Fira Dwi Anggraeni

17/408696/EK/21268

Chapter 5 Fraud
Tipe threats dalam AIS:
1. Natural and political disasters: termasuk teroris
2. Software error and equipment malfunctions: hardware or software failure, software
errors or bugs, operating system crashes, power outages and fluctuations, undetected
data transmission error. Disebabkan oleh sistem itu sendiri
3. Unintentional acts: human carelessness, tidak sengaja
4. Intentional acts (computer crime): disengaja, computer crime, fraud dan sabotase.
Sabotase : tindakan yang disengaja di mana tujuannya adalah untuk menghancurkan
sistem atau beberapa komponennya.
Introduction of fraud
Fraud : mendapatkan keuntungan yang tidak adil atas orang lain.
Macam fraud: pernyataan yang salah, fakta material (sesuatu yang merupakan sesuatu yang
mendorong seseorang untuk bertindak), niat untuk menipu, ketergantungan yang dapat
dibenarkan (orang tersebut mengandalkan misrepresentasi untuk mengambil tindakan),
cedera atau kehilangan yang diderita oleh korban
Contoh :
 White-collar criminals : dilakukan pebisnis, menggunakan tipu daya atau hukuman
 Korupsi : perilaku tidak jujur oleh mereka yang berkuasa yang seringkali melibatkan
tindakan yang tidak sah, tidak bermoral, atau tidak sesuai dengan standar etika.
Contoh penyuapan
 Invesment fraud : mengabaikan fakta untuk mempromosikan investasi yang
menjajikan profit yang fantastik dengan risiki yang minimal

Tipe fraud yang penting dalam bisnis:

Misrappropiation of assets
= mencuri aset perusahaan oleh pegawai. Faktor yang paling signifikan dari misrappropiation
adalah tidak adanya internal control/kegagalan internal kontrol yang telah ada. Contoh :
Fraudulent Financial Reporting
= perilaku yang disengaja baik karena tindakan atau kelalaian, yang menghasilkan laporan
keuangan yang menyesatkan secara material > investor & kreditor. Contoh : “cook the
books” yaitu menggelembungkan pendapatan, menutup buku lebih awal/menjaga tetap
tebuka, melebihkan aset tetap, menyembunyikan kerugian dan liabilitas.
Tindakan untuk mengurangi fraudulent financial reporting:
1. Membangun lingkungan organisasi yang berkonstribusi untuk membangun integritas
dari proses penyusunan keuangan
2. Identifikasi dan pahami faktor yang menyebabkan kecurangan pelaporan keuangan
3. Menilai risiko pelaporan keuangan yang curang dalam perusahaan
4. Merancang dan mengimplementasikan kontrol internal untuk memberikan jaminan
yang wajar untuk mencegah pelaporan keuangan yang curang.
SAS No 99 (AU-C Section 240): Tanggung jawab auditor untuk mendeksi penipuan:
Memahami penipuan, diskusikan risiko salah saji material yang curang, mendapatkan
informasi, identifikasi, nilai, dan tanggapi risiko, mengevaluasi hasil tes audit mereka.,
dokumentasikan dan komunikasikan temuan, menggabungkan fokus teknologi.

Computer fraud classification

 Input fraud: little skill
 Processor fraud: mencuri waktu dan jasa komputer
 Computer Instructions fraud: manner, illegal copy software
 Data fraud: kelalaian
 Output fraud

Menjaga dan mendeksi fraud: menciptakan kondisi yang mencukung fraud sedikit,
meningkatkan kesulitan melakukannya, meningkatkan metode mendeteksi, dan mengurangi
kerugian fraud yang terjadi
 Chapter 6 : Computer Fraud and Abuse Techniques

Computer attacks and abuse

Attacks techniques > valuable data, harm computer system:
Hacking : Akses tidak sah atau penggunaan perangkat elektronik atau elemen sistem
komputer. Menggunakan kelemahan di sistem operasi/akses kontrol yang buruk
Hijacking : Mendapatkan kendali atas komputer orang lain untuk melakukan aktivitas
terlarang
Botnet : Jaringan komputer yang dibajak yang kuat dan berbahaya yang digunakan untuk
menyerang sistem atau menyebarkan malware. Zombie > menyerang sistem, bot herders >
orang yang membuat botnet dengan menginstal software
Denial-of-service (DoS) attack- Suatu serangan komputer di mana penyerang mengirimkan
begitu banyak bom email atau permintaan halaman web, seringkali dari alamat palsu yang
dihasilkan secara acak, sehingga server email atau penyedia layanan web server penyedia
layanan Internet kelebihan beban dan dimatikan.
Spamming - Secara bersamaan mengirim pesan yang tidak diminta yang sama kepada banyak
orang, sering kali dalam upaya untuk menjual sesuatu kepada mereka.
Dictionary attack : Menggunakan perangkat lunak khusus untuk menebak alamat email
perusahaan dan mengirimnya pesan email kosong
Splog - Blog spam dibuat untuk meningkatkan Google Pagerank situs web
Spoofing - Mengubah beberapa bagian dari komunikasi elektronik agar terlihat seolah-olah
orang lain mengirim komunikasi untuk mendapatkan kepercayaan dari penerima, bohong.
Macam : E-mail spoofing, caller ID spoofing, IP addres spoofing, addres resolution protocol
spoofing, SMS spoofing, web-page spoofing, DNS spoofing.
Zero-day attack - Serangan antara waktu kerentanan perangkat lunak baru ditemukan dan
“released into the wild” dan waktu perangkat lunak mengembangkan patch untuk
memperbaiki masalah.
Cross-site scripting (XSS) - Kerentanan pada halaman web dinamis yang memungkinkan
penyerang mem-bypass mekanisme keamanan browser dan memerintahkan browser korban
untuk mengeksekusi kode, berpikir itu berasal dari situs web yang diinginkan.
Buffer overflow attack - Ketika jumlah data yang dimasukkan ke dalam suatu program lebih
besar dari jumlah buffer input > crash > input berupa kode memerintahkan apa yang
dilakukan > membuka back door
SQL injection (insertion) attack : Memasukkan query SqL berbahaya dalam input sedemikian
rupa sehingga diteruskan ke dan dieksekusi oleh program aplikasi.
Man-in-the-middle (MITM) - Seorang hacker yang menempatkan dirinya di antara klien dan
host untuk mencegat komunikasi di antara mereka.
Piggybacking - (1) Memanfaatkan saluran komunikasi dan secara elekronik menempel pada
pengguna resmi yang tanpa sadar membawa pelaku ke dalam sistem. (2) Penggunaan
klandestin jaringan Wi-Fi tetangga. (3) Orang yang tidak berwenang mengikuti orang yang
berwenang melalui pintu yang aman, melewati kontrol keamanan fisik.
Password craking : menembus pertahanan sistem, mencuri file yang berisi kata sandi yang
sah, mendekripsi mereka, dan menggunakannya untuk mendapatkan akses ke program, file,
dan data.
War dialing - Memprogram komputer untuk memanggil ribuan saluran telepon untuk mencari
saluran modem dial-up. peretas meretas PC yang terhubung ke modem dan mengakses
jaringan yang terhubung. > war driving > war rocketing
Phreaking - Menyerang sistem telepon untuk mendapatkan akses saluran telepon gratis;
menggunakan saluran telepon untuk mengirimkan malware; dan untuk mengakses, mencuri,
dan menghancurkan data.