Notulensi

Seminar diskusi publik kriminologi E-commerce Fraud

Selasa, 15 Mei 2018. Pukul 14.00-16.00 WIB

Pembicara :

1. Ikhsani Retnoningtyas
2. Avinanta Tarigan
3. Ferdinant T. Andi Lolo
Moderator : Jumari Jiddin

Kali ini Kalmas kembali membantu divisi lain soal per-notulensi-an. Pada seminar
dengan Bukalapak yang lalu, sedikit menjelaskan, Divisi Keilmuan Himakrim
mengundang mereka yang berminat memahami mengenai kejahatan-kejahatan yang
yang terjadi di ranah e-commerce atau jual beli online, baik itu yang dilakukan melalui
platform tertentu seperti aplikasi maupun yang hanya melalui kontak di media sosial.
Bersama dengan Bukalapak sebagai sponsor dan pemateri, diskusi publik ini bertujuan
untuk meningkatkan kewaspadaan masyarakat terhadap kejahatan yang ada di ranah
jual beli online sebab tak dapat dipungkiri, hampir semua orang pernah melakukan
transaksi online dan tentu kita pun tidak mau rugi baik sebagai penjual maupun
pembeli.

Sedikit penjelasan mengenai Bukalapak, perusahaan ini merupakan perusahaan

start up. Bukalapak terbentuk dari tahun 2010. Basisnya adalah membebaskan setiap
orang bisa berjualan dan membeli produk di Bukalapak. Bukapalak didirikan dengan
tujuan yang berbeda dari yang lain, yaitu ingin memberdayakan usaha-usaha kecil dan
mengembangkan UMKM yang ada di indonesia. Berbicara mengenai transaksi online,
salah satu bentuk produk teknologi yang dibuat Bukalapak untuk mendukung transaksi
online adalah sistem pembayaran BukaDompet atau rekening bersama.

Sebelum membahas cyber crime-nya, kita akan mengetahui seperti apa tren
ekonomi digital di Indonesia.

Apa yang membuat e-commerce ngetren saat ini?

- Nyaman, memudahkan, tidak perlu pergi kemana-mana. Pemesanan bisa

dilakukan lewat aplikasi/desktop PC sendiri
- Melakukan pembayaran sesuai yang kita mau. Bisa uang cash, debit, atau jenis
pembayaran yang kita menyimpan saldo di dalamnya seperti BukaDompet, dan
jenis pembayaran lainnya yang memudahkan.
- Kita bisa mendapatkan produk domestik maupun internasional
Tapi apa kekurangannya?
 - Dibutuhkan waktu yang lama agar barangnya datang. Jadi harus sabar.
- Kadang produk yang di gambar dengan yang kita terima berbeda.
- Masalah pengiriman dari ekspedisi yang kadang berkendala
- Kepercayaan yang kadang dikhianati karena harus bayar duluan tapi barangnya
malah tidak diterima. Bisa kita sebut sebagai kejahatan penipuan.

TRANSAKSI ONLINE DAN KEJAHATANNYA

Pada intinya, setiap transaksi online beresiko menjadi target kejahatan, di mana
pun atau di perusahaan manapun e-commerce itu didirikan. Di Bukalapak, bagian yang
bertanggung jawab mengawasi keamanan transaksi ini dipikul oleh tim trust and safety.

Menurut Retno, secara teknis semua transaksi itu sama: ada pembayaran,
alamat, dll. Namun regulasi atau rules untuk melihat transaksi yang memungkinkan
untuk terjadinya penipuan, mana transaksi yang bisa jadi bibit-bibit penipuan. Hal inilah
yang diawasi oleh tim tersebut. Kebanyakan kasus yang terjadi :

- Hacking: kebocoran data dari website

- Phishing: social engineering, yang berarti kejahatan ini hasil dari bagaimana
masyarakat bisa dibujuk dan dimanipulasi untuk mendapatkan info-info rahasia
- Credit card take over: social engineering, mengambil alih kartu kredit seseorang
- Bea cukai: meminta pembayaran mengaku dari pihak bea cukai. Produk yang
dibeli ditahan dengan alasan bea cukai belum dibayar dan barang illegal jadi
korban harus membayar
- Scamming: kejahatan yang konvensial atau sederhana, seperti “mama minta
pulsa”. Hal ini masih menjadi trend di masayarakat, seperti iming-iming bonus
Bukalapak, dapat undian dari Bukalapak, dll.
Tantangan e-commerce mengenai keamanan dalam bertransaksi online adalah
social engineering. Susah sekali ditanggulangi jika permasalahannya terjadi karena
korban yang dimanipulasi agar terpengaruh. Social engineering dapat berarti
penggunaan manipulasi secara psikologis agar calon korban mau memberikan data
rahasia atau data yang berhubungan dengan finansialnya agar korban mau dialihkan
melakukan tindakan yang diinginkan. Kejahatan yang paling banyak terjadi phishing
menggunakan link website, seperti alamat website yang dibedakan namun muncul web
yang sama atau meniru yang aslinya. Oleh karena itu, pengguna harus melihat link-nya
lagi yang benar. Link website bodong ini tidak hanya ada di market place, tapi juga bisa
di mobile banking. Banyak link tiruan di internet.

Resiko dari kejahatan social engineerng :

1. Resiko personal cost masyarakat

 Ketika menjadi korban penipuan uang yang kita berikan untuk membeli diambil
dan tidak kembali dan tentu menyebabkan korban mengalami kerugian.
2. Resiko personal data
Data pribadi yang dimiliki seseorang apabila telah diambil oleh penjahat maka
bisa disalahgunakan. Bisa membuka akun dengan informasi (credit card,dll)
yang digunakan untuk transaksi lainnya
3. Kerugian finansial dari akun e-commerce, saldo di market place yang dimiliki
bisa diambil secara tidak disadari

LANGKAH PENCEGAHAN

- General information dan term and policies harus dibaca lagi, karena ada
informasi mengenai bagaimana cara menjaga data rahasia, seperti tidak
memberikan beberapa informasi pribadi akun seperti password, username, dll.
karena Bukalapak tidak akan pernah meminta credential data

- Security Feature
Pengiriman kode ke nomor telepon jika terdeteksi log in supaya orang yang
benar-benar memegang akun tersebutlah yang bisa mengakses.
Fitur lainnya adalah memberitahu jika ada aktivitas akun seperti log in dan
mengganti password karena kemungkinan akan ada org yang berusaha masuk

o Manage password
Pemberitahuan untuk mengganti password secara berkala. Agar ketika
kita lupa pernah log in kemana, kita bisa mengganti dengan password
baru.
o Manage device
Konfirmasi masuk dengan kode OTP yang dikirim ke device yang kita
miliki, apabila kita ada perbedaan info akun, maka akan ada email
notifikasi kepada akun yang kita daftarkan
o Security guidelines
Acuan yang dipromosikan oleh perusahaan kepada masyarakat agar lebih
waspada kepada penipuan-penipuan agar berbelanja lebih aman dan
nyaman. Selain itu juga mengadakan kampanye berkala tentang
keamanan bertransaksi online. Dari Bukalapak sendiri ada tim komunitas
datang ke daerah-daerah tertentu untuk memberdayakan UKM. Mereka
juga melakukan sosialisasi keamanan berbelanja.

ANCAMAN KEJAHATAN
 Sekitar 60% orang di Indonesia adalah pengguna belanja online. Banyaknya
pengguna menyebabkan penipuan belanja online menjadi trend di Indonesia. Dari sisi
trust and safety, yang diserang adalah manusianya. Namun ada juga yang diserang
pada sistemnya. Seperti kita log-in kemudian kita memilih “remember me” nanti akun
kita akan log in terus dan datanya tersimpan di browser, dan website lain bisa
mengambil info penting dari browser kita yg bisa dipakai juga di tempat lain. Jadi ketika
ada yg log in nanti datanya otomatis bisa digunakan. Hal ini disebut cookies stealing:
website lain mengambil info penting dari akun kita yang belum di log out.

Terdapat 2 permasalahan pokok:

- Semakin banyak sistem yang terlibat dan semakin kompleks, jika ada kelemahan
dari salah satu sistem yang kita akses, maka kita juga akan terpapar kelemahan
sistem itu.
- Saat sistem yang dibangun, tidak ada kelemahan. Jadi kita tidak bisa langsung
mengetahui kelemahan atau celah sistem yang juga ikut berkembang.
Kelemahan ada karena pengembangan sistem yang tidak benar yang kemudian
digunakan untuk melakukan kejahatan
Serangan pada sistem seperti hacking, yaitu aktivitas mencari kelemahan sistem
dan melakukan eksploitasi pada sistem tadi, permasalahannya terletak pada
kelemahan yang telah terpapar dan tidak dideteksi secara dini oleh pemiliknya, maka
hal ini bisa dieksplor dan digunakan dalam kejahatan.

Serangan tidak terjadi tidak hanya pada sistem, namun juga pada penggunanya.
Dari sisi pengguna, kita bisa melakukan tindakan preventif.

- Karena mudah untuk membuat script dalam melakukan cookies stealing yaitu
mengambil informasi dari browser pengguna, usahakan selalu perhatikan
aktivitas kita. Jangan lupa log out setelah melakukan transaksi. Hapus juga
cookie, cache, dan data “sampah” lainnya secara berkala.
Ancaman lainnya adalah malware, yaitu software yang tidak sengaja berjalan
dalam device kita. Untuk belanja online, banyak malware yang bisa terjadi. Semua yang
kita lakukan bisa terkirimkan kepada hacker. Malware digunakan untuk merekam apa
saja yang dilakukan/diketik di hp kita dan info itu nanti dikirimkan ke hacker.

Untuk pengamanan, perusahaan menggunakan OTP (online tool password),

seperti memberikan nomor token di bank memberikan nomor challenge dan kita
memasukkan nomor yang kita dapatkan di token. Apabila malware ada, meskipun kita
pakai OTP, transaksi kita bisa dibelokkan untuk yang lain. Malware tersebut yang
mengendalikan transaksi kita. Biasanya terjadi pada transaksi transfer dan credit card.
Aplikasi lain juga menawarkan untuk memiliki pembayaran online seperti buka-dompet.
kita harus tau apakah sistem pembayaran ini memiliki kelemahan, pada sistem dan
design. Design aplication programming interface, apabila ada kerentanan, maka bisa
dimanfaatkan untuk kejahatan. Kalau di desain protokolnya ada kesalahan lgsg bisa
dieksploitasi.

Kerumitan yang dimiliki oleh sistem membuat kompleksitas sistem tinggi dan
kemungkinan kerentanan kejahatan semakin tinggi. Biasanya start-up memiliki feature
baru, harus saingan dengan yang lain jadi harus membuat sesuatu yang berbeda
sebagai kebutuhan saingan pengembangan sistem. Feature baru membutuhkan design
yang baik, testing, pengecekan semua sistem aman, baru bisa dirilis. Biasanya feature
dirilis sebelum tes keamanan selesai. Jadi fitur yang belum matang digunakan user dan
meningkatkan peluang kejahatan pada konsumen.

Selain itu yg sering terjadi juga penggunaan unique-code pada domain, seperti
miss-typo. Unique-code seperti link website yang agak typo, tapi tampilan website
muncul seperti asli. Kelemahannya yaitu pada pendaftaran domain yang banyak dan
mungkin terselip, sehingga kemungkinan phishing terjadi. Seperti bukalapak.com
dengan unique code menjadi bukalapak.com tapi a nya punya titik di atas.
Kelemahannya terletak pada pendaftaran domain, jadi ketika mendaftar diperbolehkan
menggunakan unique-code.

Untuk membuat sistem yang aman butuh proses yang kontinu, tidak hanya pada
waktu pengembangan tapi juga ketika fitur sudah diimplementasi tetap harus diperiksa
lagi. Padahal waktu selesai itu harus lihat apakah ada kerentanan-kerentanan yang kita
belum tau. Harus dilakukan tes keamanan. Tes ini fungsinya untuk mengetahui
kerentanan yang kita tahu sekarang. Hasil tes ini menjadi patokan jika menemukan
kerentanan yang baru harus segera ditanggulangi agar tidak kecolongan atau terpapar
kerentanan.

PENEGAKKAN HUKUM

Berbicara mengenai hukumnya, kita akan membahas peran sistem dan orang
dalam penipuan belanja online. Dalam aspek kriminologi dan hukum, kita
membicarakan social engineering. Intinya adalah kejahatannya sama, tindakannya
yang diatur KUHP 378, yaitu nama palsu, martabat palsu, tipu muslihat, dan rangkaian
kebohongan. Misalnya dalam kasus unique code, pelaku menggunakan nama palsu.
Jadi, kejahatan tersebut menggunakan nama palsu atau website palsu sehingga masuk
ke kategori martabat palsu. Ketika website palsu menjual barang palsu maka masuk
pada tipu muslihat. Secara terorganisir, maka akan menjadi rangkaian kebohongan.

Barang dalam hukum memiliki arti luas (terlihat dan tidak terlihat), seperti
personal data. Ancaman hukumannya adalah maksimal 4 tahun. Hukum acara Pidana,
lebih dari 5 tahun tidak dapat dipidana, dan dibawah 5 tahun bisa ditahan.
 Selain itu, aturan hukum lainnya dapat kita lihat di UU no 11 208 UU ITE pasal 8
ayat 1, penipuan dengan media elektronik. Dengan unsur sengaja, tidak mungkin ada
khilaf karena dilihat dari cara kerjanya, tidak mungkin penipuan terjadi secara tidak
sengaja.

Kejahatan lainnya adalah tanpa hak atau tidak memiliki hak untuk mengambil
data personal atau menyebarkan berita bohong. Kerugian konsumen, penegak hukum
menggunakan KUHP 378 dan UU yang lebih spesifik, hukuman 5 tahun dan denda 5
milliar.

Di masyarakat sendiri, banyak yang menjadi korban karena insting barang murah
sehingga jadi rawan dengan kejahatan. “Tipu daya” ini menurunkan kewaspadan
pembeli untuk mengetahui lebih lanjut si pelaku.

Kendala lainnya adalah terkadang korban malu mengungkapkan penipuan yang

telah dialami, membiarkan kejahatan yang telah terjadi. Namun hal ini malah
meningkatkan keinginan penjahat untuk melakukan tindakan lagi karena kelemahan
dari korban untuk tidak melakukan pelaporan.

Dari segi perlindungan korban, kita dapat melihat sistem sebagai guardian atau
penjaga. Kejahatan ini kemudian lolos ketika guardian lemah. Oleh karena itu, kita juga
perlu melakukan target hardening (seperti membuat security guidelines dll) untuk
menutup kemungkinan pelaku melakukan tindak kejahatan dan melindungi data pribadi
dari akunnya.

Berdasarkan keterangan pembicara, orang yang memiliki kemampuan untuk

menggunakan teknologi memanfaatkan kenaifan orang yang tidak tahu teknologi.
Penetrasi internet yang tinggi di Indonesia membuat peluang kejahatan online tinggi.