key BCA atau token key dan otentikasi lainnya, e-Banking masih terbilang rawan. Apalagi user awareness kita masih kurang. Kesadaran para webmaster pun terbilang lamban. BCA saja baru memperbaiki bug nya 2 tahun setelah kasus yang ada.

Ada yang namanya serangan MITM (Man In The Middle). Jika sudah diserang seperti ini, katakan selamat tinggal dengan uang anda. Serangan ini memanfaatkan issue mengenai Certificate Authority atau CA pada browser. Pertama attacker akan memaksakan atau me-reroute komunikasi yang digunakan oleh client (anda) ke server (banking) menjadi ke arahnya. Informasi dari server terlebih dahulu di capture oleh attacker dan kemudian diteruskan ke anda. Begitu juga dengan informasi dari anda ke server, terlebih dahulu disaring oleh attacker kemudian di teruskan ke server.

Masih bingung? Sama.

Begini, anggap anda akan chatting ke teman anda si Botak. Anda, si kurus, pertama kali melakukan kontak ke Botak. Anda mengatakan “hallo botak. Kapan cukur rambut?” kepada si Botak. Namun, di antara anda, ternyata ada si C yang telah memantau komunikasi anda sehari sebelumnya. Karena anda tidak memiliki otentikasi terhadap Botak dan begitu juga sebaliknya, maka si C dengan leluasa “mengendalikan” percakapan anda. Si Botak tidak akan pernah tau bahwa anda lah yang sedang berbicara dengan nya. Begitu juga dengan anda.

Berikut adalah contoh dari Buku Network Security yang saya baca.

MITM attack adalah serangan dimana attacker berada di tengah bebas mendengarkan dan mengubah percakapan antara dua pihak. Jadi dengan serangan MITM ini attacker tidak hanya pasif mendengarkan, tetapi juga aktif mengubah komunikasi yang terjadi. Sebagai contoh, pada percakapan antara Alice dan Bob, Charlie menjadi pihak yang ditengah melakukan MITM attack. Charlie tidak hanya bisa mendengarkan percakapan itu, namun juga bisa mengubah percakapannya. Ketika Alice berkata “Besok makan siang jam 11″, Charlie bisa mengubahnya menjadi “Besok makan siang dibatalkan” sehingga Bob mengira makan siang dengan Alice tidak jadi.

Sama dengan kasus eBanking MITM ini. Ketika anda login ke server, apakah anda yakin bahwa server yang asli yang akan menghandle login anda? Oh iya, perhatikan saja address bar nya, yaitu https. Pinter, lalu apakah anda menuliskan manual https nya di address bar? Misalkan anda login ke eBanking Mandiri yang beralamatkan https://ib.bankmandiri.co.id/retail/Login.do?action=form&lang=in_ID. Apa anda menuliskan https nya secara manual? Pasti tentunya kebanyakan TIDAK. Cara umum yang sering digunakan yaitu masuk terlebih dahulu ke halaman Home, kemudian klik Login.

Berikut adalah uji coba yang dilakukan oleh Rizki Wicaksono pada alamat http://www.ilmuhacking.com/web-security/hacking-mandiri-internet-banking-dengan-session-fixation/ .

Apa yang harus anda lakukan sebagai end user? Simak nasehat berikut baik2 sebelum anda menjadi korban.

1. SELALU mengetikkan HTTPS pada address bar browser untuk mengakses situs yang sensitif. Jangan malas! Atau gunakan fasilitas BookMark pada browser. Bookmark lah HALAMAN LOGIN nya, jangan halaman HOME. Pastikan halaman login nya menggunakan protokol HTTPS (HTTP Over SSL)
2. SELALU bersihkan history dan cookies anda setelah selesai browsing. JANGAN MALAS. Caranya yaitu pada IE, klik Tools >> Internet Options. Klik tombol Delete pada segmen Browsing History. Delete semua nya. Gunakan fasilitas Delete browsing history on exit jika anda menggunakan IE 8. Fitur ini cukup membantu untuk menghapus history dan cookies secara otomatis ketika anda menutup browser.
3. Perhatikan Address Bar nya. Selalu lah curiga jika terdapat banyak sekali karakter dan parameter aneh.
4. Jika bisa, jangan membuka akun eBanking anda di warnet.
5. Gunakan browser yang aman yang telah mendukung teknologi Flag HTTPOnly. Yaitu mulai dari IE 6 hingga IE yang terbaru, IE 8. Mungkin yang lain sudah ada (menurut informasi yang saya dengar, browser lain tidak terlalu memikirkan hal ini), namun saya lebih prefer IE 8 ini J
6. HATI-HATI dengan peringatan Certificate yang invalid. Kebanyakan pengguna awam selalu mengklik OK dan Next tanpa peduli apa yang telah dilakukannya. Browser yang pintar akan mampu mendeteksi pemalsuan sertifikat ini (termasuk ketika terjadi MITM di mana orang ketiga tidak akan tahu menahu dengan certificate yang digunakan antara komunikasinya.). Jika User mengklik OK, yah, siapa yang harus disalahkan? Browser sudah galak2 ngasi warning tapi anda masih tetap klik OK. Artinya anda mengundang orang ke tiga tersebut untuk masuk ke dalam session transaksi internet anda.

Sekian.