Email : Ummu Waheedah
Sudah lebih tiga minggu peristiwa akaun simpanan dan akaun semasa saya di 'curi' secara professional. Saya amat berterimakasih kepada insan2 yang sudi membaca, mendoakan saya dan tak lupa terima kasih berserta doa kepada mereka yang sudi membantu. Mudah2an Allah s.w.t memberi kemudahan pula kpd kalian yg saya kenali dan tidak saya kenali.
Penantian saya untuk mendapatkan jawapan bertulis dari maybank berakhirnya pada 10 disember 2009 (Khamis) kira-kira jam 12 tengahari bila seorang posmen membawa surat berlogo maybank. Resah juga rasanya, apakah ada berita gembira. Surat tersebut bertarikh 2 Dec 2009,tetapi sampul bercop pos kuala lumpur bertarikh 8 dec 2009 (Selasa). Huh lamanya masa untuk sampai ke tangan saya.. inikan kecanggihan teknologi??
Berikut adalah petikan dari surat jawapan maybank bertarikh 2nd Dec 2009:
Please allow us to provide our findings below on the above transaction for your information:
*The internet banking username and password were used on 19/11/2009 to successfully make a login to your Maybank account 5xxxxxxxxx98 via Maybank2u.com
*At 12.10pm, 19/11/2009, a Transaction Authorisation Code (TAC) was requested through your maybank2U.com account and a valid TAC was successfully sent to mobile number :019976xxxx
*at 12.12pm, 19/11/2009 , this TAC was used to create a favourite Third Party account.
*Subsequently at 12.35pm, a fund transfer amounting to RM800.00 was made to the Favourite Third Party account 114236267361 from your account 5xxxxxxxxx98 on the same day.
We would like to clarify that a valid Username and Password were used to access your account via maybank2.com.
Base on our investigation into our system, our records showed there were no system failure, problem or breach of security of Maybank2u.com in processing the above activities at the date and time mentioned involving the above account.
In view of this, we very much regret to inform you that the bank is unable to accede to your request to refund of the said amount.
As you have made a police report of the above alleged unauthorized transaction, please be assured that the Bank will co-operate with the police and relevant authorities to assist them in their investigation into this matter.
** tamat petikan**
Saya tidak terkejut dengan jawapan dari pihak Maybank. Saya sudah jangka tentunya pihak Maybank tidak akan membayar ganti rugi berdasarkan bukti dari sistem teknologi perbankkan mereka yang telah dilengkapi dengan sistem keselamatan yang mereka yakini. Malah saya sebagai pelanggan setia Maybank sejak tahun 1985 sememangnya menaruh kepercayaan penuh terhadap sistem perbankan ini sehingga saya cuai untuk meneliti URL maybank yang sahih ketika mana saya terpedaya pada 19 Disember 2009.
Pihak Maybank hanya menyiasat satu akaun sedangkan saya melaporkan dua transaksi. satu dari akaun semasa dan satu lagi dari akaun simpanan. Mengapa taransaksi akaun simpanan saya tidak disiasat sekali gus?Apakah ini satu ketinggalan atau sengaja dicuaikan untuk mengelak dari terbuktinya pengeluaran melebihi had sehari?
Kini selepas mendapat jawapan bertulis dari Maybnak ,timbul rasa kesal dengan tindakan pegawai maybank ketika saya melaporkan perkara ini kepada mereka pada 20/11/2009 melalui talipon ,melalui email dan kemudiannya saya pergi ke cawangan bank untuk membuat laporan dengan mengisi borang aduan. Tiada borang aduan khas untuk aktiviti 'phising' ini, yang ada hanyalah borang aduan biasa berkaitan pertikaian terhadap transaksi yang berlaku pada 19/11/2009.
Semasa melapor perkara ini melalui talian bebas tol 1800886688, pegawai yg menerima laporan (seorang wanita) dengan cepatnya menyatakan bahawa beliau akan menyekat transaksi perbankan internet saya sedangkan saya pada waktu itu sedang melayari maybank2u.com. Beliau tidak mencadangkan saya untuk merakam screenshoot aktiviti pendaftaran favourite account atau membuat simpanan rekod2 transaksi .. Mujurlah saya teringat untuk merakam M2Uhistory bagi transaksi akaun semasa dan semasa.
Alasan beliau untuk mnenyekat perbankan internet saya ialah untuk mengelakkan sebarang pencerobohan selanjutnya. Sedangkan saya telah ubah password,bukankah username dan password adalah kunci utama keselamatan perbankan internet maybank? Beliau juga menyarankan saya membuat laporan bertulis di cawangan.Pegawai cawangan pula menyuruh saya membuat kad ATM baru, membatalkan perbankan internet dan buka akaun perbankan internet yg baru. Semuanya saya turuti tanpa curiga.
Bila akaun perbankan baru dicipta, rupanya transaksi M2Uhistory sebelumnya semua terhapus (deleted). Maka jika saya mahu bawa perkara ini ke mahkamah, saya sudah tidak ada bukti. Apakah ini konspirasi Maybank? Selepas itu banyak masa saya gunakan untuk menguji sistem keselamatan Maybank .Penemuan2 berikut menunjukkan kelompangan pada sistem keselamatan perbankan Maybank:-
1-Satu TAC boleh digunakan lebih dari sekali selagi pengguna tidak log-out. Ini bermakna pengguna boleh melakukan banyak transaksi berisiko tanpa perlu mengulang permohonan TAC.Ini membuka peluang pencuri membuat banyak aktiviti tanpa dikesan oleh pengguna yg sah.
2-Nombor TAC maybank terdiri dari 6 digit numerical. Ini memudahkan numbor tersebut ditiru jika formula untuk mendapatkan nombor tersebut diketahui.Tentunya pencuri maya ini sudah arif dengan kelemahan ini.
3-Pindahan wang ke akaun yang telah didaftar dibawah kategori akaun favourite tidak memerlukan TAC,TAC hanya diperlukan untuk mendaftarkan akaun tersebut bagi perdaftaran pertama kali..Sepatutnya akaun favourite cuma diguna untuk memudahkan pelanggan agar tak pelu mengintati nombor akaun ttp setiap transacsi sepatutnya perlu TAC yg baru.
.
4-Untuk mengakses dan membuat transaksi di mayban2u.com hanya username dan password diperlukan. Sedangkan dibank lain seperti citibank, ada sistem keselamatan lapis kedua iaitu pengguna perlu menjawap soalan favorite yang hanya dikelatuhui oleh pengguna tersebut sahaja.
5-Jumlah yang telah dikeluarkan pada hari tersebut melebih dari had minima yang dibenarkan secara default oleh sistem perbankan Maybank iaitu RM3000. Bagaimana ini boleh berlaku? Saya tahu kenapa pencuri itu mendaftarkan akaun Lina hazlina sebagai 3rd party favourite akaun. Ini kerana sistem perbankan maybank membenarkan pindahan tanpa had kepada akaun favourite.
Apa yang saya kesali ialah pihak maybank mengatakan mereka tidak mempunyai kuasa untuk menyekat akaun Lina Hazlina dan mereka tidak mahu memberitahu nama penuh Lina Hazlina bila saya bertanya semasa membuat aduan bertulis di pejabat cawangan Kuantan.Maklumat pelanggan adalah sulit kata mereka.. Sedangkan duit telah dipindah ke akaun beliau. Jika benar transaksi tersebut telah berlaku secara sah seperti yg didakwa oleh mereka dalam surat jawapan tersebut, kenapa saya tak boleh tahu nama orang yg saya berikan duit?
Ya walaupun Maybank tidak ada kuasa, Allah maha berkuasa. Ada juga hambaAllah yg tidak saya kenali telah membantu saya mendapatkan maklumat Lina Hazlina binti Agus Romani ini,Alhamdulillah. Semuga Maybank terus majujaya dengan sistem yang mereka cipta. Apakah saya masih boleh berharap kepada siasatan pihak Cyber security, virtual banking,Consumer banking Maybank?
Mudah2an ada pihak yang akan bersama saya membanteras kegiatan 'cyber trick, vitual buglary, cheating consumer' ini selain berharap kepada siasatan polis dan pihak berkuasa yang kan saya kemukakan kemudian..Idea daripada pembaca2 semua dialu2kan. Silalah catatkan komentar tuan/puan di blog saya : Memacu minda ummah
Sudah lebih tiga minggu peristiwa akaun simpanan dan akaun semasa saya di 'curi' secara professional. Saya amat berterimakasih kepada insan2 yang sudi membaca, mendoakan saya dan tak lupa terima kasih berserta doa kepada mereka yang sudi membantu. Mudah2an Allah s.w.t memberi kemudahan pula kpd kalian yg saya kenali dan tidak saya kenali.Penantian saya untuk mendapatkan jawapan bertulis dari maybank berakhirnya pada 10 disember 2009 (Khamis) kira-kira jam 12 tengahari bila seorang posmen membawa surat berlogo maybank. Resah juga rasanya, apakah ada berita gembira. Surat tersebut bertarikh 2 Dec 2009,tetapi sampul bercop pos kuala lumpur bertarikh 8 dec 2009 (Selasa). Huh lamanya masa untuk sampai ke tangan saya.. inikan kecanggihan teknologi??
Berikut adalah petikan dari surat jawapan maybank bertarikh 2nd Dec 2009:
Please allow us to provide our findings below on the above transaction for your information:
*The internet banking username and password were used on 19/11/2009 to successfully make a login to your Maybank account 5xxxxxxxxx98 via Maybank2u.com
*At 12.10pm, 19/11/2009, a Transaction Authorisation Code (TAC) was requested through your maybank2U.com account and a valid TAC was successfully sent to mobile number :019976xxxx
*at 12.12pm, 19/11/2009 , this TAC was used to create a favourite Third Party account.
*Subsequently at 12.35pm, a fund transfer amounting to RM800.00 was made to the Favourite Third Party account 114236267361 from your account 5xxxxxxxxx98 on the same day.
We would like to clarify that a valid Username and Password were used to access your account via maybank2.com.
Base on our investigation into our system, our records showed there were no system failure, problem or breach of security of Maybank2u.com in processing the above activities at the date and time mentioned involving the above account.
In view of this, we very much regret to inform you that the bank is unable to accede to your request to refund of the said amount.
As you have made a police report of the above alleged unauthorized transaction, please be assured that the Bank will co-operate with the police and relevant authorities to assist them in their investigation into this matter.
** tamat petikan**
Saya tidak terkejut dengan jawapan dari pihak Maybank. Saya sudah jangka tentunya pihak Maybank tidak akan membayar ganti rugi berdasarkan bukti dari sistem teknologi perbankkan mereka yang telah dilengkapi dengan sistem keselamatan yang mereka yakini. Malah saya sebagai pelanggan setia Maybank sejak tahun 1985 sememangnya menaruh kepercayaan penuh terhadap sistem perbankan ini sehingga saya cuai untuk meneliti URL maybank yang sahih ketika mana saya terpedaya pada 19 Disember 2009.
Pihak Maybank hanya menyiasat satu akaun sedangkan saya melaporkan dua transaksi. satu dari akaun semasa dan satu lagi dari akaun simpanan. Mengapa taransaksi akaun simpanan saya tidak disiasat sekali gus?Apakah ini satu ketinggalan atau sengaja dicuaikan untuk mengelak dari terbuktinya pengeluaran melebihi had sehari?
Kini selepas mendapat jawapan bertulis dari Maybnak ,timbul rasa kesal dengan tindakan pegawai maybank ketika saya melaporkan perkara ini kepada mereka pada 20/11/2009 melalui talipon ,melalui email dan kemudiannya saya pergi ke cawangan bank untuk membuat laporan dengan mengisi borang aduan. Tiada borang aduan khas untuk aktiviti 'phising' ini, yang ada hanyalah borang aduan biasa berkaitan pertikaian terhadap transaksi yang berlaku pada 19/11/2009.
Semasa melapor perkara ini melalui talian bebas tol 1800886688, pegawai yg menerima laporan (seorang wanita) dengan cepatnya menyatakan bahawa beliau akan menyekat transaksi perbankan internet saya sedangkan saya pada waktu itu sedang melayari maybank2u.com. Beliau tidak mencadangkan saya untuk merakam screenshoot aktiviti pendaftaran favourite account atau membuat simpanan rekod2 transaksi .. Mujurlah saya teringat untuk merakam M2Uhistory bagi transaksi akaun semasa dan semasa.
Alasan beliau untuk mnenyekat perbankan internet saya ialah untuk mengelakkan sebarang pencerobohan selanjutnya. Sedangkan saya telah ubah password,bukankah username dan password adalah kunci utama keselamatan perbankan internet maybank? Beliau juga menyarankan saya membuat laporan bertulis di cawangan.Pegawai cawangan pula menyuruh saya membuat kad ATM baru, membatalkan perbankan internet dan buka akaun perbankan internet yg baru. Semuanya saya turuti tanpa curiga.
Bila akaun perbankan baru dicipta, rupanya transaksi M2Uhistory sebelumnya semua terhapus (deleted). Maka jika saya mahu bawa perkara ini ke mahkamah, saya sudah tidak ada bukti. Apakah ini konspirasi Maybank? Selepas itu banyak masa saya gunakan untuk menguji sistem keselamatan Maybank .Penemuan2 berikut menunjukkan kelompangan pada sistem keselamatan perbankan Maybank:-
1-Satu TAC boleh digunakan lebih dari sekali selagi pengguna tidak log-out. Ini bermakna pengguna boleh melakukan banyak transaksi berisiko tanpa perlu mengulang permohonan TAC.Ini membuka peluang pencuri membuat banyak aktiviti tanpa dikesan oleh pengguna yg sah.
2-Nombor TAC maybank terdiri dari 6 digit numerical. Ini memudahkan numbor tersebut ditiru jika formula untuk mendapatkan nombor tersebut diketahui.Tentunya pencuri maya ini sudah arif dengan kelemahan ini.
3-Pindahan wang ke akaun yang telah didaftar dibawah kategori akaun favourite tidak memerlukan TAC,TAC hanya diperlukan untuk mendaftarkan akaun tersebut bagi perdaftaran pertama kali..Sepatutnya akaun favourite cuma diguna untuk memudahkan pelanggan agar tak pelu mengintati nombor akaun ttp setiap transacsi sepatutnya perlu TAC yg baru.
.
4-Untuk mengakses dan membuat transaksi di mayban2u.com hanya username dan password diperlukan. Sedangkan dibank lain seperti citibank, ada sistem keselamatan lapis kedua iaitu pengguna perlu menjawap soalan favorite yang hanya dikelatuhui oleh pengguna tersebut sahaja.
5-Jumlah yang telah dikeluarkan pada hari tersebut melebih dari had minima yang dibenarkan secara default oleh sistem perbankan Maybank iaitu RM3000. Bagaimana ini boleh berlaku? Saya tahu kenapa pencuri itu mendaftarkan akaun Lina hazlina sebagai 3rd party favourite akaun. Ini kerana sistem perbankan maybank membenarkan pindahan tanpa had kepada akaun favourite.
Apa yang saya kesali ialah pihak maybank mengatakan mereka tidak mempunyai kuasa untuk menyekat akaun Lina Hazlina dan mereka tidak mahu memberitahu nama penuh Lina Hazlina bila saya bertanya semasa membuat aduan bertulis di pejabat cawangan Kuantan.Maklumat pelanggan adalah sulit kata mereka.. Sedangkan duit telah dipindah ke akaun beliau. Jika benar transaksi tersebut telah berlaku secara sah seperti yg didakwa oleh mereka dalam surat jawapan tersebut, kenapa saya tak boleh tahu nama orang yg saya berikan duit?
Ya walaupun Maybank tidak ada kuasa, Allah maha berkuasa. Ada juga hambaAllah yg tidak saya kenali telah membantu saya mendapatkan maklumat Lina Hazlina binti Agus Romani ini,Alhamdulillah. Semuga Maybank terus majujaya dengan sistem yang mereka cipta. Apakah saya masih boleh berharap kepada siasatan pihak Cyber security, virtual banking,Consumer banking Maybank?
Mudah2an ada pihak yang akan bersama saya membanteras kegiatan 'cyber trick, vitual buglary, cheating consumer' ini selain berharap kepada siasatan polis dan pihak berkuasa yang kan saya kemukakan kemudian..Idea daripada pembaca2 semua dialu2kan. Silalah catatkan komentar tuan/puan di blog saya : Memacu minda ummah
12 ulasan:
Salam puan...
Saya nak cuba tolong puan...sila emel saya ilhamjabil@gmail.com
Setahu saya TAC hanya boleh sekali guna saja, saya pernah cuba tapi memang tak boleh, biasanya sebelum masukkan password saya pastikan ada lambang kunci di sebelah kanan URL dan URL "https" sebelem alamat web,, itu adalah seciritynya, kalau tak ada kedua-dua tu saya akan tutup window tu, dan buka lain selepas 10 minit kemudian utk keselamatan...
sehingga harini aku tak pernah buat perbankan internet sebab tahu risiko amat tinggi walaupun internet memberi kesenangan tidak membuang masa, aku lebih senang untuk buat urusan secara hand by hand atau terus ke kaunter dan mesin ATM, untuk membuang tabiat malas, susah dahulu akan senang kemudian harinya.
jangan percayakan perbankan internet
TAc boleh guna banyak kali tetapi dalam tempoh 2 jam sahaja. selepas itu mohon yang baru pula.- Imam
mesti puan salah masuk laman web...
zaman skang ni ramai penipu...
pastikan puan masuk dalam web www.maybank2u.com.my......
kalo selain tu, semuanya palsu...
ok sekarang aku dah baca kesemua komen-komen kalian mula-mula ada yang kata TAC boleh guna hanya sekali sahaja. Lepas itu ada satu komen beritahu TAc boleh guna banyak kali tetapi dalam tempoh 2 jam sahaja.
mana satu yang tepat? sekarang kedua-dua komen telah membuat kita keliru mana satu yang betul mana satu yang tak betul sebab itu internet banyak memutar alam.
apa-apa pun maybank harus bertanggung jawab keatas akaun pelanggan sebab ini salah satu privacy hak pelanggan bukan mengodam secara sesuka hati. kalau hendak buat secara sesuka hati maka tiada kepercayaan lagi terhadap maybank itu.
p/s: jalur lebar iaitu internet adalah melayari sehingga tanpa sempadan, tetapi jangan lupa apa yang kita menyalurkan maklumat puak-puak MSC (Multimedia Super Corridor) sedang memantau apa yang kita hulurkan, manalah tahu salah seorang musuh YB think tank puak2 pemikir vvip untuk balas dendamkan.
1.pastikan ada lambang kunci dan https://
2.jgn sesekali login tru url from email
--
Komen saya (bekerja dalam bidang IT)
1.Tidak praktikal kalau setiap kali mahu buat transaksi dalam satu masa, kena buat TAC banyak kali. TAC yang sama valid hanya dalam tempoh tertntu(Sekali login)
2. kalau buat Kad lain dan perbankan internet pun buat yang baru, sah2 history lama terpadam
3. Sedikit pengetahuan asas diperlukan dalam perbankan internet.Selebihnya berhati-hati.
-
Saya tidak menyebelahi Maybank ,cuma pandangan saya dari segi Business As Usual (BAU):-
1. MBB mmg tidak ada kesalahan dari segi proses pengeluaran TAC dan sebagainya kerana kesemua proses mengikut security yang sebenarnya.Masalah terjadi kerana Ada orang jahat(meniru website MBB) dan ada orang yang terpedaya dengan website tiruan.Puan boleh hantarkan emel pn spy saya bleh hantarkan bagaimana penipuan ini boleh terjadi(Sekadar yang termampu beserta gambar)
Saya bersetuju dengan saya.(saya juga orang IT). Teknologi amat membantu..tetapi harus diingat langkah hati-hati dan tidak mudah mendedahkan id kepada orang luar amat penting. Penggunaan komputer peribadi juga amat penting. Tidak boleh guna sebarang komputer utk membuat transaksi. Saya pengguna Maybank sejak ia diperkenalkan. Langkah ini saya ambil dan kita boleh tetapkan masa langganan kepada maybank agar pihak maybank boleh cam sama ada langganan kita itu sah atau tidak. JUga peringatan ke telefon kita. Apabila berlaku penipuan. contohnya mencuri wang dari akaun kita..cara terbaik adalah matikan akaun tersebut ..tukar no akaun. Kalau setakat tukar passwrod dan id. itu sedikit pun tidak menjejaskan pihak terlibat. mereka boleh curi lagi maklumat. Kepada yang gemar berchatiing...matikan ruangan chatiing anda sebelum melakukan sebarnag transaksi...mereka yang tidak bertanggungjawab boleh detect kegiatan anda semasa ruangan chatting sedang online. Byk lagi...bykkan membaca dan jgn pernah kecewa dgn teknologi. teknologi tak salah..tapi kita kadang-kadang tersalah faham dalam menggunakannya.
sebenarnya pihak IT/Security Maybank boleh buat semakan IP address pada waktu berlaku transaction tersebut, IP address tersebut boleh refer pada mana2 ISP berdaftar di Malaysia. pandai2 la ISP detect dari mana destination IP tersebut
kes ni slalunye sbb ade replicate website maybank2u pada setiap page pada maybank2u.com dan pencuri tu ada software keystroke dan mouse click detection pada website tiruan tu. jadi kemungkinan besar pencuri tersebut memang seorang pengguna berdaftar maybank2u.com
yakinkah kita akan keselamatan sistem Perbankan elektronik....
saya selalu menggunakan maybank 2u...dan saya selalu mencadangkan kepada kawan2 dan saudara mara supaya menggunakan maybank 2u. kerana ia memudahkan...tapi setelah membaca kisah ini saya takut kehilangan duit,,,adakah saya masih boleh percaya dengan maybank???. saya rasa seperti mahu tutup akaun dan buat akaun di bank lain...
Catat Ulasan