11
Skimming adalah salah satu metode fraud yang dilakukan dengan mencuri data nasabah yang tersimpan dalam kartu dan PIN.
sebagaimana diuraikan dalam boks Berbagai Macam Kategori Fraud. Untuk penanganan
fraud, Bank Indonesia telah meminta kepada
Berbagai Macam Kategori Fraud APMK
Perkembangan sistem pembayaran tidak akan pernah terlepas dari perkembangan teknologi. Ketika suatu teknologi baru tercipta, maka tak bisa dielakkan lagi bahwa penciptaan suatu teknologi baru akan berdampak pada sebuah penciptaan inovasi dan gagasan pada sistem pembayaran. Kemudahan-kemudahan yang saat ini dirasakan oleh para pengguna instrumen pembayaran dalam melakukan mekanisme pembayaran merupakan buah manis dari inovasi tersebut. Mekanisme pembayaran akan menjadi semakin mudah karena tidak perlu lagi membawa uang tunai dalam jumlah banyak, prosesnya semakin cepat dan bisa dimana saja, bahkan terkadang disediakan bonus berupa tambahan fasilitas, seperti diskon di merchant-merchant.
Namun, perkembangan sistem pembayaran ini juga memicu timbulnya pihak-pihak tertentu yang ingin mengambil kesempatan dan keuntungan dari teknologi yang kian berkembang demikian pesat. Sebutlah para pelaku fraud atau yang biasa dikenal dengan sebutan fraudster. Mereka yang sering kali berbuat kejahatan dan kecurangan pada kegiatan penyelenggaraan sistem pembayaran. Fraudsters terus berupaya mencari cara dan menemukan celah untuk membobol teknologi yang digunakan pada mekanisme sistem pembayaran.
Bank Indonesia sebagai otoritas sistem pembayaran mewajibkan para penyelenggara kegiatan Alat Pembayaran Menggunakan Kartu (APMK) mengikuti perkembangan teknologi terutama teknologi keamanan sistem dan secara rutin melakukan audit sistem kemanan mereka. Hal ini dimaksudkan untuk mengurangi fraud APMK sehingga menjaga kepercayaan masyarakat terhadap instrumen pembayaran. Penyelenggara mempunyai amunisi untuk mengantisipasi timbulnya fraud.
Fraudster juga tidak pernah kehabisan akal untuk mencari celah. Ketika para penyelenggara mulai meningkatkan fitur keamanan kartu dari kemungkinan timbulnya kejahatan, para fraudster pun mengambil celah melalui kegiatan transaksi berbasis elektronik yang menggunakan email maupun website untuk berbelanja online yang kerap mengharuskan para pemegang kartu untuk memberikan identitas mereka. Pada gilirannya pencurian identitas pada transaksi online meningkat. Dan ketika para penyelenggara memfokuskan pada peningkatan keamanan untuk berbelanja online, maka fraud pada proses penyampaian kartu dan aktivasinya meningkat.
Cobalah kita refresh ingatan kita pada kasus pembobolan ATM di akhir tahun 2009. Pembobolan dana di rekening nasabah pemegang kartu melalui mesin ATM dilakukan dengan mekanisme skimming. Yaitu modus pencurian identitas dan data yang terdapat di kartu ATM dengan alat rekam data yang dipasang pada mesin. Alat tersebut biasa kita sebut dengan istilah skimmer. Selain itu masih banyak lagi jenis fraud yang teridentifikasi oleh sistem. Untuk lebih jelasnya, marilah kita urai satu demi satu jenis-jenis fraud yang merebak di masyarakat.
1. Lost and Stolen Cards
Fraud jenis ini merupakan modus yang sudah ada sejak munculnya APMK. Cara-cara yang digunakan merupakan cara tradisional. Yaitu dengan melakukan pencurian kartu dari pemegang dengan cara mencurinya langsung baik ketika sedang dipakai maupun ketika disimpan dalam dompet. Namun tidak semua laporan akan kartu hilang patut dicurigai sebagai modus criminal fraud. Bisa saja pemegang kartu
Halaman 43
Marilah kita tengok kembali kasus pembobolan ATM yang sering terjadi. Pembobolan dana di rekening nasabah pemegang kartu melalui mesin ATM dilakukan dengan mekanisme skimming. Yaitu modus pencurian identitas dan data yang terdapat di kartu ATM dengan alat rekam data yang dipasang pada mesin. Alat tersebut biasa kita sebut dengan istilah skimmer. Selain itu masih banyak lagi jenis-jenis
fraud yang teridentifikasi oleh sistem. Untuk lebih jelasnya, dibawah ini kita urai satu demi satu jenis-jenis fraud yang kini merebak di masyarakat.
1. Lost and Stolen Cards
Fraud jenis ini merupakan modus yang sudah ada sejak munculnya APMK. Cara-cara yang digunakan
bersifat tradisional. Yaitu hanya dengan melakukan pencurian kartu dari pemegang, baik dengan cara mencurinya langsung ketika sedang digunakan, maupun ketika disimpan dalam dompet. Namun tidak semua laporan kartu hilang patut dicurigai sebagai modus fraud. Ini bisa saja pemegang kartu melaporkan kartunya hilang atau dicuri tidak lain adalah untuk terbebas dari tagihan-tagihan. Oleh sebab itu, perlu dilihat lagi secara detil kriteria-kriteria yang bisa disebut sebagai kartu hilang, yaitu : 1) Setelah dicuri, biasanya fraudster memakai kartu (biasanya kartu kredit atau kartu debet) untuk melakukan pembelanjaan dengan nilai yang relative kecil tapi sering; 2) Pada umumnya, pemegang kartu akan langsung melaporkan kehilangan/ kecurian kartu saat itu juga. Sehingga dapat terdeteksi pemakaian kartu yang dicuri tersebut adalah tidak kurang dari 72 jam sebelum kartu diblokir setelah ada laporan dari pemilik kartu. Kartu yang telah diblokir akan menjadi tidak berfungsi sebelum pemilik kartu melakukan autorisasi kembali; 3) Ketika modus pencurian kartu mengarah pada modus yang dilakukan oleh kelompok-kelompok tertentu, maka kemungkinan kartu ini akan dijual kembali kepada pihak individual maupun kelompok lain.
2. Fraudulent Applications/FA
Fraudulent application merupakan jenis fraud yang dilakukan fraudster yang berpura-pura sebagai
calon pemegang kartu dengan cara memberikan data-data identitas palsu pada saat pengisian formulir pengajuan kartu baik itu kartu kredit, ATM, dan Debet. Sebagai contoh, ketika seseorang hendak mengajukan kartu kredit baik proses pengajuan secara langsung melalui bank ataupun melalui pengisian form pada internet, maka seorang fraudster akan memberikan identitas yang bukan merupakan identitas dirinya. Kemajuan teknologi yang disalahgunakan, memungkinkan
fraudster mendapatkan identitas pribadi orang lain (Kartu Tanda Penduduk dan nomor kartu kredit)
dari berbagai sumber data yang tidak diamankan dengan baik. Bukannya tidak mungkin juga pelaku
fraudster adalah dari orang terdekat kita. Seseorang yang tidak mempunyai kemampuan secara
finansial untuk mengajukan kartu dapat membuat dirinya layak untuk diberikan kartu dengan memakai identitas salah seorang anggota keluarganya.
3. Account Takeover
Halaman 44
alamat yang terdaftar pada kartu yang telah ada sebelumnya. Kalau fraud Fraudulent Applicants menggunakan modus pembukaan account kartu baru, maka di kasus account takeover ini yang digunakan adalah account yang sudah ada. Maka berhati-hatilah jika ada seseorang yang berniat mengubah alamat yang telah terdaftar atas nama kartu bahkan meminta penambahan kartu atas nama si fraudster. Dia bisa saja menyebutkan dengan detil identitas pemilik kartu. Darimana dia mendapatkan informasi tersebut? Dari surat tagihan bulanan baik yang disampaikan melalui pos maupun melalui email yang dibuang atau diletakkan sekenanya oleh pemilik kartu. Untuk menghindari terjadinya fraud jenis ini, hendaknya sebelum Anda membuang surat penagihan atau
billing statement lain yang memuat informasi identitas, lebih baik dihancurkan terlebih dahulu.
Fraud account takeover juga dapat dilakukan dengan memanfaatkan jaringan komunikasi data dan internet. Bagaimana caranya? Si fraudster mempublikasikan website yang serupa dengan aslinya. Masih ingatkah Anda dengan kasus pemalsuan website bank. Nah dengan menggunakan website palsu ini, yang notabene terkoneksi dengan komputer si fraudster, data-data yang terkirim seperti
user, password dan nomor rekening bank pemilik kartu disadap melalui jaringan yang terlihat aman.
4. Unauthorized Use of Account Numbers
Hampir sama dengan jenis fraud yang sudah-sudah. Fraudster menggunakan kartu yang bukan miliknya untuk melakukan pembelanjaan melalui mekanisme transaksi yang tidak membutuhkan keberadaaan kartu (card not present) dan transaksi bersifat online. Biasanya fraudster hanya membutuhkan identitas lengkap pemilik kartu. Transaksi belanja ini akan ditagihkan kepada pemilik kartu atau account yang sah, sementara produk/jasa yang telah dibeli melalui fasilitas online diterima oleh fraudster. Akibatnya pemilik kartu dibebankan kewajiban pembayaran yang tidak pernah dilakukan sebelumnya oleh si pemilik kartu.
5. Counterfeit Cards and Skimming
Counterfeit cards dan skimming adalah jenis fraud yang paling banyak terjadi. Mekanismenya lebih
canggih dibandingkan dengan fraud jenis lain. Fraud jenis ini biasanya terjadi pada kartu yang masih menggunakan magnetic stripe sebagai media penyimpan data. Ketika kita berbelanja dan bertransaksi menggunakan kartu debet, kita akan memberikan kartu untuk digesek di mesin yang dinamakan Electronic Data Capture (EDC) oleh cashier. EDC tersebut merupakan mesin yang bekerja untuk meng-capture data identitas pemilik kartu dan transaksi yang dilakukannya. Sebagai pemegang kartu, bisa saja kita tidak sadar pada saat kartu kita digesek pada mesin EDC tersebut, kartu kita sedang dipalsukan/digandakan datanya. Pemalsuan/penggandaan kartu menggunakan mekanisme sebagaimana tersebut di atas lebih dikenal dengan istilah skimming, dimana data yang tersimpan pada magnetic stripe digandakan melalui suatu alat yang disebut skimmer yang umumnya dipasang di EDC. Data yang sudah berhasil disimpan dalam skimmer kemudian dicetak ke dalam kartu yang lain (dipalsukan) untuk digunakan sebagaimana kartu aslinya.
Halaman 45
kartu palsu untuk digunakan sebagaimana kartu aslinya. 6. Account Testing
Istilah fraud jenis ini memang jarang terdengar. Namun fraud inilah yang paling dulu dilakukan sebelum fraudster memulai modus operandinya. Kartu-kartu yang dicuri (stolen card) maupun
account number yang didapat dari proses skimming dites validitas dan kelayakannya untuk di-fraud
satu per satu. Tes yang dilakukan cukup sederhana, dengan memakai account tersebut untuk berbelanja online dan melakukan serangkaian otorisasi. Jika lolos dalam proses otorisasi tersebut, maka account atau kartu yang telah dites selanjutnya dapat digunakan dalam modus fraud lainnya. 7. ATM Scams
Mekanisme fraud ini sering ditemukan pada tempat-tempat dimana mesin ATM dipasang. Biasanya di tempat-tempat umum yang kurang ketat penjagaannya maupun di lingkungan yang sepi. Mesin ATM dipasang alat sejenis perekam maupun kamera yang dapat merekam no PIN yang dimasukkan oleh pemilik kartu. Mekanismenya berbeda-beda. Ada yang dilakukan dengan cara memasukkan alat perekam data pada slot tempat kartu dimasukkan maupun kamera yang dipasang tersembunyi untuk merekam penginputan PIN oleh pemilik kartu.
8. Not Received Items (NRI)
Apakah Anda pernah mengajukan permohonan untuk memiliki kartu kredit tapi kartu tersebut tridak pernah sampai ke tangan Anda ? Bisa saja kartu atas nama Anda telah di-fraud. Fraud yang mungkin terjadi dan dikenal dengan istilah Not Received Items (NRI). Fraudster bisa saja adalah orang dalam maupun orang luar yang mendapatkan informasi mengenai pengiriman kartu. Untuk mengantisipasi fraud ini, seluruh penyelenggara APMK telah menjalankan serangkaian Sistem
Operation Procedure (SOP) bahwa ketika dalam waktu 30 hari kartu tidak diterima oleh pemilik
kartu, maka otomatis account pada kartu tersebut diblokir oleh penyelenggara yang menerbitkan. 9. Identity Theft
Fraud jenis ini merupakan salah satu modus yang paling marak saat ini. Dengan sedikit informasi identitas pemilik kartu , fraudster sudah dapat melakukan sejumlah modus kejahatan baik itu penipuan maupun pencurian, seperti membuka rekening di bank dan menerbitkan cek kosong, membuka account kartu kredit kemudian tidak bertanggung jawab menyelesaikan kewajibannya dan lain sebagainya.
10. Phising
Halaman 46
penyelenggara untuk segera melakukan investigasi untuk mengidentifikasi penyebab
fraud, memitigasi risiko, meningkatkan keamanan sistem dan melaporkannya kepada Bank Indonesia. Selain itu juga telah dilakukan edukasi kepada nasabah untuk meningkatkan kesadaran bertransaksi secara aman, diantaranya penggantian PIN secara berkala.
Penggunaan mesin EDC sebagai sarana penarikan tunai dan pemindahbukuan antar nasabah. Hal ini perlu dicermati dan dikaji lebih mendalam dari sisi pengaturan, terutama terkait
dengan definisi dan mekanisme
penyelenggaraan kartu ATM dan kartu debet.
Pengawasan terhadap Penyelenggara Uang Elektronik (E-Money)
Penyelenggara e-money posisi Desember 2009 tercatat sebanyak sembilan penerbit yang terdiri dari lima bank dan empat lembaga selain bank. Jumlah instrumen yang diterbitkan sampai dengan bulan Desember 2009 tercatat sebesar 2,9 juta. Transaksi e-money periode Desember 2009 menjadi 2,01 juta dan nilai transaksi sebesar Rp64,7 miliar. Rata-rata nilai per transaksi instrumen e-money pada bulan Desember 2009 sebesar Rp 32 ribu. Dana float yang tersimpan di instrumen Uang Elektronik (E-money) periode Desember 2009 sebesar Rp75,03 miliar. Secara industri, rata-rata dana yang tersimpan pada 1 (satu) instrumen adalah Rp26 ribu. Jumlah merchant pada periode Desember 2009 sebesar 2,891 dengan jumlah terminal 23.120.
banyak fraudster menggemari mekanisme fraud yang satu ini. Selain tidak perlu susah payah beranjak dari depan layar komputer memantau perkembangan jumlah account yang sudah berhasil didapat,
fraud jenis ini membutuhkan software perekam data yang mulai marak diperjualbelikan di pasar gelap.
Selain itu mereka juga biasanya menduplikasi website perusahaan-perusahaan finansial sehingga tampilannya persis dengan aslinya. Di balik itu semua, website tersebut hanyalah adalah mesin perekam
online yang otomatis merekam sejumlah account kartu kredit dan rekening di bank beserta identitas
lengkap pemiliknya. Dengan mekanisme tersebut, fraudster tinggal duduk tenang dan santai menjemput ladang asset mereka. Satu demi satu account kartu, khususnya kartu kredit yang sering dipakai untuk berbelanja online, terekam data identitas dan transaksi ke dalam server komputer yang dimiliki si fraudster.
11. Pharming
Mekanisme fraud jenis ini merupakan hasil modifikasi dari account testing dan fraud phising. Setelah
fraudster memperoleh data-data identitas melalui metode phising, maka data-data identitas tersebut
dikumpulkan, kemudian dilakukan proses account testing, menguji kelayakan satu demi satu account yang telah ter-capture baik data maupun identitas pemilik kartu. Setelah didapat account yang layak untuk di-fraud maka fraudster tidak langsung memakai account tersebut untuk berbelanja. Mereka menunggu kurang lebih satu tahun untuk menjalankan modus operandi mereka. Biasanya, fraudster yang telah profesional memilih waktu dan tempat yang cocok untuk menjalankan fraud-nya. Setelah
menemukan waktu dan tempat yang cocok, maka fraud
account-account yang telah layak pakai untuk berbelanja sepuas2nya menggunakan account-account tersebut. Istilah
Halaman 47
Pengawasan terhadap Penyelenggara Kegiatan Usaha Pengiriman Uang (KUPU)
Pengawasan terhadap penyelenggara KUPU yang merupakan lembaga selain bank dilakukan secara desentralisasi oleh Kantor Pusat Bank Indonesia dan Kantor Bank Indonesia. Jumlah penyelenggara KUPU yang telah memperoleh izin dari Bank Indonesia tercatat sebanyak 41 Penyelenggara, dari jumlah tersebut sembilan penyelenggara berada di wilayah Bank Indonesia Kantor Pusat.
Berdasarkan hasil on site visit yang telah dilakukan terhadap beberapa penyelenggara terlihat bahwa pemahaman penyelenggara KUPU terhadap proses identifikasi Know Your Customer dan Anti Money
Laundring masih kurang. Terkait dengan hal tersebut,
telah dilakukan sosialisasi kepada penyelenggara KUPU
oleh Bank Indonesia bekerjasama dengan PPATK.
Hasil Financial Sector Assessment Programme (FSAP)
Dalam rangka FSAP oleh International Monetary Fund (IMF) dan World Bank, pada tanggal 6-16 Oktober 2009 telah dilakukan assessment terhadap
pemenuhan prinsip-prinsip pokok (Core Principles) untuk Systemically Important Payment Systems (SIPS) and the Central Bank’s Responsibilities in Payment
Systems. Adapun obyek penilaian di sini adalah Sistem
BI-RTGS yang merupakan SIPS. Metode yang digunakan oleh tim penilai/assessor (IMF dan World
Bank) adalah interview dan penelitian dokumen.
Pengumpulan informasi melalui interview dilakukan terhadap Bank Indonesia selaku penyelenggara Sistem BI-RTGS, peserta BI-RTGS baik bank maupun non bank, perusahaan switching dan perusahaan telekomunikasi. Sedangkan dokumen-dokumen yang diteliti antara lain Undang-Undang Bank Indonesia, Peraturan Bank Indonesia, Surat Edaran, Undang-Undang Kepailitan dan beberapa ketentuan lainnya yang terkait dengan sistem pembayaran.
Tools yang digunakan oleh assessor adalah CPSS Core
Principles Systemically Important Payment Systems.
Adapun hasil penilaian sementara adalah sebagaimana tabel Hasil Penilaian FSAP.
Dari hasil tersebut, terlihat bahwa masih terdapat tiga
core principles (CP) yang belum sepenuhnya dipenuhi
(broadly observed) atau dapat pula dikatakan masih Keterangan: fully compliant = observed; largely compliant = broadly observed; partly compliant = partly
observed
Halaman 48
terdapat tiga gap yang perlu dipenuhi. Adapun hal-hal yang harus dilakukan supaya tiga CP tersebut berstatus “observed” adalah sebagai berikut:
1. Perlu adanya pengakuan atas mekanisme netting dalam suatu undang-undang.
2. Perlu adanya access criteria yang jelas untuk peserta Sistem BI-RTGS baik peserta bank dan non bank.
3. Perlu dilakukan oversight terhadap para peserta Sistem BI-RTGS dan komunikasi terhadap
stakeholders sistem pembayaran secara lebih
intensif khususnya terkait dengan rencana pengembangan sistem dan arah blue print sistem pembayaran ke depan.
Di samping sepuluh core principles tersebut di atas, juga dilakukan assessment terhadap tanggung jawab bank sentral terhadap pemenuhan CP-SIPS. Adapun hasil sementara dari assessment tersebut adalah
sebagaimana tabel Hasil Assessment.
Sehubungan dengan masih terdapatnya beberapa tanggung jawab yang belum “observed” maka beberapa hal yang dilakukan adalah sebagai berikut:
1. Untuk responsibility B, supaya masuk dalam kategori “observed” maka gap yang ada pada CP 1, CP 9 dan CP 10 harus dipenuhi terlebih dahulu. 2. Untuk responsibility C, menurut assessor Bank
Indonesia harus melebarkan cakupan pengawasan sistem pembayaran. Cakupan pengawasan di sini tidak hanya sistem yang diselenggarakan oleh Bank Indonesia namun juga sistem-sistem pembayaran di luar Bank Indonesia termasuk sistem yang ada di pasar modal.
3. Untuk responsibility D, disarankan Pengawas Sistem Pembayaran perlu menjalin kerjasama dengan otoritas lain baik internal maupun eksternal Bank Indonesia, antara lain Direktorat Pengawasan Bank dan BAPEPAM. Bentuk kerjasama tersebut sebaiknya juga dituangkan dalam perjanjian tertulis seperti Memorandum of Understanding (MOU).
Assessment Category
Self Assessment 2009 FSAP Preliminary Result Responsibility A
The Central Bank should define clearly its payment system objectives and should disclose publicly its role and major policies with respect to systemically important payment system
Fully Compliant Obeserved
Responsibility B
The Central Bank should ensure that the systems it operates
comply with the core principles Largely Compliant Broadly Observed Responsibility C
The Central Bank should oversee observance with the core principles by systems it does not operate and it should have the ability to carry out this oversight
Not Applicable Partly Observed Responsibility D
The Central Bank, in promoting payment system safety and efficiency through the core principles, should cooperate with the other central banks and with any other relevant domestic or foreign authorities
Largely Compliant Broadly Observed Pemenuhan terhadap Central Bank's responsibilities (A-D)
Keterangan: fully compliant = observed; largely compliant = broadly observed; partly compliant = partly observed Tabel Hasil Assessment terhadap tanggung jawab bank sentral terhadap pemenuhan CP-SIPS