Bank Saya Terus Merusak Edukasi Anti-Phishing

 (moritz-mander.de)
3 poin oleh GN⁺ 2025-07-19 | 2 komentar | Bagikan ke WhatsApp
  • Bank mengirimkan email promosi acara yang mirip dengan email phishing yang tidak tepercaya
  • Tautan dan domain situs di dalam isi email tampak tidak terkait dengan bank, dan karena meminta input data pribadi, sulit menilai apakah ini phishing
  • Bahkan setelah memastikan wujud aslinya, fakta bahwa itu adalah acara resmi justru memperbesar kebingungan dan ketidakpercayaan
  • Tindakan ini merusak tujuan edukasi phishing dan meningkatkan risiko bank menanggung tanggung jawab hukum
  • Untuk menyelesaikan masalah, ditekankan perlunya menggunakan domain yang tepercaya dan mengimplementasikannya di dalam aplikasi

Pengantar

Saya mengalami langsung kenyataan bahwa bank saya sendiri merusak edukasi anti-phishing. Email terkait acara yang dikirim bank memiliki ciri-ciri mencurigakan yang nyaris tak bisa dibedakan dari penipuan phishing. Email itu meminta pengguna memasukkan data pribadi ke tempat yang bukan domain resmi bank, sekaligus menyoroti masalah kondisi keamanan dan realitas edukasi di bank serta lembaga publik di dalam dan luar negeri.

Bab 1: Datangnya email yang mencurigakan

  • Menerima email dari bank terkait “Wero-Win-Wochen (acara undian berhadiah)”
  • Pengumuman email tersebut mendorong partisipasi dengan informasi hadiah hingga 7.000 euro per minggu
  • Sparkasse (jaringan bank tabungan daerah di Jerman) dan Wero (sistem pembayaran digital Eropa yang baru) disebut di email
  • Tautan di dalam email mengarah ke “gewinnen-mit-wero.de”, berbeda dari domain resmi bank
  • Isi dan nadanya mirip email phishing biasa; hanya alamat pengirimnya yang merupakan alamat resmi Sparkasse
  • Saya harus memeriksa situs resmi bank untuk memastikan apakah acara ini benar-benar ada

Apa itu Sparkasse?

  • Bank tabungan berbasis wilayah yang dioperasikan secara independen di masing-masing daerah
  • Merupakan salah satu grup layanan keuangan terbesar di Eropa

Apa itu Wero?

  • Sistem pembayaran digital baru yang dibuat oleh European Payments Initiative (EPI)
  • Dikembangkan dengan tujuan menyatukan sistem pembayaran lokal (awalnya berfokus pada pembayaran P2P)
  • Mirip PayPal, tetapi memiliki struktur yang tersebar di masing-masing bank

Bab 2: Situasi memburuk – situs web yang mencurigakan

  • Berbagai elemen desain dan struktur situs pendaftaran acara yang dibuka dari tautan email sangat mirip dengan situs phishing
  • Tidak ada penyebutan cabang Sparkasse maupun pembedaan antarbank sama sekali (mengabaikan independensi tiap bank)
  • Domain itu sendiri tidak terkait dengan domain resmi bank dan menggunakan nama umum yang bisa didaftarkan siapa saja
  • Sertifikat SSL juga menggunakan Let’s Encrypt yang gratis, sehingga makin menurunkan kepercayaan
  • Penjelasan tentang konteks atau dasar acara minim, hanya menekankan “kesempatan menerima uang”
  • Untuk berpartisipasi, pengguna diminta memasukkan nama, tanggal lahir, IBAN, alamat email, dan data pribadi/keuangan lainnya
  • Secara umum, acara keuangan digital modern biasanya dirancang agar hanya bisa diikuti di dalam aplikasi, sehingga pendekatan ini terasa janggal

Akibatnya, lembaga keuangan justru secara sengaja membuat edukasi keamanan pengguna menjadi tidak bermakna.

Masalah menurunnya efektivitas edukasi keamanan

  • Jika bank sungguhan pun menggunakan cara yang mirip email/situs phishing, pengguna akan kehilangan kepercayaan pada edukasi deteksi phishing itu sendiri
  • Persepsi bahwa “ini terlihat seperti spam, tapi mungkin saja sebenarnya sah” akan menyebar
  • Di masa lalu, bank tersebut juga pernah mengirim SMS resmi dengan ungkapan dan domain yang mencurigakan (misalnya tautan ke paperless.io)
  • Bahkan pusat dukungan pun tidak memahami mengapa hal ini bisa terlihat seperti spam

Bab 3: Apa solusinya?

  • Opsi paling aman adalah mengimplementasikan proses partisipasi acara langsung di dalam aplikasi
  • Jika itu tidak bisa dihindari, maka harus menggunakan domain resmi (misalnya sparkasse.de) atau subdomain masing-masing cabang agar kepercayaan tetap terjaga
  • Pemerintah Jerman juga pernah memperkuat kepercayaan layanan pada kasus serupa dengan memperkenalkan kebijakan merek digital gov.de

Bab 4: Potensi kecerobohan berkembang menjadi masalah hukum

  • Belakangan ini, putusan yang mewajibkan bank mengganti rugi korban phishing semakin meningkat
  • Dalam menilai ada tidaknya “kelalaian” terkait kebocoran data pribadi, pengadilan menyimpulkan tanggung jawab ada pada bank jika tidak ada kelalaian dari pengguna
  • Jika serangan phishing dilakukan dengan struktur email/situs seperti sekarang, bank akan sulit membuktikan bahwa korban tidak cukup berhati-hati
  • Karena email/situs resmi bank dan phishing terlalu mirip, risiko hukumnya menjadi lebih besar

Kesimpulan

  • Keamanan teknis memang berkembang, tetapi masih ada celah pada keamanan pengalaman pengguna (USABLE SECURITY)
  • Kasus seperti ini merusak kepercayaan terhadap edukasi anti-phishing itu sendiri, sekaligus berdampak buruk pada beban hukum bank dan sektor keuangan secara keseluruhan
  • Masalah ini adalah masalah sistemik yang bersifat struktural dan sulit diselesaikan hanya dengan umpan balik individual
  • Perlu disadari lebih serius lagi bahwa isu seperti ini bisa terjadi bahkan di salah satu grup keuangan terbesar di Eropa
  • Pelajarannya berakhir pada pesan: “Jangan rusak edukasi keamanan. Tolong beri perhatian yang layak.”

Bacaan terkait

2 komentar

 
unsure4000 2025-07-19

Sepertinya perasaan deja vu ini bukan cuma ilusi🤣
 
GN⁺ 2025-07-19
Komentar Hacker News

  • Bank saya menggunakan sistem deteksi penipuan yang menelepon saya ketika aktivitas mencurigakan terdeteksi di rekening, lalu meminta saya menelepon kembali ke nomor tertentu. Masalahnya, setiap kali mereka memberi nomor callback yang berbeda. Jika nomor itu dicari secara online, hanya ada satu hasil, yaitu halaman web resmi sistem deteksi penipuan yang mengatakan agar tidak mempercayai panggilan telepon apa pun (nasihat ini masuk akal, tetapi ironisnya juga berarti kita harus mengabaikan kontak sah dari mereka sendiri)

    • Saya pernah hanya satu kali memicu sistem deteksi penipuan di kartu saya, dan saat itu saya menerima SMS dari bank yang mengatakan, “Kartu Anda diblokir karena penggunaan mencurigakan, silakan hubungi nomor berikut.” Nomor itu juga nomor acak yang tidak terdaftar. Satu-satunya alasan saya tidak mengabaikannya adalah karena tepat sebelumnya saya baru saja melakukan pembayaran di situs web baru. Jadi saya menelepon langsung bank lokal saya untuk memastikan apakah ini benar-benar yang terjadi, dan diberi tahu bahwa memang benar. Saya hampir saja meluapkan keluhan soal betapa kacaunya prosedur ini

    • Sepertinya tidak ada orang atau tim yang bertanggung jawab atas keseluruhan alur pengalaman pengguna (UX) di bank. Bank saya juga aneh dengan cara yang mirip. Misalnya, setiap kali saya mentransfer uang ke istri saya, selalu muncul berbagai pertanyaan untuk pencegahan penipuan, lalu setelah saya menjawab, muncul lagi pemberitahuan yang mengatakan, “Karena Anda sering melakukan transfer, kami tidak akan meminta kode 2FA atau verifikasi tambahan.” UX yang tidak masuk akal seperti ini mungkin terjadi karena tidak ada satu orang atau satu tim yang mengawasi keseluruhan alurnya

    • Bank tidak menaati aturan yang mereka buat sendiri. Suatu kali bank menelepon saya soal perubahan asuransi yang saya minta sebulan sebelumnya, lalu meminta saya memverifikasi identitas dengan security dongle. Dengan cara seperti ini, tidak aneh kalau orang akhirnya tertipu

    • Bank tempat saya bekerja mengirim SMS seperti “Apakah Anda menerbitkan cek sebesar $x” untuk memeriksa apakah ada kejanggalan. Masalahnya, penipuan cek yang paling umum adalah “check washing”, yaitu ketika jumlah pada cek dibiarkan sama tetapi penerimanya dipalsukan. Dalam kasus seperti ini, nominalnya terlihat seperti transaksi sah, tetapi tidak ada konfirmasi kepada siapa uang itu sebenarnya dibayarkan

    • Bahkan jika Anda menghubungi nomor utama resmi bank, menunggu lama sampai tersambung ke agen, mereka tetap bilang nomor itu tidak bisa diverifikasi walaupun sebenarnya benar. Yang lebih merepotkan, untuk bank yang tidak saya gunakan, jika menelepon nomor di situs web mereka, Anda langsung masuk ke sistem respons otomatis, dan tanpa nomor rekening Anda bahkan tidak bisa mengakses apa pun, jadi Anda harus mencari nomor lain yang bisa dihubungi agar dapat berbicara langsung dengan seseorang

  • Bank saya (USAA) pernah benar-benar menerapkan beberapa hal yang saya sarankan. Tapi belakangan saya menerima email yang tampak sah ke alamat email unik saya, hanya saja domainnya berbeda dari biasanya (dan ini lebih mencurigakan karena saya baru saja menyelesaikan sesuatu). Saya langsung menelepon bank dan berbicara dengan staf departemen penipuan, menjelaskan bahwa “entah sistem internal kalian diretas, atau kalian sedang membiasakan pelanggan terhadap phishing,” lalu meminta dibuatkan tiket. Petugas itu mengatakan domain tersebut bukan milik USAA dan mereka hanya menggunakan usaa.com, lalu tanpa banyak bicara langsung mengunci akun saya. Akhirnya saya menelepon lagi untuk membuka akun, dan petugas mengatakan tiketnya sudah dibuat. Kita lihat saja perkembangan selanjutnya

    • Saya juga pernah wawancara untuk posisi software engineer di USAA, dan setelah melihat inkompetensi para pewawancaranya, hal-hal absurd yang terjadi di perusahaan itu jadi tidak lagi mengejutkan

  • Teknologi dan praktik pemasaran terkait pengalaman pengguna perbankan benar-benar buruk. Semua formulir login bank India yang pernah saya pakai itu

    • tidak ramah password manager
    • tidak mengizinkan copy/paste password
    • menggunakan hash di sisi klien
    • punya syarat aneh seperti tidak boleh lebih dari 15 karakter dan hanya karakter yang di-whitelist yang boleh dipakai (HDFC sangat parah dalam hal ini)
    • spam message yang terus meningkat Semuanya terasa seperti tidak pernah keluar dari kebiasaan UX awal 2000-an

    • Tidak boleh lebih dari 15 karakter! Bank saya malah mengharuskan tepat 6 digit, bukan huruf, wajib angka. Password manager tidak bisa dipakai, copy/paste juga dibatasi. Saya harus mengklik kotak angka dengan mouse. Terobsesi dengan “keamanan” sampai 2FA juga dulu berubah dari token fisik ke aplikasi, lalu akhirnya ke SMS. Dan ini bukan bank kecil daerah, ini salah satu bank terbesar di Prancis

    • Beberapa minggu lalu sempat ada kontroversi di Reddit karena beredar tangkapan layar yang menunjukkan aplikasi bank BUMN India memblokir aplikasi itu sendiri hanya karena pengguna memasang Firefox. Situs bank dan pemerintah sangat tidak ramah kepada pengguna. Dulu saya pikir pendekatan seperti ini bertujuan melindungi pengguna yang kurang paham teknologi, tetapi sekarang saya justru merasa ini cuma alasan untuk malas mengadopsi framework yang benar-benar aman dan nyaman

    • Aplikasi bank BUMN India tertentu bahkan tidak mau berjalan sama sekali jika izin penting seperti kamera dan seluruh filesystem tidak diberikan. Tetapi saya sendiri belum pernah menerima spam seperti yang dialami OP dari bank saya. Meski begitu, secara umum ada persepsi bahwa pegawai level bawah rutin membocorkan informasi rekening kepada para penipu

    • Bank saya memaksa ganti password setiap 180 hari, dan password hanya boleh 6–11 karakter dengan karakter yang diizinkan sudah ditentukan. Jadi setiap kali mau login, saya malah disuruh ganti password lagi. Password yang dibuat otomatis oleh Firefox juga tidak sesuai aturan bank, jadi akhirnya saya repot harus membuat password acak sendiri lewat terminal agar memenuhi syarat

    • Saya kurang paham kenapa memakai hash password di sisi klien dianggap masalah

  • Saat jual beli rumah, masalah seperti ini lebih parah lagi. Ada banyak suborganisasi dengan domain berbeda-beda, jadi semuanya terasa rumit. Saya juga pernah harus mempercayai domain mencurigakan untuk urusan recall alat medis. Ini sebenarnya bisa diselesaikan dengan sederhana, cukup tampilkan daftar domain partner tepercaya di homepage. Protokol keamanan pribadi saya adalah mencari kontak lembaga keuangan di situs .gov, membuka domain itu, lalu memeriksa nomor layanan pelanggan dan menelepon untuk menanyakan domain mana yang benar-benar tepercaya. Petugas layanan pelanggan biasanya menganggap saya aneh. Bahkan pernah ada agen yang berkata, “Kalau di LinkedIn tertulis orang itu bekerja di <Bank Name>, berarti dia asli”

    • Waktu dibilangi, “Kalau di LinkedIn tertulis <Bank Name> sebagai tempat kerja, berarti bisa dipercaya,” saya membalas, “Beri saya 2 menit dan saya juga bisa menuliskannya di profil saya. Kalau begitu, apakah Anda juga akan memberi saya data pribadi Anda?”

    • Saya juga pernah mengalami proses beli rumah yang sama sekali tidak rumit. Saya mengurus KPR melalui broker dan hanya berurusan satu lawan satu dengan satu orang saja

  • Orang-orang naif yang punya kuasa mengambil keputusan sering kali tidak benar-benar menyadari risiko ini sampai mereka sendiri atau orang di sekitar mereka terkena penipuan atau masalah hukum, baru kemudian sadar. Di AS juga banyak perusahaan dijalankan oleh orang seperti ini sebelum 2012, tetapi karena white-hat/black-hat hacking menyebar cepat, masalah-masalah seperti ini relatif cepat dibenahi

    • Dulu saya bekerja di perusahaan finansial yang budaya infosec-nya sangat kuat. Setelah perusahaan itu diakuisisi, berbagai email permintaan dari vendor luar terus datang atas nama eksekutif kantor pusat. Tetapi menurut kebijakan keamanan lama kami, memproses email seperti itu dilarang, jadi di Slack semua sepakat bahwa meskipun emailnya memang asli, secara kebijakan harus tetap dilaporkan sebagai phishing. Hasilnya memang berupa ketidakpatuhan tanpa niat jahat, tetapi sebenarnya ini best practice. Belakangan seorang eksekutif kantor pusat bahkan mulai mengirim email pemberitahuan sebelumnya yang berkata, “Email seperti ini akan dikirim, jadi mohon tanggapi begini.” Lalu kami semua kembali berdiskusi, “Kalau begitu, bagaimana kita tahu email pemberitahuan sebelumnya itu asli?” Pada akhirnya semua orang kelelahan dan menerima praktik keamanan longgar ala kantor pusat

    • Saya rasa dalam organisasi seperti ini ada struktur sosial yang membuat orang-orang kompeten yang sebenarnya mampu mengambil keputusan yang benar sulit naik ke posisi yang benar-benar punya wewenang. Untuk membuat kebijakan yang baik, Anda harus sering bilang “tidak” ke banyak pihak, dan dalam proses itu hal tersulit justru adalah menyenangkan orang-orang yang memegang kuasa personalia

    • Di atas kertas ada jabatan tinggi seperti CISO, EVP, SVP, direktur keamanan, dan sebagainya, tapi saya benar-benar tidak mengerti kenapa keputusan aneh seperti ini tetap dibuat. Dalam situasi seperti ini, sulit membedakan ketidakmampuan dari niat buruk. Kalau kita menyebutnya “naif”, rasanya malah seperti sedang memaklumi perilaku yang meremehkan pelanggan. Peduli keamanan itu butuh biaya, tidak peduli keamanan juga menimbulkan kerugian besar, tetapi setidaknya sampai sekarang, kerugian karena kehilangan pengguna masih lebih kecil daripada biaya untuk membuat segalanya aman dengan benar, jadi pendekatan seperti ini terus bertahan. Pada akhirnya ini kenyataan yang menyedihkan bagi semua orang

  • Bank sering menelepon saya untuk pemasaran acak, dan sebelum menjelaskan penawaran mereka, mereka meminta tanggal lahir dan nama ibu saya. Kalau saya balik menantang, “Buktikan dulu bahwa Anda benar-benar dari bank,” mereka selalu tampak panik

    • Saat panggilan dari nomor yang tidak dikenal meminta saya memverifikasi data pribadi, saya selalu menjawab, “Saya tidak tahu Anda siapa, jadi saya tidak bisa memberikan informasi pribadi.” Setengah dari mereka langsung menutup telepon, sisanya langsung masuk ke skrip penjualan

    • Saya juga sering mengalami hal yang sama di dunia medis. Kantor dokter spesialis menelepon dan hal pertama yang mereka tanyakan adalah tanggal lahir saya, lalu sangat terkejut ketika saya menolak. Saya juga berpikir sama: kalau mereka yang menelepon duluan, merekalah yang harus membuktikan identitasnya terlebih dahulu

    • Bank saya akhirnya memahami hal ini, dan sekarang mereka punya sistem di aplikasi yang memungkinkan kita memverifikasi bahwa agen tersebut memang sedang menangani penjualan dan mengetahui persis pegawai yang mana melalui aplikasi

  • Latar belakang munculnya ide “jadi solusinya adalah mendaftarkan subdomain” adalah karena seseorang di departemen IT tahu bahwa memberi wewenang lewat subdomain itu berisiko, jadi mereka menolaknya. Akibatnya, departemen lain di perusahaan (seperti marketing) malah mendaftarkan domain mereka sendiri secara terpisah untuk mem-bypass hal itu. Saya penasaran bagaimana perusahaan seperti Google menangani ini. Peretasan subdomain google.com pasti termasuk target paling menggiurkan, tetapi pada praktiknya Google juga cukup sering memakai subdomain. Sebagai contoh terkait, lihat tautan gist ini

    • Dalam banyak kasus, ini bahkan tidak pernah sampai ke departemen IT. Marketing secara struktural terpisah dari IT dan tidak suka melibatkan IT. IT memakai sistem tiket yang tidak efisien dan lambat, dan kadang suka melontarkan opini yang tidak perlu, jadi tim marketing menganggapnya merepotkan. Karena itu promosi marketing diserahkan ke layanan SaaS atau vendor eksternal, dan mereka juga tidak ada hubungannya dengan IT perusahaan. Orang marketing bahkan tidak tahu apa itu subdomain, mereka cuma bekerja lewat pencarian Google atau klik tautan. Tidak ada yang melihat teks URL, jadi tidak ada kesadaran kenapa subdomain itu penting. Kalau melihat pola penggunaan internet pengguna nyata, edukasi anti-phishing tradisional memang tidak ada gunanya. Daripada “baca domain dengan teliti”, langkah anti-phishing yang lebih realistis adalah “cari di Google lalu klik hasil teratas”

    • Google juga sama menyebalkannya dalam hal ini. Email pemberitahuannya sering berbentuk seperti phishing, dan selain google.com, mereka juga memakai berbagai domain aneh seperti goo.gl, foobar.google, dan lainnya untuk mengirim pemberitahuan. Masa ketika kita bisa begitu saja percaya seperti dulu sudah berakhir

  • Saya rasa poin 4 adalah inti masalahnya. Jika bank mengirim email kepada pelanggan yang terlihat seperti phishing, itu adalah kelalaian berat dan mereka seharusnya bertanggung jawab secara hukum

    • Saya penasaran bagaimana tanggung jawab hukum bisa dikenakan ketika tidak ada korban atau kejahatan yang jelas. Terutama jika sampai disebut “kelalaian berat”, kecerobohan yang muncul dalam praktik saat ini sebenarnya masih tergolong ringan

  • Ini benar-benar contoh Conway's law di dunia nyata. Departemen marketing punya IT sendiri dan terpisah dari IT yang mengelola situs web inti. Akibatnya, mereka tidak bisa mengembangkan bersama di domain web yang sama, lalu meluncurkan situs dan pengalaman yang terpisah

    • Kasus “Sparkassen” di Jerman bahkan lebih rumit. Ini semacam credit union skala kecil sampai menengah, dan organisasi induknya hanya sebagian menyediakan layanan bersama seperti IT. Setiap bank bisa memilih sendiri cakupan mana yang ingin mereka kelola. Cabang besar biasanya berjalan cukup baik, tetapi cabang kecil kekurangan orang dan hampir tidak mampu menjalankan praktik keamanan IT. Meski begitu, bank-bank seperti ini membangun kepercayaan lewat pemasaran sebagai “bank lingkungan setempat”. Kenyataannya, biaya mereka mahal dan performa produk investasinya juga buruk

  • Di perusahaan tempat teman saya bekerja, CISO mengirim newsletter terkait keamanan ke seluruh karyawan, tetapi email itu dikirim dari domain eksternal, bukan domain internal perusahaan, dan tautannya juga memakai platform hosting eksternal, bukan situs mereka sendiri, sehingga selalu tampak seperti email phishing. Apalagi jika ada event hadiah, makin mudah dianggap palsu (secara reputasi perusahaan, hadiah semurah hati itu terasa tidak masuk akal)

    • Newsletter mingguan yang saya terima dari perusahaan juga selalu datang dari pengirim eksternal, dan tautannya menuju situs hosting eksternal. Ada juga ID unik untuk pelacakan klik. Tautan itu lalu dirangkai lagi oleh Outlook sehingga makin sulit dikenali. Ketika saya mencoba mencari di situs web resmi perusahaan tempat saya bekerja apakah pengirim atau domain hosting itu memang resmi dipakai, tidak ada penjelasan apa pun. Jadi saya tidak mengklik tautan tersebut, dan malah sempat berpikir apakah sebaiknya saya laporkan saja sebagai phishing