Dalam artikel yang lalu ATM di Thailand di-hacked, 12 juta Baht dicuri  maka ada indikasi penyerangan dilakukan oleh malware ATM jenis baru yang disebut dengan kode "RIPPER" - dinamakan demikian karena di dalam sampel malware ditemukan nama project dengan sebutan "ATM RIPPER".

Walaupun kejadian penyerangan ATM ini terjadi di Thailand tidak menutup kemungkinan bahwa hal ini juga (dan bahkan) sudah terjadi di Indonesia.

Menurut riset dari TeknologiBank.com beberapa bank di Indonesia pada periode awal tahun 2017 ini sudah mengalami kondisi dimana ATM mengeluarkan uang dikarenakan peretasan dan bukan karena transaksi dengan kartu. Dan bank di Indonesia menyebut kondisi ini sebagai "ATM JACKPOTTING".

ATM Jackpotting yang terjadi di Indonesia belum tentu disebabkan oleh Ripper, Ripper hanya merupakan salah satu penyebab ATM Jackpotting.

APA ITU ATM JACKPOTTING?

ATM Jackpotting merupakan satu kondisi dimana ATM bisa "memuntahkan" uang seperti mesin jackpot tanoa melalui proses transaksi yang sah - dan biasanya disebabkan karena peretasan (hacking). Peretasan ini bisa saja berupa malware dari ATM ataupun karena ada pihak ketiga yang mengirimkan pesan melalui jalur komunikasi ATM (Man-In-The-Middle Attack)

Modus operandi dari penyerangan ini merupakan kombinasi dari teknik hacking yang canggih, pengetahuan yang mendalam tentang infrastuktur perbankan dan operasi ATM.

ATM Jackpotting merupakan salah satu bentuk dari taktik cybercrime ATM, untuk melakukan ini maka pelaku biasanya mendapatkan kontrol penuh terhadap perangkat keras ATM seperti dispenser, card reader dan pinpad, serta jaringan, dan memungkinkan mereka untuk mencuri sejumlah besar uang kontan tanpa mempergunakan kartu debut / kartu kredit.

CONTOH KASUS ATM JACKPOTTING

Di Thailand - silakan membaca di ATM di Thailand di-hacked, 12 juta Baht dicuri.

Di Thailand sepertinya pelaku mempergunakan malware RIPPER jenis terbaru. Dalam serangan ini pelaku behasil menembus jaringan internal bank, mendapatkan kontrol terhadap software distribution system yang digunakan untuk menyebarkan malware ke banyak ATM dan setelah tertanam maka si pelaku tinggal memanggil RIPPER dan memerintahkan ATM untuk mengeluarkan uang.

BAGAIMANA ATM JACKPOTTING DILAKUKAN?

1. Dengan perangkat lunak (software)

Pelaku menanamkan malware ke ATM. Malware ini bisa beroperasi sebagai service baru atau me-replace file-file yang sah yang ada dalam ATM. Malware ini akan berjalan di belakang proses ATM dan menunggu pelaku untuk memasukkan kartu ATM yang sudah dirancang khusus. Kartu ini akan men-aktivasi malware yang sudah tertanam di ATM dan ATM kemudia diperintahkan untuk mengeluarkan uang. Malware ini juga bisa diperintahkan untuk tidak mencatat ini ke dalam EJ (Electronic Journal) ATM.

2. Dengan Man-In-The-Middle-Attack di jaringan (Network)

Pelaku memotong jalur komunikasi transaksi antara ATM dan Bank dan melakukan sniffing terhadap transaksi yang terjadi. Pelaku kemudian memerintahkan ATM untuk mengeluarkan uang.

BAGAIMANA PENCEGAHAN ATM JACKPOTTING?

Mengatur keamanan jaringan ATM secara efektif dengan menerapkan model perlindungan yang komprehensif end-to-end yang melakukan pencegahan eksekusi terhadap software yang fraud (application whitelisting), mem-blok percobaan untuk me-replace file yang benar (File Integrity Protection), mencegah koneksi dari hardware yang tidak sah (HW Protection), mencegah koneksi dalam jaringan yang tidak sah (network and message encryption), dan mencegah manipulasi data hard disk dari aksi diluar operating system (Full Disk Encryption).

Sebagai tambahan, penting juga untuk memonitor aspek keamanan dari mesin ATM, mempunyai centralized view dari seluruh ATM, dengan menambahkan lapisan kontrol tambahan untuk menjalankan investigasi jika terjadi incident.

Dengan Application Whitelisting maka ATM tidak akan menjalankan aplikasi yang tidak dikenal sebagai service baru, sementara File Integrity Protection akan mencegah aplikasi tersebut me-replace file-file yang ada dalam ATM.

Monitoring konektivitas ATM secara kontinyu  juga merupakan salah satu bentu pencegahan, apalagi bila dilengkapi dengan kemampuan menjalankan perintah tertentu yang dapat membantu mengidentifikasi dan membersihkan ATM yang terinfeksi, tanpa perlu mengirimkan teknisi secara fisik ke lokasi untuk melakukan tugas tersebut.

Pencegahan lain yang dapat dilakukan adalah dengan melakukan enkripsi end-to-end terhadap message transaksi dari dan yang ke ATM. Enkripsi ini dapat berupa koneksi SSL (secure socket layer) atau berupa aplikasi security yang dapat melakukan encrypt dan decrypt message ATM ke host.