Branchless Banking memang memberikan peluang bisnis yang cerah. Namun dibalik itu, layanan tanpa melalui kantor cabang bank memiliki ancaman yang harus diwaspadai, salah satunya adalah serangan melalui Short Message Service (SMS).
(sumber : sharing vision.com)
SMS adalah salah satu cara mengirim pesan yang tidak sensitif melalui jaringan GSM yang terbuka. Sehingga mengesampingkan aspek keamanan seperti enkripsi, authentikasi, dan non-repudiation. Ada dua jenis serangan yakni SMS spoofing dan sniffing.
SMS spoofing adalah serangan yang dilakukan oleh pihak ketiga dengan mengirimkan pesan yang terlihat dapengirim sebenarnya. Hal tersebut dapat dilakukan dengan cara mengubah field alamat pengirim pada header SMS, sehingga alamat sebenarnya dapat disembunyikan dari penerima pesan.
Sedangkan SMS sniffing adalah pesan yang tersmpan dalam bentuk plaintext. Enkripsi yang ada pada sistem ini adalah pada saat transmisi dari mobil station (HP) ke base transceiver station (BTS). Alogaritma enkripsi yang digunakan pada jaringan GSM adalah A5 yang telah terbukti memiliki celah keamanan.
M-Pesa, salah satu pelaku branchless banking sejak 2008 pernah mengalami serangan melalui SMS. Namun mereka dapat meredam kerugian hingga 0.006% dari jumlah transaksi yang mencapai KSh 2 miliar perhari.
(sumber : sharing vision.com)
Kronologi SMS spoofing pada layanan M-Pesa
Pelaku 1 mengaku sebagai pegawai safaricom yang akan melakukan audit pada device agen. Dengan begitu Pelaku 1 dapat memasukan kontak pada phonebook agen dengan nama M-Pesa. Lalu Pelaku 2 mendatangani agen tersebut untuk melakukan penarikan sejumlah KSh 35.000. Pelaku 1 seolah-olah sebagai M-Pesa mengirim Sms konfirmasi telah terjadi penarikan. Agen memberikan uang kepada Pelaku 2. Setelah diselidiki, agen tidak menerima penambahan saldo daro Safaricom, karena transaksi penarikan uang tersebut sebenarnya tidak ada.(**)
