Pembicara :
1. Ikhsani Retnoningtyas
2. Avinanta Tarigan
3. Ferdinant T. Andi Lolo
Moderator : Jumari Jiddin
Kali ini Kalmas kembali membantu divisi lain soal per-notulensi-an. Pada seminar
dengan Bukalapak yang lalu, sedikit menjelaskan, Divisi Keilmuan Himakrim
mengundang mereka yang berminat memahami mengenai kejahatan-kejahatan yang
yang terjadi di ranah e-commerce atau jual beli online, baik itu yang dilakukan melalui
platform tertentu seperti aplikasi maupun yang hanya melalui kontak di media sosial.
Bersama dengan Bukalapak sebagai sponsor dan pemateri, diskusi publik ini bertujuan
untuk meningkatkan kewaspadaan masyarakat terhadap kejahatan yang ada di ranah
jual beli online sebab tak dapat dipungkiri, hampir semua orang pernah melakukan
transaksi online dan tentu kita pun tidak mau rugi baik sebagai penjual maupun
pembeli.
Sebelum membahas cyber crime-nya, kita akan mengetahui seperti apa tren
ekonomi digital di Indonesia.
Pada intinya, setiap transaksi online beresiko menjadi target kejahatan, di mana
pun atau di perusahaan manapun e-commerce itu didirikan. Di Bukalapak, bagian yang
bertanggung jawab mengawasi keamanan transaksi ini dipikul oleh tim trust and safety.
Menurut Retno, secara teknis semua transaksi itu sama: ada pembayaran,
alamat, dll. Namun regulasi atau rules untuk melihat transaksi yang memungkinkan
untuk terjadinya penipuan, mana transaksi yang bisa jadi bibit-bibit penipuan. Hal inilah
yang diawasi oleh tim tersebut. Kebanyakan kasus yang terjadi :
LANGKAH PENCEGAHAN
- General information dan term and policies harus dibaca lagi, karena ada
informasi mengenai bagaimana cara menjaga data rahasia, seperti tidak
memberikan beberapa informasi pribadi akun seperti password, username, dll.
karena Bukalapak tidak akan pernah meminta credential data
- Security Feature
Pengiriman kode ke nomor telepon jika terdeteksi log in supaya orang yang
benar-benar memegang akun tersebutlah yang bisa mengakses.
Fitur lainnya adalah memberitahu jika ada aktivitas akun seperti log in dan
mengganti password karena kemungkinan akan ada org yang berusaha masuk
o Manage password
Pemberitahuan untuk mengganti password secara berkala. Agar ketika
kita lupa pernah log in kemana, kita bisa mengganti dengan password
baru.
o Manage device
Konfirmasi masuk dengan kode OTP yang dikirim ke device yang kita
miliki, apabila kita ada perbedaan info akun, maka akan ada email
notifikasi kepada akun yang kita daftarkan
o Security guidelines
Acuan yang dipromosikan oleh perusahaan kepada masyarakat agar lebih
waspada kepada penipuan-penipuan agar berbelanja lebih aman dan
nyaman. Selain itu juga mengadakan kampanye berkala tentang
keamanan bertransaksi online. Dari Bukalapak sendiri ada tim komunitas
datang ke daerah-daerah tertentu untuk memberdayakan UKM. Mereka
juga melakukan sosialisasi keamanan berbelanja.
ANCAMAN KEJAHATAN
Sekitar 60% orang di Indonesia adalah pengguna belanja online. Banyaknya
pengguna menyebabkan penipuan belanja online menjadi trend di Indonesia. Dari sisi
trust and safety, yang diserang adalah manusianya. Namun ada juga yang diserang
pada sistemnya. Seperti kita log-in kemudian kita memilih “remember me” nanti akun
kita akan log in terus dan datanya tersimpan di browser, dan website lain bisa
mengambil info penting dari browser kita yg bisa dipakai juga di tempat lain. Jadi ketika
ada yg log in nanti datanya otomatis bisa digunakan. Hal ini disebut cookies stealing:
website lain mengambil info penting dari akun kita yang belum di log out.
- Semakin banyak sistem yang terlibat dan semakin kompleks, jika ada kelemahan
dari salah satu sistem yang kita akses, maka kita juga akan terpapar kelemahan
sistem itu.
- Saat sistem yang dibangun, tidak ada kelemahan. Jadi kita tidak bisa langsung
mengetahui kelemahan atau celah sistem yang juga ikut berkembang.
Kelemahan ada karena pengembangan sistem yang tidak benar yang kemudian
digunakan untuk melakukan kejahatan
Serangan pada sistem seperti hacking, yaitu aktivitas mencari kelemahan sistem
dan melakukan eksploitasi pada sistem tadi, permasalahannya terletak pada
kelemahan yang telah terpapar dan tidak dideteksi secara dini oleh pemiliknya, maka
hal ini bisa dieksplor dan digunakan dalam kejahatan.
Serangan tidak terjadi tidak hanya pada sistem, namun juga pada penggunanya.
Dari sisi pengguna, kita bisa melakukan tindakan preventif.
- Karena mudah untuk membuat script dalam melakukan cookies stealing yaitu
mengambil informasi dari browser pengguna, usahakan selalu perhatikan
aktivitas kita. Jangan lupa log out setelah melakukan transaksi. Hapus juga
cookie, cache, dan data “sampah” lainnya secara berkala.
Ancaman lainnya adalah malware, yaitu software yang tidak sengaja berjalan
dalam device kita. Untuk belanja online, banyak malware yang bisa terjadi. Semua yang
kita lakukan bisa terkirimkan kepada hacker. Malware digunakan untuk merekam apa
saja yang dilakukan/diketik di hp kita dan info itu nanti dikirimkan ke hacker.
Kerumitan yang dimiliki oleh sistem membuat kompleksitas sistem tinggi dan
kemungkinan kerentanan kejahatan semakin tinggi. Biasanya start-up memiliki feature
baru, harus saingan dengan yang lain jadi harus membuat sesuatu yang berbeda
sebagai kebutuhan saingan pengembangan sistem. Feature baru membutuhkan design
yang baik, testing, pengecekan semua sistem aman, baru bisa dirilis. Biasanya feature
dirilis sebelum tes keamanan selesai. Jadi fitur yang belum matang digunakan user dan
meningkatkan peluang kejahatan pada konsumen.
Selain itu yg sering terjadi juga penggunaan unique-code pada domain, seperti
miss-typo. Unique-code seperti link website yang agak typo, tapi tampilan website
muncul seperti asli. Kelemahannya yaitu pada pendaftaran domain yang banyak dan
mungkin terselip, sehingga kemungkinan phishing terjadi. Seperti bukalapak.com
dengan unique code menjadi bukalapak.com tapi a nya punya titik di atas.
Kelemahannya terletak pada pendaftaran domain, jadi ketika mendaftar diperbolehkan
menggunakan unique-code.
Untuk membuat sistem yang aman butuh proses yang kontinu, tidak hanya pada
waktu pengembangan tapi juga ketika fitur sudah diimplementasi tetap harus diperiksa
lagi. Padahal waktu selesai itu harus lihat apakah ada kerentanan-kerentanan yang kita
belum tau. Harus dilakukan tes keamanan. Tes ini fungsinya untuk mengetahui
kerentanan yang kita tahu sekarang. Hasil tes ini menjadi patokan jika menemukan
kerentanan yang baru harus segera ditanggulangi agar tidak kecolongan atau terpapar
kerentanan.
PENEGAKKAN HUKUM
Berbicara mengenai hukumnya, kita akan membahas peran sistem dan orang
dalam penipuan belanja online. Dalam aspek kriminologi dan hukum, kita
membicarakan social engineering. Intinya adalah kejahatannya sama, tindakannya
yang diatur KUHP 378, yaitu nama palsu, martabat palsu, tipu muslihat, dan rangkaian
kebohongan. Misalnya dalam kasus unique code, pelaku menggunakan nama palsu.
Jadi, kejahatan tersebut menggunakan nama palsu atau website palsu sehingga masuk
ke kategori martabat palsu. Ketika website palsu menjual barang palsu maka masuk
pada tipu muslihat. Secara terorganisir, maka akan menjadi rangkaian kebohongan.
Barang dalam hukum memiliki arti luas (terlihat dan tidak terlihat), seperti
personal data. Ancaman hukumannya adalah maksimal 4 tahun. Hukum acara Pidana,
lebih dari 5 tahun tidak dapat dipidana, dan dibawah 5 tahun bisa ditahan.
Selain itu, aturan hukum lainnya dapat kita lihat di UU no 11 208 UU ITE pasal 8
ayat 1, penipuan dengan media elektronik. Dengan unsur sengaja, tidak mungkin ada
khilaf karena dilihat dari cara kerjanya, tidak mungkin penipuan terjadi secara tidak
sengaja.
Kejahatan lainnya adalah tanpa hak atau tidak memiliki hak untuk mengambil
data personal atau menyebarkan berita bohong. Kerugian konsumen, penegak hukum
menggunakan KUHP 378 dan UU yang lebih spesifik, hukuman 5 tahun dan denda 5
milliar.
Di masyarakat sendiri, banyak yang menjadi korban karena insting barang murah
sehingga jadi rawan dengan kejahatan. “Tipu daya” ini menurunkan kewaspadan
pembeli untuk mengetahui lebih lanjut si pelaku.
Dari segi perlindungan korban, kita dapat melihat sistem sebagai guardian atau
penjaga. Kejahatan ini kemudian lolos ketika guardian lemah. Oleh karena itu, kita juga
perlu melakukan target hardening (seperti membuat security guidelines dll) untuk
menutup kemungkinan pelaku melakukan tindak kejahatan dan melindungi data pribadi
dari akunnya.