Internet saat ini sudah menjadi bagian dari kehidupan kita. Aktivitas kita sering kali berhubungan dengan internet. Sekarang kita dapat melakukan segala sesuatu secara online, seperti contohnya untuk komunikasi, jual beli, bahkan untuk perbankan. Harapannya, dengan hadirnya internet ini, mampu mempermudah dan mempercepat proses bisnis. Salah satunya yang kita butuhkan yaitu akses akun bank dimanapun kita berada dan kapan pun waktunya. E banking menjawab tantangan ini, ebanking menawarkan kenyamanan layanan secara mobilitas dan fleksibilitas. Kita dapat akses ebanking dimanapun baik menggunakan pc, smartphone, ataupun tablet selama 24 jam secara realtime. Disisi lain, hadirnya ebanking ini ternyata membawa banyak kerawanan. Karena ebanking menyimpan informasi nasabah yang sangat sensitif. Maka dari itu, keamanan terhadap informasi finansial nasabah ini sangatlah penting. Institusi finansial harus membuat sistem keamanan yang mampu mengurangi resiko terjadinya akses informasi oleh pihak yang tidak berkepentingan.

Saat ini sistem keamanan pada layanan ebanking masih menerapkan sistem primitif single factor authentication yang hanya berdasarkan pada kerahasiaan user ID dan PIN password. Penambahan kekuatan yang dilakukan oleh bank yaitu dengan membangkitkan suatu nilai acak yang disebut token. Sebenarnya teknik otentikasi ini sudah sangat rawan digunakan. Serangan pada ebanking yang digunakan saat ini menggunakan teknik untuk mendapatkan data nasabah seperti user ID dan password serta token nasabah.

Teknik yang cukup terkenal yaitu phising attack, skema serangan yang digunakan yaitu dengan membuat suatu halaman web palsu akun resmi perbankan. Tampilan halamannya dibuat semirip mungkin dengan aslinya. Sehingga jika nasabah tidak cermat dan berhati-hati, bisa saja nasabah salah memasukkan user ID dan password pada akun bank palsu. Data user login akan masuk ke database penyerang.

Skema serangan berikutnya yaitu man-in-the-middle attack ( MITM ). Serangan ini dilakukan ketika nasabah mengakses layanan ebanking dengan menggunakan akses internet publik seperti pada hotel, bandara, ataupun tempat makan seperti cafe yang tanpa diketahui keamanannya terjamin atau tidak. Penyerang bisa saja menyusuri alamat IP target dan mengambil informasi mengenai user data login ketika proses tranmisi data dilakukan.

Dan yang terakhir, serangan terbaru yang berhasil dilakukan yaitu menggunakan teknik phising dan malware. Serangan ini dilakukan untuk mendapatkan nilai token nasabah. Virus malware disisipkan pada perangkat milik nasabah sehingga penyerang dapat mencuri informasi rahasia milik nasabah tanpa disadarinya. Virus malware ini dapat terinstall di perangkat milik nasabah karena bisa jadi nasabah mengunduh program bajakan yang bukan dari bank bersangkutan. Melalui skema phising, penyerang akan berpura-pura meminta nasabah menginputkan nilai respon yang dihasilkan oleh token untuk menebak kemungkinan nilai pembangkitan yang dilakukan selanjutnya. Skema serangan ini sering

diseut dengan sinkronisasi token. Pada kasus yang telah terjadi, melalui serangan ini, penyerang berhasil membobol dana nasabah pada 3 bank besar di Indonesia.