SMS BANKING

SMS BANKING adalah layanan informasi perbankan yang dapat diakses langsung melalui telepon
selular/handphone dengan menggunakan media SMS (short message service).

Jenis Transaksi :

• Transfer dana
• Informasi saldo, mutasi rekening
• Pembayaran (kartu kredit)
• Pembelian (pulsa isi ulang)

Hal-hal yang perlu diperhatikan untuk keamanan transaksi SMS Banking :

• Jangan memberitahukan kode akses/nomor pribadi SMS Banking kepada orang lain
• Jangan mencatat dan menyimpan kode akses/nomor pribadi SMS Banking di tempat yang mudah diketahui oleh orang lain.
• Setiap kali melakukan transaksi melalui SMS Banking, tunggulah beberapa saat hingga menerima response balik atas transaksi tersebut.
• Untuk setiap transaksi, akan menerima pesan notifikasi atas transaksi berupa SMS yang akan tersimpan di dalam inbox.

Beberapa bank sudah menerapkan SMS Banking menjadi salah satu fiturnya. Pengguna cukup mengetikkan kode tertentu untuk melakukan transaksi dan dikirimkan melalui SMS. Saat SMS dikirimkan, pesan tidaklah dienkripsi. Lalu SMS tersebut diterima oleh server, seperti SMS Gateway, kemudian oleh server diambil data yang dimaksudkan. Saat mencari dan mengambil data yang dibutuhkan data dienkripsi. Saat pengiriman data yang dimintai oleh pengguna dapat dienkripsi terlebih dahulu atau tidak saat dikirimkan kembali, hal ini bergantung dengan kesepakatan antara developer dan provider.

Untuk metode enkripsi yang digunakan juga bisa apa saja tergantung kebutuhan dan permintaan user (client). Jika melakukan enkripsi saat pengirimin data ke pengguna maka akan membutuhkan biaya yang lebih.

Analisis keamanan pada SMS Banking :

1. Plainteks (berkas ASCII atau teks biasa (bahasa Inggris: 'plain text')) SMS dikirimkan melalui protokol GSM yang hanya dienkripsi menggunakan algoritma A5 (Algoritma A5 merupakan algoritma yang digunakan untuk melakukan enkripsi pada pensinyalan data dan suara dari mobile station/ponsel ke BTS), akan tetapi ada juga protokol GSM yang tidak melalui proses enkripsi terlebih dulu, sehingga semakin rawan saat pertukaran data terjadi. Algoritma A5 bukan merupakan enkripsi yang aman, karena peneliti telah membuktikan bahwa algoritma tersebut dapat ditembus dan tidak tahan terhadap serangan.
2. SMS yang menunggu untuk dikirim disimpan di store di dalam penyedia layanan yang berupa plainteks. Meskipun setelah pesan terkirim, penyedia layanan menyimpan semua pesan. Jika isi pesan tidak dienkripsi maka orang lain yang mendapatkan akses ke provider bisa melihat data yang bersifat privasi milik pengguna.
3. USSD banking (USSD or Unstructured Supplementary Service Data). Verifikasi tergantung hanya pada nomor pengirim, jika SIM card hilang atau diduplikasi, maka penyerang dapat menggunakan akun korban yang melakukan transaksi. Pesan USSD yang dikirimkan ke server bank hanya dienkripsi antara mobile station dan base receiver station. Pesan adalah plainteks yang ada di dalam jaringan operator telepon.
4. Pin authentifikasi. Bank menggunakan USSD untuk memperbolehkan konsumen mereka mengirimkan autentifikasi pin. Penyedia layanan dapat membaca Pin karena dikirimkan berupa plainteks.
5. Beberapa SMS Banking menggunakan WIG (wireless internet gateway-STK

 applications) dengan SIM menu sebagai aplikasi. Jika aplikasi ini dimuat ke dalam SIM
card maka membuat aplikasi mobile banking SIM card dependent. Jika SIM card hilang,
maka keamanannya terancam.