Jakarta (Antara Kalbar) - Belum lama tahun ini, seorang pria memasuki sebuah kantor cabang bank Barclays di London utara, lalu merampok 1,3 juta poundsterling (Rp24,11 miliar) tanpa menyentuh satu lembar pun uang.
Pria ini memasuki bank dengan menyamar sebagai teknisi IT, lalu menginstal satu perangkat guna menyedot uang secara elektronik.
Berita perampokan itu muncul bulan lalu saat delapan orang ditangkap polisi, seminggu setelah polisi menggagalkan modus serupa terhadap salah satu bank terbesar di dunia, Santander.
Para perampok bank agaknya kini beralih memanfaatkan software untuk membobok bank, dan mereka mempunyai lima modus umum saat membobol bank lewat internet.
Berikut kelima modus tersebut, seperti dikutip dari New Scientist edisi online pekan ini.
Menyamar sebagai staf IT
Modus pembobolan Barclays dan Santander dilakukan lewat penginstalan KVM (keyboard video mouse) switch.
Ini umum digunakan oleh pusat data-pusat data untuk mengontrol rangkaian komputer dari satu terminal komputer. Dengan menyambungkan KVM switch ke satu router 3G maka para pembobol bank bisa mengakses dari jarak jauh mesin-mesin Barclays lewat jaringan ponsel.
Penjahat menggunakan metode ini untuk mentransfer uang ke akun miliknya, namun Barclays baru melaporkan si pembobol sehari kemudian.
"Bagian tersulit dari ini adalah bukan bagaimana memasuki bank untuk melakukan transfer, melainkan bagaimana membelanjakan uang tanpa terlacak," kata Steven Murdoch, peneliti keamanan pada Universitas Cambridge.
Membobol akun lewat phishing
Ketika para perampok canggih ini tak bisa membobol bank secara langsung, maka mereka akan masuk lewat nasabah bank itu.
Saat ini kebanyakan orang tak gampang tertipu untuk membuka email-email mencurigakan yang mengaku dari banknya, tapi sebagian orang tetap masuk perangkap phishing seperti ini, kemudian tak sadar memberikan kata sandi akunnya ketika dia loging ke situs palsu lewat pancingan yang juga email palsu itu.
Kini banyak bank memasukkan tanda-tanda fisik tertentu (biasanya kombinasi huruf dan angka) sebagai otentikasi kedua yang dirancang untuk mencegah serangan pishing, namun tak semua bank melakukan ini.
Menipu lewat transaksi valas
Salah satu cara membobol kas bank adalah dengan transaksi valas. Tukarkan 10 dolar AS menjadi poundsteling melalui akun online Anda dan Anda akan menerima 6,22 poundsterling pada nilai kurs yang berlaku sekarang. Bank akan membulatkan pecahan ke bilangan terdekat.
Tapi jika yang ditukar 1 sen dolar AS, maka jumlah poundsterling yang Anda adalah 1 sen pounsterling. Anda tentu lebih untung.
Instal satu software untuk melakukan pembulatan ini berulang-ulang, dan si pencuri pun tinggal oncang-oncang kaki menangguk untung besar.
Bank bisa mencegah hal ini dengan menerapkan jumlah minimum penukaran valas atau membatasi besaran transaksi valas per hari, namun beberapa pihak baru sadar telah tertipu saat segalanya sudah terlambat.
"Dua dari nasabah bank kami kehilangan uang mereka lewat serangan pembulatan kurs valas (currency-rounding) ini," kata Mitja Kolsek dari Acros Security di Maribor, Slovenia.
"Salah seorang dari mereka kehilangan sekitar 30.000 euro (Rp468 juta) sebelum menyadarinya lalu memblokir rekeningnya."
Mengkloning kartu
Kartu kredit dan kartu debit sering menjadi sasaran penjahat, apakah dengan mencurinya langsung dari si pemilik atau memodifikasi ATM untuk membajak rincian dan PIN kartu kredit atau kartu debit.
Detail akun disalin ke kartu kosong, kemudian digunakan untuk menarik uang atau membeli barang yang kemudian dijualnya kembali.
Kebanyakan negara menggunakan satu sistem chip dan PIN untuk mencegah praktik tersebut, sehingga para penjahat beralih ke AS di mana sistem ini belum merata digunakan, untuk mengkloning kartu.
Beberapa perampok malah lebih berani lagi. Belum lama tahun ini, delapan orang ditangkap di New York karena mengkloning berbagai kartu dan lalu meretas sistem bank untuk menaikkan limit kartu-kartu itu sebelum kemudian menarik uang hampir 45 juta dolar AS (Rp517,5 miliar) dari berbagai ATM di seluruh dunia.
Mengalihkan perhatian lewat DDoS
Para perampok bank bisa mematikan CCTV dan tak memfungsikan alarm untuk menerobos bank. Caranya mereka menginvasi komputer dengan serangan virus distributed denial-of-service (DDoS), yang fungsinya mempersibuk lalu lintas jaringan sehingga sistem internet bank itu ambruk, namun menyamarkan maksud sesungguhnya si penjahat.
"Ketika para staf IT bank sibuk menjaga server-servernya untuk tetap online dan beroperasi, para penjahat mentransfer uang dari akun para nasabah," kata Kolsek.
Tahun lalu FBI memperingatkan bahwa para penjahat bisa menjarah jutaan dolar AS hanya dengan menggunakan software berharga 200 dolar AS (Rp2,3 juta), demikian New Scientist.