Sukses

HEADLINE: Gesek Kartu Kredit di Mesin Kasir Berbahaya?

Data pengguna bisa dikopi ke kartu kosong yang dijual ke pasar gelap seharga US$ 5 atau setara dengan Rp 66 ribu.

Liputan6.com, Jakarta - Pengamanan kartu kredit dan kartu debit di Indonesia dinilai masih lemah. Penggesekan kartu kredit nasabah di mesin kasir supermarket dan berbagai toko retail merupakan salah satu sumber utama kebocoran data nasabah.

Pakar keamanan siber dan kriptografi Pratama Persadha menjelaskan, salah satu sumber kebocoran data nasabah adalah adanya tindak penggesekan dua kali dalam transaksi nontunai (double swipe).

Saat nasabah melakukan transaksi nontunai, baik kredit maupun debit, kartu akan diminta oleh kasir. Seharusnya kartu kredit atau kartu debet hanya digesekkan satu kali saja, yaitu di mesin Electronic Data Capture (EDC). Tetapi terkadang ada kasir yang menggesek kartu tersebut di mesin kasir.

"Jadi, kalau kartu kita digesek di card reader komputer kasir, sebenarnya mereka juga membaca kartu kita. Kalau bisa baca, berarti bisa copy. Ya, kalau bisa di-copy berarti bisa dipakai untuk siapa saja," kata Pratama kepada Liputan6.com.

Oleh karena itu, ujarnya, jika masyarakat membiarkan kasir menggesek dua kali, maka sangat berisiko. "Pengamanan kartu debit dan kartu kredit di Tanah Air masih lemah, sehingga sangat mudah sekali digandakan datanya. Jadi bila kartu kita digesek di card reader komputer kasir, sebenarnya mereka juga membaca sekaligus meng-copy data kartu kita," kata dia.

Kalau data sudah di-copy, ujar Pratama, bisa dipakai untuk apa saja. Data itu bahkan bisa di-copy ke kartu kosong. Hasil penggandaan kartu kredit bahkan langsung bisa dipakai, sedangkan kartu debit relatif lebih aman karena dilengkapi PIN.

Lebih parahnya lagi, data pengguna bisa dikopi ke kartu kosong yang dijual ke pasar gelap seharga US$ 5 atau setara dengan Rp 66 ribu (kurs 13.300 per dolar AS).

Jual Data Nasabah

Dan ini memang bukan hanya sekadar isapan jempol. Tim dari Subdirektorat Tindak Pidana Pencucian Uang Bareskrim Polri beberapa waktu lalu menangkap pria berinisial C (27) usai mendapat laporan dari masyarakat.

Direktur Tindak Pidana Ekonomi dan Khusus, Brigadir Jenderal Pol Agung Setya mengatakan, C ditangkap karena diduga menjual data nasabah. Menurut Agung, data nasabah perbankan harus dilindungi kerahasiaannya. Tidak boleh ada pihak-pihak yang mengambil informasi data nasabah kemudian dijual kepada pihak lain untuk keuntungan pribadi.

"Ini merupakan perbuatan melanggar hukum, di mana nasabah sudah dilindungi oleh undang–undang dengan tindakan yang dilakukan tersangka," ujar Agung.

Akibat bocornya data tersebut, nasabah tentu dirugikan, sementara kepercayaan terhadap perbankan pun juga terancam. Tersangka, tutur dia, sudah melakoni bisnis jual-beli data nasabah sejak 2014. "Dia menggunakan uang hasil penjualan data nasabah untuk keperluan pribadinya," Agung menjelaskan.

Sekretaris Perusahaan PT Bank Mandiri Tbk, Rohan Hafas menuturkan, salah satu perilaku masyarakat yang membuat data pribadi, termasuk rekening yang bisa tersebar ke publik, bahkan parahnya lagi diduplikasi, yakni menggesekkan kartu kredit atau kartu debet selain ke mesin EDC, juga ke keyboard komputer maupun mesin cash register kasir.

"Kalau konsumen sering berbelanja ke mal atau toko modern, membayar pakai kartu debet atau kar‎tu kredit, kan biasanya digesek ke mesin EDC. Itu normal tidak apa karena sudah ada peraturan dan etikanya terlindungi secara sistem," tutur dia.

"Tapi setelah itu, si kasir biasanya gesek lagi di keyboard komputer atau mesin cash register. Nah, itu tidak boleh. Jangan mau, karena itu merekam data nasabah di komputer atau hardisk PC mereka," Rohan menambahkan.

"Kalau komputer atau hardisk dikasihkan ke temannya misal, terus di-download, ya dapat itu semua data konsumen. Magnetiknya membaca data itu, kemudian kartu kosong baru disuntik data nasabah, jadilah kartu kloning," kata Rohan.

Potensi besar

Banyak pihak ingin mendapat data nasabah karena potensinya cukup besar. Berdasarkan data Bank Indonesia, jumlah kartu kredit yang beredar hingga Juli 2017 mencapai 16,85 juta kartu. Untuk kartu debit lebih banyak lagi, yaitu mencapai 143,12 juta kartu.

Berapa nominal atau nilai transaksinya? Untuk kartu debit dari Januari hingga Juli 2017 mencapai Rp 3.526,47 triliun. Sementara untuk kartu kredit periode Januari hingga Juli 2017 mencapai Rp 171, 15 triliun. 

2 dari 4 halaman

Sudah Dilarang

Sebenarnya, BI telah melarang penggesekan ganda dalam transaksi nontunai sejak tahun lalu melalui Peraturan Bank Indonesia Nomor 18/40/PBI/2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran.

Pada Pasal 34 huruf b, Bank Indonesia (BI) melarang penyelenggara jasa sistem pembayaran menyalahgunakan data dan informasi nasabah maupun data dan informasi transaksi pembayaran selain untuk tujuan transaksi pemrosesan pembayaran. Tercakup di dalamnya adalah larangan pengambilan data melalui mesin kasir di pedagang.

"Kami tegaskan bahwa yang melakukan transaksi di EDC tidak diperkenankan di-swipe (gesek) di mesin kasir," tegas Gubernur BI, Agus Martowardojo, pada Selasa kemarin.

Konsumen berhak menolak jika kartu kredit atau kartu debitnya digesek dua kali baik di mesin EDC maupun mesin kasir. Sebab, kartu hanya boleh digesek sekali di mesin EDC, dan tidak boleh dilakukan penggesekan lainnya, termasuk di mesin kasir.

"Si pemegang kartu harus meyakini bahwa kalau sudah digesek di EDC, tidak boleh digesek lagi di mesin kasir. Sebab, bisa terjadi profile dan data pemegang kartu di-copy dalam mesin kasir," kata dia.

Menurut dia, salah satu penyebab kebocoran data nasabah karena terjadinya penggesekan dua kali. "Kalau sampai hal itu (penggesekan ganda) masih terjadi, mitra merchant harus ambil tindakan. Itu perhatian BI untuk melindungi konsumen," tegas Agus.

Konsumen berhak menolak jika kartu kredit atau kartu debitnya digesek dua kali, baik di mesin EDC maupun mesin kasir. Sebab, kartu hanya boleh digesek sekali di mesin EDC, dan tidak boleh dilakukan penggesekan lainnya, termasuk di mesin kasir.

"Oh iya, harus menolak. Si pemegang kartu harus meyakini bahwa kalau sudah digesek di EDC, tidak boleh digesek lagi di mesin kasir karena itu bisa terjadi profile dan data pemegang kartu di-copy dalam mesin kasir," tegasnya.

3 dari 4 halaman

Komentar Pengusaha Ritel

Pengusaha tergabung dalam Asosiasi Pengusaha Ritel Indonesia (Aprindo) kembali mengingatkan anggotanya agar tak melakukan penggesekan ulang di mesin kasir dan EDC. Aprindo akan segera mengirim surat edaran resmi ke para anggota.

Sekretaris Jenderal Aprindo Solihin mengatakan, ketentuan terkait larangan tersebut telah ada sejak tahun 2016. Pengusaha, ujar dia, berusaha mengikuti ketentuan tersebut. "Ini kan instruksi Bank Indonesia (BI) tertuang dalam Peraturan Bank Indonesia Nomor 18/40/2016. Di situ disebutkan Pasal 34 huruf b tidak boleh melakukan penggesekan ulang atau dua kali," kata dia kepada Liputan6.com.

Solihin akan menyurati para anggotanya, sehingga tidak melakukan penggesekan dua kali pada kartu kredit maupun debit. "Jadi intinya Aprindo, saya buatkan surat untuk diedarkan ke seluruh anggota untuk tidak melakukan double swipe dan itu tertuang dalam Peraturan Bank Indonesia Nomor 18 Tahun 2016, jelas Pasal 34 huruf b. Itu yang akan Aprindo lakukan," ujar dia.

Dia mengatakan, surat edaran ini tengah diproses. Dia bilang, para anggota akan menerima surat edaran itu pada pekan ini. "Masih proses, tapi diharapkan dalam minggu ini semua terima," tukas dia.

Corporate Communication General Manager PT Sumber Alfaria Trijaya Tbk (AMRT), Nur Rachman, menuturkan pihaknya hanya menggesek kartu kredit dan debit di mesin EDC saja untuk layanan nontunai di seluruh toko Alfamart.

"Kami tidak memiliki tools untuk dilakukan swipe di mesin kasir. Sehingga kebijakan pelarangan double swipe nanti tidak akan berpengaruh terhadap proses bisnis Alfamart," ujar Nur Rachman, saat dihubungi Liputan6.com.

Ia menegaskan, pihak bank dan konsumen tidak perlu khawatir terkait keamanan dan kerahasiaan datanya ketika berbelanja di toko Alfamart. Selain itu, menurut Nur, transaksi nontunai, terutama memakai kartu kredit, di Alfamart masih belum besar.

Direktur Pemasaran PT Indomarco Prismatama, pengelola Indomaret Wiwiek Yusuf menuturkan, pihaknya sudah mengikuti aturan BI tersebut. Jadi transaksi pembayaran nontunai hanya satu kali gesek lewat EDC. "Kami sudah sesuai aturan itu. Mesin kasir tidak bisa baca kartu kredit, jadi tidak punya sarana untuk itu," ujar Wiwiek saat dihubungi Liputan6.com.

Demikian juga dikatakan Sekretaris Perusahaan PT Ace Hardware Tbk (ACES) Helena Tanzil. "Kami sudah implementasikan sesuai peraturan Bank Indonesia yang berlaku, yaitu hanya satu kali di mesin EDC saja. Kami sudah tidak melakukan penggesekan ganda lagi sejak peraturan dikeluarkan," ujar Helena lewat pesan singkat.

Sementara itu, Direktur PT Ramayana Lestari Sentosa Tbk (RALS) Suryanto mengatakan, larangan BI soal penggesekan berganda tidak ada masalah bagi perseroan selaku merchant bank. Sementara kasir di gerai Ramayana hanya input nomor kartu secara manual. "Selanjutnya kami akan bekerja sama dengan bank supaya EDC bisa terkoneksi nomor kartu ke mesin kasir. Sambil menunggu surat dari bank masing-masing dan upgrade program EDC mereka," ujar Suryanto.

Suryanto juga ingin aturan larangan penggesekan ganda dalam transaksi nontunai ini perlu disosialisasikan kepada seluruh asosiasi yang berhubungan dengan penerimaan pembayaran nontunai. Kemudian asosiasi masing-masing sosialisasikan kepada anggotanya. Suryanto mengaku, kalau pihaknya belum dapat sosialisasi soal aturan larangan penggesekan ganda dalam transaksi nontunai baik kartu kredit dan kartu debit.

"Belum (sosialisasi), meski pun peraturan di pasal 34 sudah diatur, tapi belum ada sosialisasinya. Pelaksanaan teknisnya belum disosialisasi," ujar Suryanto.

4 dari 4 halaman

Aksi Sindikat

Menurut Pratama Persadha, jual beli data nasabah dilakukan oleh sindikat. Saat ini banyak muncul kelompok underground yang menawarkan data-data korban dari kartu kosong tersebut.

"Banyak toko-toko dan merchant yang enggak peduli bentuk kartunya, yang penting mereka maunya dibayar dengan transaksi apa pun termasuk nontunai. Nah, mereka tidak tahu risiko dari penggesekan ganda. Data-data itu bisa dicuri oleh mereka (sindikat)," ujar Pratama.

Parahnya, ujar Pratama, data pengguna di kartu kredit yang dibobol bisa digunakan sindikat untuk belanja online. Ia mengambil contoh pada kasus besar kartu kredit palsu seperti Master Card dan Visa yang diretas beberapa waktu lalu.

"Waktu itu hacker kesal karena Visa dan Master Card menolak untuk digunakan untuk sebagai sarana pembayaran donasi ke WikiLeaks, kemudian datanya dibagikan ke Deep Web," ujarnya menerangkan.

 

Tak hanya di Indonesia, kasus jual beli data nasabah kartu kredit juga menjadi permasalahan pelik di luar negeri. Dikutip dari thesun.co.uk, terdapat jual beli data nasabah pengguna kartu kredit di Dark Web.

Harganya fantastis. Untuk mendapat data pengguna kartu Visa Classic dan Mastercard penduduk Inggris, seorang hacker bisa membeli dengan harga 28 pound sterling atau Rp 486 ribu per data (kurs 1 pound sterling = Rp 17.367).

Untuk data pengguna kartu kredit di Amerika Serikat, mereka yang berminat bisa membelinya dengan harga 11 pound sterling atau Rp 191 ribu per data. Sementara untuk pengguna kartu Visa Premium, datanya bisa didapat dengan membayar 35-42 pound sterling atau sekitar Rp 607 ribu-Rp 729 ribu per data.

Hacker bukanlah satu-satunya pihak yang bertanggung jawab atas kejadian ini. Pihak penyedia layanan kartu kredit ternyata turut memiliki andil dalam kasus jual beli data penggunanya.

Laporan investigasi jurnalis Amerika Serikat Kate Kaye pada 2013 bercerita tentang penyedia kartu kredit Mastercard dan American Express yang juga memperjualbelikan data penggunanya pada pihak luar dalam bentuk kode pos. Biasanya, pembeli favorit data kartu kredit ini adalah agensi periklanan. Mereka menggunakan data tersebut demi menggaet pembeli produk yang ditawarkan.