Analisa Interface e-banking Bank Mandiri

Internet Banking

Internet   banking   merupakan   sebuah   layanan perbankan dengan media komunikasi internet yang disediakan  oleh  bank  untuk  para  nasabahnya. Dengan   layanan   ini,   para   nasabahnya   dapat melakukan berbagai aktivitas perbankan tanpa perlu beranjak dari tempat duduk. Mulai dari pengecekkan saldo, transfer uang, hingga pembelian pulsa telepon pun sudah dapat dilakukan.

Kelebihan

Berbagai  kelebihan  yang  dapat  diperoleh  baik nasabah maupun bank dari layanan Internet Banking antara lain:

a.   Business expansion

Mempermudah perluasan daerah operasi bank. Dengan Internet banking, bank, layanan perbankan dapat diakses dimana saja dan kapan saja, tanpa perlu membka kantor cabang baru.

 b.  Customer loyalty

Nasabah akan merasa lebih nyaman untuk melakukan aktivitas perbankannya tanpa harus membuka akun di bank yang berbeda-beda I berbagai tempat.

c.   Revenue & cost improvement

Biaya untuk memberikan layanan ini dapa lebih murah dibandingkan dengan membuka kantor cabang baru.

d.  Competitive advantage

Dengan membuka layanan Internet Banking, Bank akan memiliki keuntungan lebih dibandingkan dengan kompetitor lain dalam melayani nasabahnya.

e.   New Business Model

Layanan ini memungkinkan adanya model bisnis yang baru.       

Keamanan Internet

Secara  umum,  hubungan  koneksi  internet  dengan pengguna  layanan  internet  Banking  dapat  dilihat pada gambar berikut:

Dapat dilihat pada gambar  1, pengguna terhubung dengan  jaringan  internet  melalui  layanan  Internet Service    Provider (ISP).    Biasanya,    koneksi menggunakan modem, DSL, kabel modem, wireless, maupun   dengan   leased   line.   Lalu   ISP   akan  menghubungakan  pengguna  ke  internet  melalui penyedia jaringan  (network provider). Hal ini juga berlaku pada layanan Internet Banking. Server akan 

terhubung  ke  internet  melalui  ISP  atau  penyedia jaringan lainnya.

Dari gambar, dapat ditunjukkan pula potensi celah keamanan  yang     yang  dapat  terjadi.  Dari  sisi pengguna, komputer miliknya dapat disisipkan virus atau Trojan sehingga data - data di dalamnya dapat diubah atau diambil. Dari sisi ISP, apabila sistem keamanannya   rentan, maka seorang cracker dapat menbobolnya dan dapat mengambil data pelanggan ISPnya. Dari sisi penyedia layanan Internet Banking 

pun  juga  terdapat  potensi  celah  keamanan.  Salah satu yang terjadi kasus di Amerika seorang cracker menjebol  institusi  keuangan  dan  mengambil  data nasabah  dari berbagai bank.  Begitu pula dari sisi jalur ISP dan pengguna, biasanya hal ini terjadi   di tempat  umum,  seperti  warnet.  Pengguna  warnet dapat  disadap  informasinya  dari  pemilik  warnet yang tidak bertanggung jawab.

Aspek Keamanan

Pada intinya, aspek keamanan komputer mempunyai beberapa lingkup yang penting, yaitu:

a.   Privacy & Confidentiality 

Hal yang paling penting dalam aspek ini adalah  usaha  untuk  menjaga  data  dan informasi  dari pihak    yang tidak diperbolehkan mengkasesnya. Privacy lebih  mengarah  kepada  data-data  yang sifatnya  privat. Sebagai  contoh,  email pengguna yang tidak boleh dibaca admin. Sedangkan   confidentiality   berhubungan dengan data yang diberikan kepada suatu pihak   untuk   hal   tertentu   dan   hanya diperbolehkan untuk hal itu saja. Contohnya, daftar pelanggan sebuah ISP.

b.  Integrity 

Aspek   ini   mengutamakan   data atau informasi tidak boleh diakses tanpa seizin pemiliknya. Sebagai contoh, sebuah email yang  dikirim  pengirim  seharusnya  tidak dapat dibaca orang lain sebelum sampai ke tujuannya.

c.   Authentication

Hal  ini  menekankan  mengenai  keaslian suatu data/informasi, termasuk juga pihak yang  memberi  data  atau  mengaksesnya tersebut merupakan pihak yang dimaksud. Contohnya  seperti  penggunaan  PIN  atau password.

d.  Availability 

Aspek    yang    berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sebuah  sistem  inofrmasi  yang  diserang dapat menghambat ketersediaan informasi yang diberikan.

e.   Access Control

Aspek   ini   berhubungan dengan cara pengaksesan  informasi.  Hal  ini  biasanya berhubungan   dengan   klasifikasi   data (public, private confidential, top secret) & user (guest,  admin,  top  manager,  dsb.), mekanisme    authentication dan juga privacy.   Seringkali   dilakukan dengan menggunakan kombinasi user ID/password dengan  metode  lain  seperti  kartu atau biometrics.

f.   Non-Repudiation 

Hal  ini  menekankan  agar  sebuah  pihak tidak  dapat  menyangkal  telah  melakukan transaksi  atau  pengaksesan  data  tertentu.

Aspek  ini  sangat  penting  dalam  hal  e-commerce. Sebagai contoh, seseorang yang mengirim  email pemesanan  barang  tidak dapat  disangkal  telah  mengirim  email tersebut.

Internet Banking Mandiri

Prosedur Pengaksesan Layanan

Untuk dapatmenikmati  layanan  Internet  Banking  Mandiri, seorang nasabah harus mengikuti prosedur 

berikut:

a.   Melakukan  pendaftaran  awal  yang  dapat dilakukan di ATM atau di Kantor Cabang Mandiri.

b.  Nasabah  akan  mendapatkan  Token  PIN Mandiri, sebuah alat PIN generator dinamis yang   digunakan   untuk   aktivasi   setiap aktivitas perbankan menggunakan Internet Banking.

c.   Melakukan   aktivasi   Internet   Banking Mandiri. Dilakukan pada situs resmi Bank Mandiri.

d.  Nasabah  akan  mendapatkan  user  ID  dan PIN yang dibuat pada langkah c. Nasabah sudah   dapat   login   ke   layanan,   untuk melakukan aktivasi Token PIN Mandiri.

Pengujian Keamanan

Secara umum, hal yang paling sering diserang para penyusup untuk masuk ke dalam sebuah situs yang terproteksi   adalah   dengan   mendapatkan   akses masuknya,  atau  sisi  Autentikasi.  Karena  hanya 

dengan mengetahu user ID dan password kita dapat melakukan  apapun  yang  kita  inginkan.  Dalam 

pengujian  keamanan  layanan  ini,  penulis  akan mencoba  melakukannya  dengan  dua  cara,  yaitu

dengan  menggunakan  proses sniffing.

Passive Snifing

Snifing merupakan sebuah aksi penyadapan paket data  yang  dikirimkan  sebuah  computer ke server tertentu.  Terdapat  dua  jenis  aksi  sniffing,  yaitu passive  dan  active. Perbedaannya  hanyalah  jika active melakukan aksi perubahan paket data dalam  melakukan sniffing, sedangkan passive tidak. Kali  ini  penulis  akan  mencoba   melakukan passive sniffing dengan bantuan perangkat lunak Wireshark. Dengan  perangkat  lunak  ini,  melakukan sniffing dan mengambil paket data yang berasal dari korban yang mengakses Internet Banking Mandiri. Dalam  log  file  yang  direkam  Wireshark,  mendapatkan bahwa data yang terambil terenkripsi. Hal  ini  disebabkan  karena  penggunaan  SSL  dari Internet Banking Mandiri sehingga walaupun paket data  terambil,  data  yang  bisa  terbaca  hanya  data acak.