jam

Sabtu, 17 November 2012

Contoh kasus Fraud


Berikut adalah beberapa contoh fraud yang telah ditangani oleh kepolisian  dan yang telah diekspose  ke media informasi.Secara umum keseluruhan contoh  kasus dibawah ini adalah fraud yang dilakukan oleh internal sistem dengan media komputer pada sistem tersebut .Berikut contoh kasus fraud :
  • Pembobolan Kantor Kas Bank Rakyat Indonesia (BRI) Tamini Square. Melibatkan supervisor kantor kas tersebut dibantu empat tersangka dari luar bank. Modusnya, membuka rekening atas nama tersangka di luar bank. Uang ditransfer ke rekening tersebut sebesar 6 juta dollar AS. Kemudian uang ditukar dengan dollar hitam (dollar AS palsu berwarna hitam) menjadi 60 juta dollar AS.
  •  Pencairan deposito dan melarikan pembobolan tabungan nasabah Bank Mandiri. Melibatkan lima tersangka, salah satunya customer service bank tersebut. Modusnya memalsukan tanda tangan di slip penarikan, kemudian ditransfer ke rekening tersangka. Kasus yang dilaporkan 1 Februari 2011, dengan nilai kerugian Rp 18 miliar.
  • Bank Negara Indonesia (BNI) Cabang Margonda Depok. Tersangka seorang wakil pimpinan BNI cabang tersebut. Modusnya, tersangka mengirim berita teleks palsu berisi perintah memindahkan slip surat keputusan kredit dengan membuka rekening peminjaman modal kerja.
  • Pencairan deposito Rp 6 miliar milik nasabah oleh pengurus BPR tanpa sepengetahuan pemiliknya di BPR Pundi Artha Sejahtera, Bekasi, Jawa Barat. Pada saat jatuh tempo deposito itu tidak ada dana. Kasus ini melibatkan Direktur Utama BPR, dua komisaris, komisaris utama, dan seorang pelaku dari luar bank.
  • Pada 9 Maret terjadi pada Bank Danamon. Modusnya head teller Bank Danamon Cabang Menara Bank Danamon menarik uang kas nasabah berulang-ulang sebesar Rp 1,9 miliar dan 110.000 dollar AS.
  • Penggelapan dana nasabah yang dilakukan Kepala Operasi Panin Bank Cabang Metro Sunter dengan mengalirkan dana ke rekening pribadi. Kerugian bank Rp 2,5 miliar.
  • Pembobolan uang nasabah prioritas Citibank Landmark senilai Rp 16,63 miliar yang dilakukan senior relationship manager (RM) bank tersebut. Inong Malinda Dee, selaku  RM, menarik dana nasabah tanpa sepengetahuan pemilik melalui slip penarikan kosong yang sudah ditandatangani nasabah.
  • Konspirasi (persekongkolan)  kecurangan investasi/deposito senilai Rp 111 miliar untuk kepentingan pribadi Kepala Cabang Bank Mega Jababeka dan Direktur Keuangan PT Elnusa Tbk.

Jenis Fraud Dan Pencegahannya


a. Pencurian Data

Kegiatan pencurian data umumnya dilakukan oleh fraudster dengan memanfaatkan sistem keamanan jaringan  suatu perusahan yang lemah dengan menggunakan suatu software hacking  tertentu  .Secara umum sasaran umum dari fraud  ini adalah  data yang berhubungan dengan data kartu kredit nasabah (carding).
Cara perusahaan melindungi diri dari pencurian data adalah sebagai berikut :
  • menggunakan dan secara teratur memperbarui perangkat lunak antivirus
  • membatasi akses fisik ke data pemegang kartu
  • mengembangkan dan memelihara sistem dan aplikasi pengaman khusus
  • mengenkripsi transmisi data pemegang kartu saat melewati jaringan publik/terbuka
  • melacak dan memantau semua akses ke sumber daya jaringan dan data pemegang kartu secara terus menerus.

b. Penggelapan (Embezzlement)

merupakan  kegiatan  fraudster  sebagai  bagian dari sistem,atau pegawai pada suatu perusahaan itu sendiri yang menyalahgunakan wewenang maupun jabatan untuk memperkaya diri sendiri.contoh fraud jenis ini adalah  pencucian uang/money laundering, memanipulasi laporan keuangan dan sebagainya.


Cara  perusahaan  melindungi diri  dari dari tindak penggelapan adalah sebagai berikut :
  • Melakukan audit eksternal terhadap Laporan Keuangan
  • Membuat dan menetapkan kode etik karyawan
  • Melakukan manajemen sertifikasi atas Laporan Keuangan
  • Melakukan penelaahan Manajemen keuangan dan karyawan
  • Mengembangkan program dukungan karyawan
  • Memberikan pelatihan mengenai fraud bagi manajemen/eksekutif
  • Menyediakan tips anti-fraud secara online bagi karyawan
  • Memberikan pelatihan anti-fraud bagi karyawan
  • Melakukan audit internal secara mendadak
  • Menyediakan hadiah bagi pelapor tindak penggelapan.

c. Penipuan Atas Jasa Perbankan Online (Online Banking)

Kebutuhan suatu perusahaan pada sebuah bank sebagai tempat penyimpanan uang , pencairan modal,transaksi online atau bisa dikatakan bank adalah pemegang semua urusan keuangan pada suatu perusahaan merupakan sasaran empuk yang dimanfaatkan oleh fraudster.Fraudster dalam masalah ini umumnya dilakukan oleh  orang luar/hacker yang berusaha mencari lubang keamanan pada sistem atau berusaha melakukan hacking saat terjadi komunikasi antara perusahaan dengan bank
Selain hacker/orang luar tentunya orang dalam/internal sistem baik pegawai perusahaan atau pegawai  bank yang ‘nakal’ tentunya bisa juga melakukan hal ini dengan mudah,mengingat pelaku mengetahui privasi dari sistem itu sendiri.
Bagaimana perusahaan dapat melindungi diri dari penipuan perbankan online?
  • Melakukan rekonsiliasi rekening bank pada setiap akhir bulan.
  • Melakukan evaluasi dan persetujuan yang cermat atas seluruh transaksi kas keluar
  • Menempatkan lebih lebih dari satu orang untuk mengendalikan akun
  • Menggunakan komputer khusus yang didedikasikan untuk online banking
  • Mengembangkan pendidikan pencegahan fraud bagi karyawan

d.Penipuan/penggelapan Atas Cek 

Fraud jenis ini  menggunakan cek sebagai sarana penipuan,.Keteledoran dalam penyimpan cek kosong ataupun kurangnya pengawasan dalam persetujuan pengeluaran kas merupakan kesempatan emas yang digunakan seorang fraudster berkedok pegawai persahaan untuk melakukan aksinya. Penipuan  ini juga dapat dilakukan oleh pegawai bank dengan cara penyalahgunaan tanda tangan maupun manipulasi data cek.

Untuk pelaku orang luar/hacker biasa melakukan fraud jenis ini dengan memanipulasi cek dari rekening  korban ,dimana sebelumnya hacker tersebut telah berhasil mendapatkan data pribadi atau data rekening perbankan dari korban.

Banyak langkah pencegahan yang ampuh untuk melindungi diri dari penipuan perbankan online, juga ampuh untuk melindungi diri terhadap penipuan cek. berikut adalah  langkah yang bisa diambil perusahaan untuk memastikan mereka benar-benar aman dari tindak kejahatan penipuan (fraud):
  • Pastikan cek memiliki fitur keamanan yang cukup. Misalnya: dengan menggunakan alat pemeriksaan keamanan berteknologi tinggi. Disamping dapat mencegah, jikapun tetap terjadi perusahaan dapat menunjukkan itu kepada pihak bank sebagai bukti bahwa perusahaan telah mengambil langkah-langkah pencegahan secara sungguh-sungguh.
  • Maksimalkan usaha-usaha agar perusahaan menerapkan metode (cara) administrasi yang aman dengan mengimplementasikan ‘Sistem Pengendalian Intern (SPI)’ secara ketat di seluruh bagian dan tingkat operasional perusahaan. Misalnya: pemisahan fungsi antar staff akuntansi dengan jelas dan tegas.
  • Hancurkan semua buku cek kosong dari rekening bank yang tidak aktif (telah ditutup) sesegera mungkin.
  • Gunakan fitur layanan membayar tertentu untuk mencegah adanya kliring rekening atas cek tidak sah.
  • Baca dengan seksama kontrak perjanjian dengan pihak bank untuk memahami hak dan kewajiban jika suatu saat nanti perusahaan mengalami kerugian akibat tindak penipuan dari pihak lain.
  • Periksa buku cek baru begitu diterima dari bank. Simpan buku cek yang belum dipakai di tempat yang sungguh-sungguh aman, dalam kondisi terkunci. Jika buku cek diterima dalam keadaan tersegel, jangan buka segel sampai cek dipakai.
  • Selalu jaga keamanan buku cek dan slip (formulir bank) yang tidak terpakai atau dibatalkan, stempel perusahaan dan stempel tandatangan (jika memakai), dengan menyimpannya di tempat yang terkunci hanya bisa diakses oleh orang yang diberi wewenang.                                     (dikutip dari www.jurnalakuntansikeuangan.com dengan perubahan)

Kamis, 15 November 2012

Fase-fase Hacking/Fraud


Merupakan urutan kejadian/proses kejahatan yang dilakukan oleh seorang cybercrime/fraudster secara detail adalah sebagai berikut : 
a. Foot Printiing
Pada fase ini hacker berusaha untuk memperoleh informasi sebanyak-banyaknya mengenai target atau calon korban seperti nama domain, alamat IP, teknologi yang ada, teknikal kontak dan sebagainya.
b. Scanning
            Pada fase ini hacker mulai melakukan probing atau penyelidikan terhadap korban untuk mencari lubang security yang bisa di eksploitasi atau sebagai pintu masuk ke sistem yang ingin diserang.
c. Enumuration
            Merupakan telaah intensif terhadap sistem, mencari user account yang absah, resource dan aplikasi yang sedang berjalan pada sistem.
d. Gaining Access ( Mendapatkan akses )
            Apabila ditemukannnya lubang security, maka yang dilakukan selanjutnya adalah  mencoba memasuki sistem tersebut atau mendapatkan akses.
e. Escalating Privilege
            Bila telah mendapatkan user password di tahap sebelumnya, di tahap ini di usahakan mendapat privilese admin jaringan dengan password cracking atau melakukan eksplotasai.
f. Pilfering
            Proses pengumpulan informasi di mulai lagi untuk mengidentifikasi mekanisme untuk mendapatkan akses ke trusted system. Mencakup evaluasi trust dan pencarian cleartext password di registry, config file, dan user data.

g. Covering Tracks
            Fase ini merupakan fase yang cukup sulit untuk dilakukan dan merupakan fase yang banyak dilupakan oleh para hacker. Umumnya mereka meninggalkan jejak di log file ( firewall, IDS, sistem operasi, aplikasi dan lainnya ) file-file log ini bisa dianalisa dengan teknik-teknik forensik oleh para penyelidik atau tim forensik. Dan bahkan file log tersebut sudah di hapus oleh hacker, file yang sudah di hapus tersebut juga bisa dikembalikan ( retrieve ) sehingga bisa menjadi bukti di pengadilan. Itulah kenapa hacker berhasil ditangkap dan berakhir di penjara.
H. Creating Backdoors
            Untuk memudahkan masuk kembali ke dalam sistem tanpa harus memulai semua proses dari awal, maka dibuatlah pintu belakang dengan cara membentuk user account palsu, menjadwalkan catch job, mengubah startup file, menanamkan servis kendali jarak jauh serta monitoring system.
i. Denial of service
            Serangan ini memaksa target ke dalam suatu kondisi yang kacau sehingga menghentikan layanannya kepada yang lain. Terdapat beberapa cara yang dapat memicu kondisi kacau ini, seperti membanjiri target dengan usaha-usaha koneksi meliputi SYSN flood, teknik-teknik ICMP,  dan lain-lain. Metode ini merupakan usaha terakhir jika usaha-usaha yang dilakukan di atas mengalami kegagalan.
            Dengan menggunakan metode- metode di atas hacker melakukan penyerangan dengan berbagai teknik seperti eksploitasi langsung ke sistem, spoofing ( penyamaran ), sniffing (capture data), dan social engineering (rekayasa sosial).

( dikutip dari Wawan marliansyah,2008,Komputer Forensik,Universitas Sriwijaya)