Keamanan Perbankan

EMV (Europay Mastercard Visa) adalah sebuah konsorsium yang dibuat untuk membuat standarisasi transaksi elektronik. Tujuan dari EMV adalah membuat interopabilitas transaksi antar bank sehingga suatu kartu elektronik dapat dipakai antar mesin-mesin EDC. Kartu BCA Flazz merupakan salah satu kartu yang memenuhi standar tersebut. Versi transaksi yang biasa dipakai adalah EMV versi 4 dan standar terbaru yang efektif mulai berjalan adalah standar 4.2.

Baru-baru ini sebuah riset menemukan celah keamanan dalam protokol EMV mengenai verifikasi PIN.[1] Dengan menggunakan sebuah alat dan kartu yang termodifikasi, seorang pencuri kartu dapat memasukkan nomor PIN ke dalam mesin dan membuatnya seakan-akan terverifikasi oleh kartu. Hal ini dapat terjadi karena ketika sebuah mesin EDC berkomunikasi dengan kartu untuk melakukan verifikasi PIN, sebuah alat membajak komunikasi di tengah-tengah dan memberikan pesan terverifikasi seakan-akan dari kartu. [2] Setidaknya serangan ini efektif terhadap bank-bank di Inggris. [3].

Menurut [4], celah keamanan ini memiliki pengaruh sebagai berikut:

  1. Transaksi daring dengan menggunakan kartu-kartu ini sangat mudah ditipu.
  2. Jumlah transaksi tidak terbatasi.
  3. Serangan ini tidak berfungsi kepada kartu yang sudah diblokir oleh bank. Itu sebabnya serangan ini berlaku antara waktu kartu hilang sampai pemilik melaporkan ke bank untuk kartu diblokir.
  4. Serangan ini berpengaruh kepada Bank yang menerapkan standar EMV.

Saya tidak tahu apakah BCA Flazz termasuk yang terkena. Seingat saya ketika melakukan pengamatan, kartu BCA Flazz sepertinya menggunakan Javacard (mengingat mereka bekerja sama dengan Gemalto). [5] Setahu saya, kartu-kartu Javacard Gemalto sudah menggunakan standarisasi GlobalPlatform 2.1.1. Standarisasi ini diakui oleh EMV sebagai salah satu protokol yang dapat digunakan dalam transaksi keuangan. Salah satu fitur GP 2.1.1 ini adalah pembuatan kanal komunikasi terenkripsi dengan mesin EDC sehingga data yang dikomunikasikan terenkripsi. Apakah BCA Flazz mengimplementasi fitur ini? Saya tidak tahu.

Keamanan adalah sebuah investasi yang mahal dan cepat sekali berubah. Semoga tulisan ini memberikan pencerahan bahwa keamanan yang terbaik adalah ketika kita berhati-hati terhadap transaksi keuangan yang kita lakukan. Hindari transaksi daring.


Silakan lihat lebih lanjut tayangan di bawah ini mengenai laporannya:

[youtube JPAX32lgkrw]


  1. Tom Espiner. Chip and PIN is broken, say researchers. ZDNet UK, 11 Februari 2010 17:01 <http://www.zdnet.co.uk/news/security-threats/2010/02/11/chip-and-pin-is-broken-say-researchers-40022674/> ^
  2. Steven J. Murdoch, Saar Drimer, Ross Anderson, dan Mike Bond. EMV PIN verification “wedge” vulnerability. (terakses 30 Desember 2010)<http://www.cl.cam.ac.uk/research/security/banking/nopin/> ^
  3. Cambridge researchers show that the Chip and PIN system is vulnerable to fraud. 11 Februari 2010 <http://www.cl.cam.ac.uk/research/security/banking/nopin/press-release.html> ^
  4. Ross Anderson.Chip and PIN is broken. 11 Februari 2010 (Terakses 30 Desember 2010)<http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/> ^
  5. http://www.gemalto.com/brochures/download-newsletters/FS-01.pdf ^

Jan Peter Alexander Rajagukguk

One of system administrator at Universitas Indonesia. His current interests are in smart card technology, pervasive computing, and free/open source software. He is an evangelist of free/open source movement and using FOSS actively.