Oleh Anonymous, CISSP, CISM – Senior Cybersecurity Advisor Perbankan
DI banyak bank, ATM masih dipersepsikan sebagai isu operasional – bukan sebagai aset kritikal keamanan siber kelas tinggi. Padahal, pola serangan jackpotting touchless hari ini sudah berevolusi dari kejahatan fisik menjadi operasi siber lintas negara yang terstruktur, melibatkan malware khusus, infrastruktur command & control, dan jaringan money mule lokal yang rapi.
Berbeda dengan fraud berbasis kartu, pada jackpotting pelaku tidak tertarik pada data nasabah, melainkan langsung mengkonversi kerentanan teknologi menjadi uang tunai dalam hitungan menit. Di beberapa kasus internasional, satu rangkaian serangan terkoordinasi mampu menguras ratusan ribu dolar dari beberapa ATM sekaligus sebelum pusat kendali bank menyadari ada anomali.
Dari Rusia ke Indonesia: Modus Operandi yang Sama, Medan Main Berbeda
Modus yang dikembangkan kelompok peretas Rusia dan Eropa Timur menjadi “blueprint” global bagi pelaku jackpotting, termasuk yang kemudian bereplikasi di Asia. Malware seperti Ploutus, PadPin, WinPot, dan varian sejenis dirancang khusus untuk satu tujuan: mengambil alih fungsi dispenser uang tunai pada ATM.
Skemanya relatif konsisten: operator (hacker) menanam malware melalui jaringan internal bank, akses remote ke switch/terminal ATM, atau akses fisik singkat via port USB dan panel servis; setelah itu money mule lokal hanya perlu datang, memasukkan kode/pola tertentu (bisa berupa PIN khusus, SMS, atau instruksi dari aplikasi), lalu menunggu kaset uang kosong satu per satu.
Baca juga: Jurus BCA Cegah Serangan Siber Sebelum Tembus ke Publik
Kenapa Jackpotting Touchless Sangat Berbahaya bagi Bank
Ada tiga karakteristik yang membuat jackpotting touchless menjadi mimpi buruk bagi direksi dan pemilik bank:
- Low touch – high impact
Kontak fisik langsung dengan ATM berlangsung sangat singkat; setelah malware tertanam dan koneksi ke command & control terbentuk, sebagian besar eksekusi bisa dilakukan tanpa kehadiran pelaku di lokasi. Risiko tertangkap CCTV atau petugas menjadi jauh lebih kecil, sementara potensi kerugian per ATM bisa sangat besar. - Legacy-centric
ATM yang masih menjalankan sistem operasi usang, middleware lama, dan tidak pernah di-hardening merupakan “sasaran empuk”. Banyak platform ini sudah end-of-support sehingga tidak lagi menerima patch keamanan, sementara bank sering menahan upgrade demi alasan CAPEX dan kompatibilitas. - Blind spot monitoring
Di banyak bank, domain ATM dikelola sebagai silo terpisah, tidak sepenuhnya terintegrasi dengan SOC, SIEM, atau sistem fraud monitoring. Akibatnya, event kritikal seperti akses servis tidak wajar, restart berulang, atau pola cash-out tak lazim sering tidak terbaca sebagai indikator kompromi sampai kaset kosong.
Risiko Strategis: Bukan Sekadar Kerugian Tunai
Bagi direksi himpunan bank milik negara (Himbara), bank swasta, Bank Pembangunan Daerah (BPD), Bank Perkreditan Rakyat (BPR), dan BPR Syariah, jackpotting touchless bukan hanya isu kerugian tunai, tetapi risiko franchise value:
- Reputasi dan kepercayaan publik
Pemberitaan berulang soal ATM “mengeluarkan uang sendiri” dalam jumlah masif akan menggerus kepercayaan, terutama di bank yang menjadi tulang punggung layanan tunai di daerah. Di pasar yang sangat sensitif terhadap isu keamanan, persepsi “ATM bank X mudah dibobol” akan berimbas pada migrasi dana dan penurunan loyalitas. - Tekanan regulator dan litigasi
Regulator global sudah menempatkan keamanan ATM sebagai bagian dari posture cyber-resilience institusi. Kegagalan mengelola patching, hardening, dan monitoring dapat dipandang sebagai kelemahan tata kelola TI dan risk management. Potensi sanksi administratif maupun tuntutan hukum tidak bisa diabaikan.
Anatomy of Attack: Dari Jaringan Sampai Kaset Uang
Secara teknis, serangan jackpotting touchless biasanya mengikuti pola berikut:
- Initial access
Pelaku memanfaatkan kredensial bocor, konfigurasi remote access yang lemah, atau celah pada jaringan internal dan perangkat pendukung ATM (router, modem, hingga perangkat IoT yang terhubung). Dalam beberapa kasus, akses fisik singkat ke port USB atau panel servis cukup untuk menginjeksi malware dan menanam backdoor. - Persistence & control
Malware dirancang untuk menyamar sebagai komponen legitimate, mem-bypass kontrol aplikasi, dan mempertahankan koneksi ke server kendali melalui kanal terenkripsi atau teknik tunneling. Setelah itu, fungsi-fungsi sensitif seperti kontrol dispenser uang bisa di-invoke on-demand dengan script atau kode tertentu. - Cash-out orchestration
Operator memberikan instruksi real-time kepada money mule di lapangan—melalui pesan instan, telepon, atau aplikasi khusus—untuk berdiri di depan ATM pada jam tertentu, memicu perintah, lalu menguras kaset. Dalam beberapa kampanye internasional, jaringan money mule diorganisir layaknya “franchise” dengan sistem bagi hasil.
Mengapa Banyak Bank Masih “Underprepared”
Dari pengalaman di lapangan, ada beberapa pola umum yang membuat banyak bank—terutama bank menengah, BPD, BPR, dan BPR Syariah—berada dalam posisi rentan:
- ATM dianggap aset operasional, bukan aset siber kritikal. Penganggaran keamanan ATM sering dikalahkan oleh prioritas front-end digital (mobile, internet banking), padahal jalur kerugian tunai tercepat justru berasal dari kanal ATM.
- Outsourcing tanpa governance yang kuat. Banyak aspek pengelolaan ATM (cash replenishment, pemeliharaan, komunikasi, hingga software management) dipisah-pisah ke berbagai vendor. Tanpa kontrak dan SLA keamanan yang jelas, kontrol end-to-end menjadi lemah dan menimbulkan celah di titik integrasi.
- Keterbatasan kapabilitas SOC terhadap domain ATM. Tidak semua SOC di Indonesia mengkonsumsi log lengkap dari perangkat ATM, switch, HSM, EDC, dan jaringan pendukungnya. Akibatnya, korelasi antara event di jaringan core dan perilaku ATM sering tidak terbentuk, sehingga serangan yang sophisticated lolos dari radar.
Prioritas Mitigasi: 10 Agenda Direktur yang Tidak Bisa Ditunda
Untuk level direksi, isu ini perlu diterjemahkan menjadi agenda kebijakan yang konkret, terukur, dan dapat diaudit. Beberapa langkah prioritas:
- Mandat “Secure by Design” untuk seluruh siklus hidup ATM. Setiap pengadaan, refresh, atau relokasi ATM harus mengikuti standar keamanan minimum: OS dan firmware yang masih didukung vendor, modul keamanan endpoint, enkripsi komunikasi, serta dukungan fitur hardening seperti application whitelisting.
- Program de-legacy dan patching agresif. Tetapkan roadmap jelas untuk mengganti atau men-segmentasi ketat ATM yang berbasis OS end-of-support. Untuk yang belum bisa diganti, terapkan patching berkala dengan jendela pemeliharaan yang disiplin, disertai kontrol kompensasi seperti segmentasi jaringan ketat dan pengawasan manual tambahan.
- Network hardening dan zero trust untuk domain ATMKomunikasi antara ATM dan host harus sepenuhnya terenkripsi dengan standar kuat; akses remote ke perangkat pendukung harus melewati VPN terkontrol, multi-factor authentication, dan prinsip least privilege. Segala bentuk akses langsung dari internet ke jaringan ATM harus dihilangkan.
- Endpoint protection dan whitelisting di ATMTerapkan solusi endpoint yang dirancang khusus untuk environment ATM dan sistem tertanam—ringan, stabil, namun mampu mendeteksi pola malware jackpotting. Application whitelisting harus menjadi default: hanya executable yang disetujui yang boleh berjalan.
- Disable port dan servis yang tidak perlu. Semua port USB dan antarmuka eksternal lain pada ATM harus dinonaktifkan secara default kecuali yang benar-benar dibutuhkan untuk maintenance, dengan prosedur aktivasi sementara yang diawasi dan tercatat.
- Integrasi penuh ATM ke dalam SOC dan fraud monitoring. Data log dari OS ATM, middleware, switch, HSM, dan perangkat komunikasi harus dikonsolidasikan ke platform SIEM dan dianalisis secara real-time dengan use case khusus: deteksi cash-out masif, restart beruntun, perubahan konfigurasi aneh, dan akses servis di luar jam normal.
- Model kolaborasi vendor yang berorientasi keamanan. Seluruh kontrak dengan vendor pengelola ATM, pemilik lokasi, dan penyedia jaringan harus memasukkan klausul keamanan yang tegas: standar patching, pemantauan, audit berkala, serta hak bank untuk melakukan penetration test dan red teaming.
- Pengetatan proses fisik dan video-analytics. Di lokasi-lokasi berisiko tinggi, kombinasikan kontrol fisik (kunci unik, segel, brankas standar tinggi) dengan CCTV HD yang terhubung ke analitik video untuk mendeteksi perilaku mencurigakan di depan ATM, khususnya aktivitas servis tidak wajar oleh pihak “beratribut teknisi”.
- Program anti-money mule dan kolaborasi penegak hukum. Jackpotting selalu berpasangan dengan jaringan money mule. Bank perlu membangun tim khusus yang bekerja sama dengan aparat penegak hukum, operator telekomunikasi, dan penyedia platform digital untuk mengidentifikasi pola perekrutan mule dan arus dana hasil kejahatan.
- Simulasi insiden dan skenario “ATM cash-out” di tingkat manajemen. Rapat manajemen risiko harus mulai memasukkan skenario ATM cash-out terkoordinasi sebagai bagian dari stress test operasional dan likuiditas harian. Waktu deteksi, waktu respons, dan prosedur penghentian operasi sementara di wilayah tertentu perlu diuji sebelum krisis terjadi.
Baca juga: Dari Perang Gerilya ke Perang Siber: Pelajaran dari Cu Chi untuk Direksi Bank
Penutup: Dari Biaya Tambahan Menjadi Diferensiasi Kepercayaan
Dalam lanskap kompetisi perbankan Indonesia yang semakin digital, keamanan ATM sering dianggap sebagai “legacy cost” yang kurang menarik dibandingkan investasi superapps dan ekosistem. Padahal, bagi masyarakat di luar kota besar—dan bagi banyak UMKM—ATM tetap menjadi lifeline utama untuk akses uang tunai dan transaksi sehari-hari.
Direksi yang mampu menjadikan keamanan ATM—termasuk mitigasi jackpotting touchless—sebagai bagian dari narasi trust & resilience akan memiliki posisi tawar berbeda di mata nasabah, regulator, dan investor. Bukan sekadar “memenuhi compliance”, tetapi menunjukkan bahwa bank memahami bahwa setiap rupiah yang hilang dari mesin ATM, pada akhirnya adalah erosi kepercayaan yang jauh lebih mahal dari semua biaya teknologi yang dihemat. (*)
