NEW YORK (AP) – AS adalah target paling menarik bagi peretas yang mencari informasi kartu kredit. Dan para ahli mengatakan insiden seperti pencurian data baru-baru ini di toko Target akan menjadi lebih buruk sebelum menjadi lebih baik.
Hal ini sebagian disebabkan karena kartu kredit dan debit AS mengandalkan strip magnetik yang mudah disalin di bagian belakang kartu, yang menyimpan informasi rekening menggunakan teknologi yang sama seperti kaset.
“Kami menggunakan kartu abad ke-20 untuk melawan peretas abad ke-21,” kata Mallory Duncan, penasihat umum di National Retail Federation. “Pencurinya terus bergerak, tapi kartunya tidak.”
Di sebagian besar negara di luar AS, masyarakat membawa kartu yang menggunakan chip digital untuk menyimpan informasi akun. Chip tersebut menghasilkan kode unik setiap kali digunakan. Hal ini membuat kartu tersebut lebih sulit ditiru oleh penjahat. Begitu kerasnya sehingga mereka umumnya tidak peduli.
“AS adalah lokasi korban utama serangan pemalsuan kartu seperti ini,” kata Jason Oxman, CEO Asosiasi Transaksi Elektronik.
Pelanggaran yang mengungkap informasi kartu kredit dan kartu debit sebanyak 40 juta pelanggan Target yang menggesek kartu mereka antara 27 November dan 15 Desember masih dalam penyelidikan. Tidak jelas bagaimana pelanggaran itu terjadi dan data apa sebenarnya yang dimiliki para penjahat. Meskipun pakar keamanan mengatakan tidak ada sistem keamanan yang aman, ada beberapa langkah yang dapat diambil oleh toko, bank, dan perusahaan kartu kredit untuk melindungi diri dari serangan ini.
Perusahaan belum meningkatkan keamanan lebih lanjut karena biayanya mahal. Dan meskipun penipuan kartu kredit dan debit global mencapai rekor $11,27 miliar tahun lalu, biaya tersebut hanya menyumbang 5,2 sen dari setiap $100 transaksi, menurut laporan Nilson, yang melacak pembayaran global.
Masalah lainnya: pengecer, bank, dan perusahaan kartu kredit masing-masing ingin orang lain menanggung sebagian besar tagihannya. Perusahaan kartu ingin toko membayar untuk melindungi sistem internal mereka dengan lebih baik. Toko ingin perusahaan kartu mengeluarkan kartu yang lebih canggih. Bank ingin mempertahankan keuntungan yang mereka peroleh dari sistem pemrosesan lama.
Sistem pembayaran kartu berfungsi dengan baik selama beberapa dekade. Strip magnetik di bagian belakang kartu kredit atau debit berisi nama pemegang kartu, nomor rekening, tanggal kedaluwarsa kartu, dan kode keamanan yang berbeda dari kode keamanan tiga atau empat digit yang tercetak di bagian belakang sebagian besar kartu.
Ketika kartu digesek di toko, percakapan elektronik antara dua bank dimulai. Bank toko, yang segera membayar toko atas barang yang dibeli pelanggan, harus memastikan bank pelanggan menyetujui transaksi tersebut dan akan membayar ke bank toko tersebut. Percakapan berlangsung rata-rata 1,4 detik.
Selama waktu tersebut, informasi pelanggan mengalir melalui jaringan dan dicatat, terkadang hanya sebentar, pada komputer dalam sistem yang dikendalikan oleh perusahaan pemroses pembayaran. Pengecer dapat menyimpan nomor kartu dan tanggal kedaluwarsa, namun mereka dilarang menyimpan data yang lebih sensitif seperti kode keamanan yang tercetak di bagian belakang kartu atau nomor identifikasi pribadi lainnya.
Peretas diketahui menangkap informasi akun saat berjalan melalui jaringan atau mencurinya dari database tempat informasi tersebut disimpan. Target mengatakan tidak ada indikasi bahwa kode keamanan di belakang kartu kredit pelanggan telah dicuri. Hal ini akan mempersulit penggunaan informasi akun yang dicuri untuk membeli dari sebagian besar situs ritel Internet. Namun kode keamanan di bagian belakang kartu tidak diperlukan untuk pembelian pribadi. Dan karena strip magnetik pada kartu di AS sangat mudah dibuat, pencuri dapat dengan mudah mereproduksinya dan mengeluarkan kartu palsu yang terlihat dan terasa seperti aslinya.
“Di situlah nilai sebenarnya bagi para penipu,” kata Chris Bucolo, manajer senior konsultasi keamanan di ControlScan, yang membantu pedagang memenuhi standar keamanan pemrosesan kartu.
Setelah pencuri mengambil informasi kartu, mereka memeriksa jenis akun, saldo dan batas kredit serta menjual replikanya di Internet. Kartu sederhana dengan saldo rendah dan informasi pelanggan terbatas bisa berharga $3. Menurut Al Pascual, analis senior di Javelin Strategy and Research, sebuah perusahaan konsultan risiko keamanan dan penipuan, kartu “hitam” tanpa batas dapat berharga $1.000.
Pencuri tentu juga dapat melacak dan menjual data kartu dari jaringan yang memproses kartu dengan chip digital, namun mereka tidak akan dapat membuat kartu palsu.
Perusahaan kartu kredit di AS mempunyai rencana untuk mengganti strip magnetik dengan chip digital pada musim gugur tahun 2015. Namun pengecer khawatir perusahaan kartu tidak akan berbuat banyak. Mereka ingin kartunya memiliki chip, namun mereka juga ingin setiap transaksi memerlukan nomor identifikasi pribadi, atau PIN, dan bukan tanda tangan.
“Semua orang tahu bahwa tanda tangan adalah perangkat otentikasi yang tidak berguna,” kata Duncan.
Duncan, yang mewakili pengecer, mengatakan toko harus membayar lebih – dan bank menghasilkan lebih banyak – untuk transaksi yang memerlukan tanda tangan karena hanya ada sedikit jaringan lama yang memprosesnya, sehingga persaingan harga lebih sedikit. Ada beberapa perusahaan yang memproses transaksi PIN untuk kartu debit, dan mereka cenderung membebankan biaya lebih rendah di toko.
“Dibandingkan dengan puluhan juta transaksi yang terjadi setiap hari, penipuan yang harus mereka bayar pun kecil dibandingkan dengan keuntungan yang mereka peroleh dari penggunaan kartu yang kurang aman,” kata Duncan.
Namun, ada beberapa hal yang juga dapat dilakukan pengecer untuk melindungi data pelanggan dengan lebih baik. Titik paling rentan dalam jaringan transaksi, menurut pakar keamanan, biasanya adalah pedagang.
“Lembaga keuangan lebih terbiasa memiliki tingkat perlindungan yang tinggi,” kata Pascual. “Pengecer masih mengejar.”
Mesin penggesek kartu sederhana berbentuk persegi yang biasa dilihat konsumen di sebagian besar kasir sulit disusupi karena sepenuhnya terpisah dari Internet. Namun ketika pengecer beralih ke sistem pembayaran berbasis Internet yang lebih cepat, mereka dapat mengekspos data pelanggan kepada peretas.
Pengecer harus membangun firewall yang kuat di sekitar sistem tersebut untuk melindungi dari serangan, kata pakar keamanan. Mereka juga dapat mengambil langkah lebih lanjut untuk melindungi data pelanggan dengan menggunakan enkripsi, teknologi yang mengacak data agar terlihat seperti omong kosong bagi siapa pun yang mengaksesnya secara ilegal. Namun, teknologi ini mungkin mahal untuk dipasang dan dipelihara.
Untungnya, pelanggan perorangan tidak terkena tuntutan penipuan akibat pelanggaran keamanan. Namun serangan semacam ini memang meningkatkan biaya—dan, kemungkinan besar, biaya untuk semua pelanggan.
“Sebagian biaya dalam sistem ini adalah untuk perlindungan terhadap penipuan,” kata Oxman. “Itu membutuhkan uang, dan pada akhirnya seseorang akan membayarnya.”
Jonathan Fahey dapat dihubungi di http://twitter.com/JonathanFahey.