Saturday, December 12, 2009

Maybank tak ada kuasa??.


Sudah lebih tiga minggu peristiwa akaun simpanan dan akaun semasa saya di 'curi' secara professional.Saya amat berterimakasih kepada insan2 yang sudi membaca, mendoakan saya dan tak lupa terima kasih berserta doa kepada mereka yang sudi membantu. Mudah2an Allah s.w.t memberi kemudahan pula kpd kalian yg saya kenali dan tidak saya kenali.

Penantian saya untuk mendapatkan jawapan bertulis dari maybank berakhir pada 10 disember 2009 (Khamis) kira-kira jam 12 tengahari bila seorang posmen membawa surat berlogo maybank. Resah juga rasanya, apakah ada berita gembira. Surat tersebut bertarikh 2 Dec 2009,tetapi sampul bercop pos kuala lumpur bertarikh 8 dec 2009 (Selasa). Huh lamanya masa untuk sampai ke tangan saya.. inikan kecanggihan teknologi??

Berikut adalah petikan dari surat jawapan maybank bertarikh 2nd Dec 2009:

Please allow us to provide our findings below on the above transaction for your information:
*The internet banking username and password were used on 19/11/2009 to successfully make a login to your Maybank account 5xxxxxxxxx98 via Maybank2u.com
*At 12.10pm, 19/11/2009, a Transaction Authorisation Code (TAC) was requested through your maybank2U.com account and a valid TAC was successfully sent to mobile number :019976xxxx
*at 12.12pm, 19/11/2009 , this TAC was used to create a favourite Third Party account.
*Subsequently at 12.35pm, a fund transfer amounting to RM800.00 was made to the Favourite Third Party account 114236267361 from your account 5xxxxxxxxx98 on the same day.

We would like to clarify that a valid Username and Password were used to access your account via maybank2.com.

Base on our investigation into our system, our records showed there were no system failure, problem or breach of security of Maybank2u.com in processing the above activities at the date and time mentioned involving the above account.

In view of this, we very much regret to inform you that the bank is unable to accede to your request to refund of the said amount.

As you have made a police report of the above alleged unauthorized transaction, please be assured that the Bank will co-operate with the police and relevant authorities to assist them in their investigation into this matter.
** tamat petikan**


Saya tidak terkejut dengan jawapan dari pihak Maybank. Saya sudah jangka tentunya pihak Maybank tidak akan membayar ganti rugi berdasarkan bukti dari sistem teknologi perbankkan mereka yaang telah dilengkapi dengan sistem keselamatan yang mereka yakini. Malah saya sebagai pelanggan setia Maybank sejak tahun 1985 sememangnya menaruh kepercayaan penuh terhadap sistem perbankan ini sehingga saya cuai untuk meneliti URL maybank yang sahih ketika mana saya terpedaya pada 19 Disember 2009.

Pihak Maybank hanya menyiasat satu akaun sedangkan saya melaporkan dua transaksi. satu dari akaun semasa dan satu lagi dari akaun simpanan. Mengapa transaksi akaun simpanan saya tidak disiasat sekali gus?Apakah ini satu ketinggalan atau sengaja dicuaikan untuk mengelak dari terbuktinya pengeluaran melebihi had sehari?

Kini selepas mendapat jawapan bertulis dari Maybnak ,timbul rasa kesal dengan tindakan pegawai maybank ketika saya melaporkan perkara ini kepada mereka pada 20/11/2009 melalui talipon ,melalui email dan kemudiannya saya pergi ke cawangan bank untuk membuat laporan dengan mengisi borang aduan. Tiada borang aduan khas untuk aktiviti 'phising' ini, yang ada hanyalah borang aduan biasa berkaitan pertikaian terhadap transaksi yang berlaku pada 19/11/2009.

Semasa melapor perkara ini melalui talian bebas tol 1800886688, pegawai yg menerima laporan (seorang wanita) dengan cepatnya menyatakan bahawa beliau akan menyekat transaksi perbankan internet saya sedangkan saya pada waktu itu sedang melayari maybank2u.com. Beliau tidak mencadangkan saya untuk merakam screenshoot aktiviti pendaftaran favourite account atau membuat simpanan rekod2 transaksi . Mujurlah saya teringat untuk merakam M2Uhistory bagi transaksi akaun semasa dan semasa.

Alasan beliau untuk mnenyekat perbankan internet saya ialah untuk mengelakkan sebarang pencerobohan selanjutnya.Sedangkan saya telah ubah password,bukankah username dan password adalah kunci utama keselamatan perbankan internet maybank? Beliau juga menyarankan saya membuat laporan bertulis di cawangan.Pegawai cawangan pula menyuruh saya membuat kad ATM baru, membatalkan perbankan internet dan buka akaun perbankan internet yg baru. Semuanya saya turuti tanpa curiga.

Bila akaun perbankan baru dicipta, rupanya transaksi M2Uhistory sebelumnya semua terhapus (deleted). Maka jika saya mahu bawa perkara ini ke mahkamah, saya sudah tidak ada bukti. Apakah ini konspirasi Maybank? Selepas itu banyak masa saya gunakan untuk menguji sistem keselamatan Maybank .Penemuan2 berikut menunjukkan kelompangan pada sistem keselamatan perbankan Maybank:-

1-Satu TAC boleh digunakan lebih dari sekali selagi pengguna tidak log-out. Ini bermakna pengguna boleh melakukan banyak transaksi berisiko tanpa perlu mengulang permohonan TAC.Ini membuka peluang pencuri membuat banyak aktiviti tanpa dikesan oleh pengguna yg sah.

2-Nombor TAC maybank terdiri dari 6 digit numerical. Ini memudahkan numbor tersebut ditiru jika formula untuk mendapatkan nombor tersebut diketahui.Tentunya pencuri maya ini sudah arif dengan kelemahan ini.

3-Pindahan wang ke akaun yang telah didaftar dibawah kategori akaun favourite tidak memerlukan TAC,TAC hanya diperlukan untuk mendaftarkan akaun tersebut bagi perdaftaran pertama kali.Sepatutnya akaun favourite cuma diguna untuk memudahkan pelanggan agar tak pelu mengintati nombor akaun ttp setiap transacsi sepatutnya perlu TAC yg baru.
.
4-Untuk mengakses dan membuat transaksi di mayban2u.com hanya username dan password diperlukan. Sedangkan dibank lain seperti citibank, ada sistem keselamatan lapis kedua iaitu pengguna perlu menjawap soalan favorite yang hanya dikelatuhui oleh pengguna tersebut sahaja.

5-Jumlah yang telah dikeluarkan pada hari tersebut melebih dari had minima yang dibenarkan secara default oleh sistem perbankan Maybank iaitu RM3000. Bagaimana ini boleh berlaku? Saya tahu kenapa pencuri itu mendaftarkan akaun Lina hazlina sebagai 3rd party favourite akaun. Ini kerana sistem perbankan maybank membenarkan pindahan tanpa had kepada akaun favourite.

Apa yang saya kesali ialah pihak maybank mengatakan mereka tidak mempunyai kuasa untuk menyekat akaun Lina Hazlina dan mereka tidak mahu memberitahu nama penuh Lina Hazlina bila saya bertanya semasa membuat aduan bertulis di pejabat cawangan Kuantan.Maklumat pelanggan adalah sulit kata mereka. Sedangkan duit telah dipindah ke akaun beliau. Jika benar transaksi tersebut telah berlaku secara sah seperti yg didakwa oleh mereka dalam surat jawapan tersebut, kenapa saya tak boleh tahu nama orang yg saya berikan duit?

Ya walaupun Maybank tidak ada kuasa, Allah maha berkuasa. Ada juga hambaAllah yg tidak saya kenali telah membantu saya mendapatkan maklumat Lina Hazlina binti Agus Romani ini,Alhamdulillah. Semuga Maybank terus majujaya dengan sistem yang mereka cipta. Apakah saya masih boleh berharap kepada siasatan pihak Cyber security, virtual banking,Consumer banking Maybank?

Mudah2an ada pihak yang akan bersama saya membanteras kegiatan 'cyber trick, vitual buglary, cheating consumer' ini.Idea daripada pembaca2 semua dialu2kan.

31 comments:

Anonymous said...

hairan ye camner boleh jadi mcm tu. tapi tak boleh salahkan bank 100%. sebab transaksi semua ada record. maybe pc yang anda guna dah dipasang dengan logger program (logger program ni akan merecordkan semua input dari keyboard termasuk TAC). Penggunaan antivirus percuma dan tidak sah juga boleh menjadi punca malah ada macam2 lagi cara untuk mendapatkan username dan password termasuklah menggunakan internet melalui proxy.

Saya juga pengguna online banking dah saya terhadkan akaun online pada baki maximum RM1000 untuk tujuan online sahaja. Selebihnya yang saya disimpan dalam a/c yg tidak mempunyai akses online internet. sekadar cadangan ...

Anonymous said...

mengapa salahkan bank apabila jelas sekali anda ditipu melalui web phising? Adalah tidak adil menyalahkan bank akibat kerugian anda. Minta maaf .. tergerak hati saya untuk komen di sini memandangkan blog anda lebih menjurus ke arah Islam sedangkan cuba menyalahkan pihak lain akibat kerugian anda bukanlah jalan ke arah islam. Sekali lagi saya memohon maaf sekiranya terkasar.

Ummu Waheedah said...

Saya menjawap anonymous pertama (14/12/2009)

Sdr sepatutnya membaca kisah ini dari mula,baca posting pada 20/11/2009 saya dah nyatakan urutan peristiwa ini, dan ianya bukan mainan 'logger program'. Saya beri username/ID yang betul berdasarkan sangka baik tehadap sistem Maybank yg telah saya gunakan lebih 10tahun.

Ttg had pengeluaran ianya boleh di ubah dgn menggunakan TAC yg sama untuk transaksi pindahan wang. dlm sistem Maybank, satu TAC boleh di guna berulang kali selagi anda tak logout.

Saya juga tidak menjadikan maybank sebagai akaun simpanan, saya ada bank lain untuk 'simpan' duit. dan angka RM800 dan RM2500 adalah angka biasa yg masuk dan keluar. saya guna maybank untuk kemudahan transfer dan buat bayaran sahaja.

Semua favorite GIRO transfer yg didaftarkan adalah untuk akaun saya sendiri dibank lain.Sekali transfer RM2. Saya ingat ada buat perubahan had transfer ttp untuk pengeluaran di ATM. sekitar bulan Jun 2009.

kawansejati said...

Tak faham la u org punya komen. betul macam kata ummu waheedah, kena baca betul2. Baca dulu posting "menjejak lina hazlina" tu.

saya rasa apa yg ummu tak puas hati ialah sikap pegawai bank yang tak serius dan tak bantu dia menjejak lina hazlina yg telah diguna untuk curi duit dia.

bukan salahkan bank beb, awak kena faham apa yg dia tulis.

Ummu Waheedah said...

Saya jwp anonynous ke-2(6/12/2009):-

Sdri nak komen di akhbar pun boleh.Kalau sdri baca coretan saya sejak awal, apakah saya salahkan Bank 100%.Jika sdri dari pihak bank, sdri tak perlu rasa bersalah kalau tak salah. Jika sdri cuba pertahankan bank tanpa peduli apa pendapat pelanggan ,maknanya sdr ni memihak kepada jenayah.

Kecuaian seseorang bukan alasan suatu jenayah boleh dipandang remah atau diambil mudah. Jika beg duit sdri disamun/dicuri krn sdr meletakkannya di surau/masjid semasa solat(atas kepercayaan bhw masjid selamat), apakah sdr nak salahkan orang yg sembahyang di surau? Sikit sebanyak tentu sdri akan fikir orang pergi masjid pun mencuri, ini kerana di masjid tak ada CCTV ect.ect.

Begitulah dgn kecurian di bank Bank, bukan salah bank semata ttp bank patut bersikap lebih bertanggunjawap. Lebih2 lagi jika perkerjanya, CEOnya beragama Islam. Tak boleh ambil mudah sekadar nak lepas tangan dan yakin pelanggan tak akan dapat buat apa-apa keran kuasa veto ditangan bank.

maaf jwp saya berdasarkan andaian sdri ni islam. Kalau sdri bukan Islam,tak perlu sentuh hal agama org lain sebab anda tak mungkin faham. Dalam Islam ada konsep keadilan, saya tak suruh bank bayar, saya cuma nak sipencuri tu yg bagi balik duit saya samada melalui bank atau cara lain. saya cuma minta kerjasama bank.. harap faham.

Paklongrembau said...

I have experienced it before.About a year past case still pending and now with Biro Aduan BNM but it take ages.RM1800 unauthorised VISA transaction but Maybank refuse to accept explanations and police report.Signature on sales draft totally different from card but Maybank still blind to these facts.

Petikan dari email 'paklong' bertarikh 14/12/2009

abu muhammad said...

assalamualaikum
simpati dengan puan ummi wahedah, sekurangnya benda ni jadi peringatan buat kita semua. saya secara peribadi tak percaya/tak yakin dengan ketelusan sistem internet ni walaupun saya bukannya pakar dalam bab komputer/internet. apa pun semoga dikurniakan kekuatan/ ketabahan untuk menghadapinyacrywaspo

Anonymous said...

Rasanya yang tak puas hati dengan artikel inimesti orang maybanklah kot hehe.... Kejadian web fishing ini memang boleh terjadi pada sesiapa pun. Walaubagaimanapun pihak bank tidak boleh lepas batuk di tangga. Perlulah menyelesaikan perkara ini sepantas mungkin, yelah duniakan semakin pantas. Ini telah mengambil masa yang terlalu lama berdasarkan reply surat kepada writer.

Saya baru sahaja daftar maybank2u online. kes ini menjadikan pengajaran berguna buat saya. Thanks for the writer sebab kongsi masalah ini. Berdasarkan list mengenai kaedah log in dan penggunaan password dalam maybank2u seperti yang dinyatakan oleh writer, menunjukkan system online banking maybank2u teramatlah lemah. Saya mempunyai akaun bank diluar negara dan menggunakan secara online. Password mestilah ada huruf dan number, min 6(huruf+number). Lepas longin akan ada security kedua iaitu most memorable words+number, maksudnya second password. Setiap kali transaction dibuat password akan diminta walaupun kita dah login. Sekiranya after login, page inactive akaun akan logout automatik. Jadi bandingkanlah system ini dengan mayban2u. Sekiranya maybank2u tidak dapat memastikan security terjamin, mengapa perlu buat online banking hanya semata2 nak bersing dengan bank lain. Jadi mereka juga bersalah menyediakan perkhidmatan yang tak selamat dan harapan saya semoga mereka mengkaji dan menigkatkan ciri keselamatan ini.

Anonymous said...

Maaf, saya simpati terhadap apa yang terjadi terhadap tuan..tapi setahu saya perkara ini terjadi kepada pelanggan yang secara tidak sedar mamasuki website maybank secara link (web phising). Saya sudah biasa dengan perkara sebegini dan banyak sekali berlaku kepada orang yang educated seperti lecturer dan sebagainya. Ada beberapa fakta yang ingin saya komen:-
1) TAC hanya boleh digunakan untuk satu transaction sahaja walaupun anda masih tidak logout...

2) Memang pekarja Bank adalah tertakluk kepada BAFIA act Section 97 yang mana kita tidak boleh mendedahkan apa-apa maklumat mengenai pelanggan bank. Tetapi jika saya adalah pegawai bank tersebut saya akan 'tag' dulu jumlah amount yang dimasukkan ke dalam akaun Lina hazlina supaya amount tersebut tidak dikeluarkan oleh so call the fraudster. Tuan sepatutnya terus berjumpa atau berhubung dengan pihak yang lebih tinggi authoritinya kalau merasa tidak puas hati dengan tindakan staf Maybank untuk menyelamatkan keadaan.
Maaf lagi sekali cuma memberi pandangan....

Anonymous said...

Bro,

First sekali, u kene accept this is your fault at the first place - sebab tak tgk url, percaya dengan email dan terus klik link tu.

2) Ini bukan masalah system ... surat yg ditulis tu saya percaya dari IT perpective.

3) bank dah kasi assurance yg dia akan bekerjasama dengan polis - "As you have made a police report of the above alleged unauthorized transaction, please be assured that the Bank will co-operate with the police and relevant authorities to assist them in their investigation into this matter"

Jadi, bank akan hanya mendedahkan nama pemegang akaun tu kepada Polis. So, kalo nak tau, kene suruh Polis mintak kat bank nama pemegang akaun.

Kalo you dapat nama pemegang akaun tu pun, you tak boleh nak buat apa2. Takkan nak serang dia kot?

4) Saya dah cuba, satu TAC utk satu transaksi sahaja. Lepas satu transaksi, TAC tu terus expired.

5) Akaun favorite utk kemudahan jika berada di luar negara.Terus transfer duit tanpa perlu menunggu TAC dihantar melalui SMS.

Saya pernah berada di Europe utk training selama dua bulan. Disebabkan saya pakai pre-paid utk telefon saya dan kredit dah habis, so saya tak boleh terima message (message dan call di charge 2 hala kalo berada di luar negara).

Bayangkan macamana saya nak transfer duit utk my wife kalo takde Favorite akaun dimana telefon saya dah tak boleh terima message utk TAC?

Kesimpulan yg saya nak cakap, ini merupakan kecuaian User dan bukan salah IT system.

Mana2 company IT pun, kita takkan bare the cost if the mistake made by user. It's out of our SLA.

Tentang siasatan, biarlah Polis yg melakukan.



p/s: Saya bukan kerja dengan maybank. Tapi bekerja dengan bidang IT. Cuma terkilan kerana User selalu menyalahkan IT dalam semua hal, padahal kebanyakannya adalah kecuaian user sendiri.

dah terkena said...

saya dah kena dengan ketidaktanggujawaban & kebodohan begini rupa..salah sebuah bank ISLAM di malaysia telah mengeluarkan semula duit melalui akaun bank saya sebanyak 4 ribu..tanpa memberitahu pemilik dahulu..jangan terkejut..kadangkala ada pegawai bank yang bodoh sombong tentang keselamtana perbankan internet.. jangan lupa ramai pelanggan bank ini pakar dalam bidang keselematan Internet banking..dan saya syorkan pihak bank hanya mencari pakar dalam bidang perbankan dan keselamatan untuk menjadi staf mereka..bukan hanya main tangkap muat sahaja..
dan pihak bank mesti bertanggungjawab walaupun satu sen hasil dari amalan haram dan ketidakjujuran mereka..

berbalik pada keselamatan perbankan internet..selepas kejadian tersebut..saya hanya menyimpan baki sebanyak 4 ringgit pada setiap akhir bulan dalam akaun bank tersebut walaupun setiap bulan gaji saya masuk melalui bank itu.. ternyata berhasil..selebihnya saya simpan di merata tempat...

itu belum lagi cerita berkaitan bayaran kereta yang tidak diterima oleh pihak bank wapaupun kita dah bayar setiap bulan... saya nasihatkan anda supaya menyimpan resit bayaran setiap bulan atau pergi ke bahagian pembiayaan untuk print setiap bayaran ansuran kita..tanda bukti pembayaran telah dibuat..

bagi mereka yang tak pernah alami kejadian seperti ini..hentikanlah komen bodoh anda..tidak menyelesaikan langsung masalah kita ini..

sekian..

Ummu Waheedah said...

salam to all commentor,

tq atas pandangan anda semua, baik yg pro or cont.

to paklong rembau, dulu saya juga ada masalah dgn syarikat pelancongan kununnya offer 3d2n stay at their resort.They offer to my nephew who hold my supplementary card. Budak ni tak tahu apa2, dia ingat dapat free sebab baru dpt card supplementary. Dia tak tahu yg dia dah kena charge RM1450.00.

apa yg saya buat ialah hantar email (webmail citibank), bgtahu mrk yg ada org dpt maklumat supplementary card saya dan simply charge RM1450. Saya tanya apakah bank reveal costomer info kpd sesiap. Mrk nafi.

apa yg saya buat seterusnya ialah buat surat to dispute transaction. Saya minta citibank contact syarikat tu dan buat refund. lepas tu saya cc kat tribunal pengguna.

Dalam tempoh 2 bulan, amount tu di tolak (debit) semula tanpa faedah.Nak dispute trancaction lebih mudah bebanding nak dispute transfer. lebih2 pula kalau kita mengaku yg kita kena umpan (phis), cepat aje depa nak salahkan customer.

Saya dah teliti kes saya ni, maybank punya sistem banyak yg perlu di baiki.dalam kes saya ia berkaitan dgn TAC delivery system. Saya pasti mereka yg mahir IT yg buat program ni dan tentulah mereka telah ada pengalaman mengendalikan system SMS- urusan delivery TAC.

Sebenarnya sesiapa pun yg ada ijazah/master bidang IT tak boleh terlalu yakin diri yg mrk tahu semua perkara. Sy pun pernah jd koodionator IT di jabatan saya 6 tahun. Jadi saya tahu tahap kemahiran seorang IT expert. Ada vendor dr luar negara (wakil oracle) dtg untuk kununnya selesaikan masalah kami, tp tak selesai. Akhirnya local programmer yg selesaikan masalah setelah kami berbincang sampai lumat.Jd sesiapa pun berada di bidang IT, tak perlu marah tau rasa bersalah jika system fails.

ttg TAC itu sebenarnya satu TAC boleh diguna untuk berbagai transaksi selagi anda tak log out, lihak apa yg website maybank tulis ttg TAC :

What is a TAC?
Your TAC is only valid for the duration of each logon to Maybank2u.com. It will expire immediately each time you logout.Maknanya satu TAC untuk satu logon, selagi tak logout boleh guna TAC tu.Inilah yg maybank kena baiki.

Kepada anonymous yg marah tu (IT personel), saya nak tegaskan mmg saya accept my fault, u bacalah artikel sebelum ni yer.. jgn marah2. Apa pun komen sdr terpulanglah, u hv right to comment.

Saya dah biasa berurusan dgn IT personel, pakar2 IBM, ORACLE, UNYSIS, FORMIS dll. U all pun manusia biasa, dan yg buat program phising ni pun tentu dr kalangan yg bijak pandai. Tunggulah apa yg akan berlaku seterusnya.

Polis buat kerja polis, saya akan usaha juga cara saya. feedback dari pembaca adalah dihargai. TQVM.

Ummu Waheedah said...

emm dlm email ada comment dr alBahr, dah approve awat tak masuknya.

satgi say cari comment alBahr, kang marah lak org hntar komen tak keluar.

AlBahr said...

Sedih betul dengan apa yang terjadi kepada kak ummu...

Sabarlah kak ya...banyak juga duit akak di bank...

AlBahr said...

kesian kak ummu, sabarlah yea...

akupun said...

kalau korang nak marah ngan cik pah sbb 'kononya' salahkan bank...

nih aku nak cakap skit,
MAYBANK MMG TAK GUNA!

terang2 orang boleh songlap duit dr akaun pengguna, bila pengguna komplen bank akn tunjuk 1juta prosedur yg menyusahkan, last2 pengguna yg terkena sikit2 tu akan lupakan saja hasrat membawa perkara ini ke tengah,ini maybank ni si Daim mangkuk kaki songlap duit malaysia yg punya, kalau bos kaki songlap, sindri mau ingatlah..

Ummu Waheedah said...

Hisy jgn lah sedih2 albahr.. ni sikit shj ujian. Baca s/khabar lagi banyak musibah org kena rompak, samun dgn parang, masa raya hj ada cerita sorang makcik diragut beg sampai jatuh motor dan sampai ajal.

Duit akak skrg kat maybank tinggal RM1 shj di semua akaun :) Esok nak batalkan 2 creditcard. Nak hijrah lah... dulu org ckp mcm2 ttg Maybank, kita tak caya bila 'wa kena beb' baru tersedar. lagipun Maybank ni mahal kosnya, Bank rakyat satu transfer 50sen jer, Maybank RM2. Kita ada banyak pilihan sekarang.

Lagipun menurut polis yg kendalikan kes saya, maybank paling banyak dapat aduan, bank lain kureng.. mungkin pelanggannya ramai dan mereka tak ada kuasa nak tangkap penjenayah. Itulah sebab penjenayah suka pancing kat maybank.

Tak perlah, lagipun Bank Islam pun dah ada semua facilities. Sebenarnya akaun pertama saya pun kat BIMB tp sebab dulu bank tu ketinggalan dr segi perbankan internet dan cawangan kurang, tu yg buka maybank.

inilah masa untuk kita hijrah.. ayuh sapa yg dah terkena dan yg belum terkena.

akupun said...

cik pah,
akupun harap awk jgn berhenti takat ni je, tulis surat kat najib dan anwar dan mane2 ahlil parlimen suruh bawak masuk isu ni kat parlimen, sbnrnya ramai yg dah terkena, tapi mcm nilah, bank akan bagi mcm2 alasan lps tu pengguna pun akan terpaksa lupakan saja utk menuntut wang mereka, yelah, siapa yg nak g lawan ngan Bank.Lps 2 pulak derang kata biar polis yg siasat..emmmh..hampehh...polis Malaysia...

skrg ni bank simpan duit kita, dan bukan kita sindri yg curi duit kita, org lain yg curi,jadi bank kena ganti duit kita yg kita amanahkan kat dia, ini logik yg mudah.Tak pasal2 salahkan pengguna apa cerite?, ni yg buat akupun bengang ni tau!

nanti semua surat2 rasmi tu kalau boleh pas2 la kat kite, kene sebar 1malysia ni takleh wat diam saja..

Ummu Waheedah said...

yer lah akupun, tengah paneh ni lah kita nak 'gerak ' semua org. Sy dah habis buat testing sistem bank, sekarang nak tulis proper report to FMB ( sebenarnya bila dengar suara yg angkat talipon mcm nak tido, rasa tak yakin lak dgn biro ni). Tp dah maybank kata depa tak layan lagi apa2 soalan lepas surat jwpn depa, maka kenalah saya buat surat ke FMB (financial mediation bureau) spt yg disyor.Entah kena byr ke tidak tak tau la.

BNM dah ada langkah positif sekurang2nya mrk ambil maklum saranan2 saya. InsyaAllah saya kan cc juga kpd MP Kuantan puan Fuziah salleh minta dia bawa ke parlimen. Nak minta DSAI buat, kesian kat dia, masalah dia pun banyak.

BPA pun akan saya maklumkan, persatuan bank2, saya nak tanya peguam juga nnti, slow2 tak leh gesa2 sgt kes mcm ni.. sebab pencuri ni boleh buat macam2 hal.

siasatan seterusnya biarlah polis buat, cuma saya dah mudahkan kerja polis sekarang depa kena siasat shortcode provider (yg hantar TAC) dan celcom,...

Haa ramai yg tak kan sangka perkara ni ada kaitan dgn shortcode provider kan? pasal tu kes tak ada yg selesai.. kalau siasat maybank shj memang sistem depa ok. Kalau tak ok mcm mana boleh transfer duit kan? lagipun pelanggan mengaku kena umpan, lagilah mudah nak salahkan pelanggan.

Sampai hr ni surat jwpn yg dikatakan oleh maybank mrk dah pos belum saya terima,sangkut kat mana tak tau lah. Mujur depa nak juga hantar by email lepas saya desak. Depa tak percaya saya tak terima surat tu... isy2.

Hantar pulak tu pakai pos biasa..tak pakai register. Janji ada cop keluar dr department derang,kira kukuhlah bukti yg depa dah pos surat tu. Sampai tak sampai itu masalah posmen. Mcm tu hal dgn TAC... saya tak terima. Bodoh sgt lah kalau saya dpt TAC saya nak disclose kat org lain tak pasal2.

Tp org IT tak guna logik, apa system tunjuk itulah yg depa percaya.Apa pun kita tunggu shj tindakan seterusnya dari pihak2 yg berwajib.Harap2 mazidul dapat buat liputan dlm rancangan360 di TV3.

Anonymous said...

A'kum Pn Waheedah.

Kesian kat Puan. Harap Puan bersabar. Mungkin Pn boleh update apa yg berlaku seterusnya di blog Puan ini ?

Saya ingin bagi pendapat, berdasarkan apa yg saya baca dari tulisan Pn.

Pada saya, Maybank memang takde kuasa, sebab ini soal pishing. Ini ada kaitan dengan awareness/ilmu customer dan juga attitude GLC di Mesia.

- Saya pun org IT pernah jaga spamfilter, iaitu sistem yg filter email spam. Kadang2 saya terpaksa filter secara manual.

Dulu2 saya selalu kena baca email2 yg masuk melalui sistem spamfilter ini supaya boleh adjust spamfilter utk filter. Bukan sahaja pishing, tapi macam2 cara lain org nak tipu kita utk dptkan duit. Dari pengalaman saya dlm IT, saya dapati tiada sebarang bank di Mesia request P&C melalui email. Tapi ada bank oversea yg request. Sebab tu kalau ada bank mesia yg request P&C tu, itu gerenti bukan bank.

Saya juga belajar camne struktur header email utk bezakan email yg tipu atau tidak tipu. W/pun header dia tulis "government of Malaysia" dan email "@gov.my", saya masih boleh trace sama ada ianya tipu atau tidak.

Alhamdulillah, Allah sentiasa tolong saya, berbekalkan ilmu saya setakat ni tak pernah sekalipun saya kena tipu melalui email atau mana2 bank sekalipun.

- din500 -

Anonymous said...

- din (sambung) -

Berkenaan reaksi Maybank tu, saya berpendapat Maybank ni agak teruk sebab :

1. Akta BAFIA tu sepatutnya diubahsuai supaya lenien. Cuba kita lihat semula.

Kita minta tolong kawan kita si Jefri, serahkan derma RM500 kpd rumah anak yatim yg Jefri pilih sendiri. Lepas dia dah derma, kita tanya rumah anak yatim mana yg Jefri dermakan. Adakah patut Jefri tak nak bagitau kita ? Tak kisahlah apa motif kita nak tahu, tapi bukankah itu hak kita utk dptkan maklumat dpd Jefri ?

Sama juga dlm kes Pn ni. Akaun Pn digunakan utk transfer ke a/c Lina. Jadi bank sepatutnya tiada masalah utk menyerahkan maklumat Lina Hazlina tu kpd Pn. Tak logiklah kalau ada akta menyekat bank utk tak bagi.

2. Bank tak mau layan lepas hantar surat jawapan ?

Ini apa punya customer support service ?!!

Terus terang saya katakan ini typical GLC punya customer-support reply. Semua GLC punya prosedur & Term&Cond memang teruk, macam org India, kaki belit. Sebabnya GLC ni cipta prosedur/Term&Cond utk seboleh2 pihak GLC lepas tangan in some or other way. Tak kiralah Maybank ke, TMNet ke, Proton ke, semua sama.

Itulah sebabnya saya berani kata kat Mesia ni, GLC di dahulukan, customer di anaktirikan.

2. TAC

Saya pun pelik kenapa org boleh curi TAC ? Kecualilah kalau ada org dalam, mungkin TAC boleh di curi. Atau mungkin sistem penghantaran TAC tu melalui Internet, jadi of course tak secure. So, tak gunalah apa2 bank sekalipun dpt 10 sijil anugerah Internet security, tapi sistem TACnya tak secure.

Saya bukan maksudkan TAC Maybank, tapi saya maksudkan TAC semua bank. Tapi ini andaian sahaja.

Tapi kalau betullah keje org dalam curi TAC tu, pada saya, itu sememangnya takde sistem yg boleh elakkan kecurian TAC ni berlaku.

Bayangkan enjin jet fighter yg besar gedabak tu pun org dalam boleh curi apatah lagi setakat TAC ni.

Ini semua soal attitude masyarakat kita sendiri. Mat salleh kafir tu pun kadang2 lebih baik dari org Islam sendiri dalam hal ini.

Di UK, mana2 pekerja yg diberhentikan setelah didapati melakukan sebarang kesalahan disiplin seperti rasuah, mencuri dsb, alamat takkan dpt keje kat mana2 tempat pun di UK. Tapi di sana sememangnya attitude mat saleh sendiri kurang korupsi2 ni. Walhal kadang2 tu gereja pun dia org jarang mai. Mungkin juga kerana mereka masyarakat yg suka membaca.

Cuba kalau di Mesia masyarakat kita suka membaca, terutamanya buku2 atau artikel agama. Saya rasa kes macam ni susah nak berlaku.

So, kpd pembaca, kalau ada rakan2 yg korup, ambik rasuah atau suka mengintip dan menyebarkan rahsia peribadi dari komputer org lain, bagila nasihat kat dia. Kalau tak makan gak, report je terus kat boss.

p/s: maaf, panjang. hehe. Saya tak keje maybank, cuma saya agak, benda ni mungkin bukan kaitan dgn web security, tapi sistem keselamatan TAC.

- din (habis) -

Ummu Waheedah said...

hadoi, u all punya jawapan /komen dah buat satu entri lah he he.

apa yg saya paparkan ni bukan saya nak besar2kan kes yg sebesar taik mata bagi maybank tp supaya pembaca bersedia jika ianya terjadi kpd mrk dan kalau ramai kita boleh buat persatuan org2 terkena 'wa kena bank'

Saya sekarang ni (insyaAllah) akan memudahkan pihak lain menyiasat. Saya pun belum sempat membaca apa fungsi Financial mediation bureau ni. Apsal maybank tak nak cakp direct dgn customer ? agaknya dia ingat semua customer ni buta IT ka?

kpd en. din500 (sama ke dgn brader yg marah kat atas tu ke) t/ksih lah atas ulasan sdr. cuma kita jgn sampai takbur, mcm tupai la kan pandai2 melompat satu hari kena. kalau tak dgn email dgn cara lain.

Bab2 scam/fraud email ni, saya pun tahu juga cuma tak tau mcm mana hari tu tergerak nak respon. selalu tak respon pun, itulah namanya malang tak berbau. Macam accident juga, kadang2 kita memandu tak berlanggar tiba letak parking elok2, lori pulak terbabas....

berbalik kes kecurian TAC ini, memanglah tak susah mana kan. sebab bila data melalui MODEM dia terpecah head, body and tail..kalau org besar gajah pun boleh kena culik inikan pula TAC number.

Saya nak tanya BNM nanti apa prosedure mrk kenakan untuk pastikan TAC selamat. Apa security measure yg diguna. ada odit atau tidak dan berapa kerap sistem di odit? apa patern TAC yg sampai dan tak sampai. Org yg buat kerja mencuri ni mesti dah mahir kerja menghantar TAC.mcm posmen atau courier service la.

Celcom pun sama bila saya minta maklumat secara bertulis , mrk kata tak boleh bagi cuma mrk boleh sebutkan masa saya terima SMS dari 36928.

ttg customer service bankmay ni mmg gitu lah, kalau kita tulis email, mrk akan jwp mcm robot. tunggu 3 hari untuk mrk bertindak tapi selama ini kalau 3 hari tu kita tak 'gerak'/tanya maknanya dianggap lebur lah soalan kita. siapa nak semak, mkr bukan ada mandor.Service sekadar ada.

Tak apalah, saya bukan shj boleh bersabar ttp saya masih bersyukur kerana tidak dirompak/diragut secara fizikal. Mudah2an Allah gantikan apa yg hilang dgn yg lebih baik. Cuma RM2500 bukan duit saya, itu shj lah yg nak kena fikir ni. Hrp2lah org berkenaan boleh faham.

Anonymous said...

Modus Operandi phishing ni adalah setelah mangsa memasukkan username and password, keluar satu lagi page memberitahu bahawa magsa akan menerima TAC number melalui handphone.

Seterusnya mangsa perlu letakkan TAC number dalam phishing web site tadi.

Jadi saya syak, Puan bukan saja telah letak username and password, tapi bila TAC sampai kat handphone puan pun, PUan letak sekali kat phishing web site tu ..

Ada betulkah Puan?

Kalo dah double layer security camni pun kene ... susah saya nak cakap ...

Ummu Waheedah said...

emm apsal ramai sgt anonymous?
kan elok kalu u all letak nama, bubuh lah apa nama pun asal kita boleh refer u as 'sombody'.
Sebenarnya modus operandi yg di katakan oleh anonynous diatas (22/12/09) adalah salah sama sekali.
Tetapi andain itulah yg biasanya digunakan oleh pihak bank. Mereak kata yg pngguna dapat TAC lepas tu bg tahu kpd 'phiser' saya pun hairan dari mana depa dapat andaian demikian. Apakah mrk sendiri yg ujudkan prpgram sedemikian.

Saya sudah katakan program yg saya dpt hanya mintam masukkan user ID dan password shj. Lepas itu skrin akan menyatakan internet akaun kpengguna dalam proses reactivation dan pengguna diminta supaya tidak menggunakn sistem maybank2u.com sehingga jam 5 ptg.

Itu sahaja, there;s no such thing as dapat TAC dan masukkan TAC. Anda tak perlu ujudkan satu senario untuk salahkan pelanggan sebab logiknya tak ada. Katalah saya masukkan no. TAC, no TAC tersebut tidak valid sebab hanya nombor TAC yg di minta selepas pengguna login sahaj yg valid.

Harap perkara ini jelas. Kalau sdr bukan pengguna maybank, jgn samakan dgn bank lain atau buat andaian yg tak betul dan tak masuk akal.

Saya hairan juga bila k/tgn maybank sendiri bertanya saya " u ada beri TAC number kpd org tu tak" , Isy apa jadahnya saya nak bagi TAC. Kalau saya bagi TAC tanpa sedar sekali pun katalah, TAC tu tak valid langsung.Lagi pun saya sebenarnya tidak login ke maybank2U sebaliknya hanya menggunakan satu web yg 'menyerupai' maybank.

Saya rasa ada orang mungkin dah gelabah bila saya sebut ttg TAC delivery system. Mrk sebolehnya nak tuduh pengguna yg bagi TAC.... tengok lah nanti.... Sekarang saya tak ada masa nak buat surat. ada byk urusan lain lagi yg belum selesai.

Walau bagaimana pun saya percaya kebenaran tetap akan terserlah. Sama ada pengguna lalai atau tidak ,mencuri tetap salah.

Anonymous said...

Ok, saya akan jelaskan lebih jelas lagi modus operandi penjenayah siber ni ...

Lepas Puan masukkan username & password dalam phishing web site tersebut, u/n & p/w tu bukannya digunakan utk access ke site seterusnya, tapi di simpan dalam database phisher tadi ...

Phisher dengan mudah dapat masuk ke maybank2u Puan dengan u/n & p/w yg Puan dah beri tadi dengan hanya melihat ke dalam database mereka...

Setelah berjaya login tanpa perlu hack sebab u/n & p/w free2 dapat dari Puan, phisher ada satu lagi security yg perlu dilepasi utk transfer duit iaitu TAC #.

So, phisher pun request lah for TAC melalui maybank2u Puan. Masalahnya, TAC# will be send to User's handphone.

Jadi, dalam phishing web site tadi, selalunya ada arahan supaya masukkan TAC# jika TAC# dihantar ke handphone Puan.

Seterusnya, mangsa pun masukkanlah TAC# kat phising web site tu.

Sekali lagi TAC# dihantar ke database phisher tadi ...

Seterusnya, tau2 je la apa berlaku ...

Jadi Puan, bercakap benarlah walaupun pahit ...

SAya syak Puan bukan sajer dah kasi u/n and p/w, tapi bila TAC# dihantar ke Handphone Puan pun, Puan masuk sekali TAC# tu dalam phishing web site tadi ...

Bukannya senang nak hack TAC#. Ada berjuta possibilities for TAC#. Tac# yg dihantar ke handphone pun dah encrypt ...

- IT personnel yg bukan keje ngan Maybank -

bondaputeri said...

Salam,

Puan, the first thing is... i feel sorry for your loss. Secondly, terima kasih sangat kerana share kisah ini. Malang tidak berbau, kan. Tapi setiap yang terjadi ini ada hikmahnya. Bukan shj utk Puan, tapi juga untuk semua yang membaca dan 'ter'baca kisah ini tanpa sengaja (seperti saya). Pening kepala juga baca komen2 ni semua. Macam2 komen. But thanks to you, we all get to learn something.

Semoga kita semua lebih berhati-hati. Sama ada menggunakan Maybank atau mana2 bank sekalipun. Tak boleh terlalu percaya kepada sesiapa juga. Dalam zaman serba canggih ini, apa pun boleh jadi. Maafkan saya, ya Puan. Sekiranya yang berikut menyinggung perasaan puan. Saya sedar puan mengakui kesilapan puan. Tetapi dari gaya bahasa, dan tajuk entry puan sendiri... kelihatannya puan seolah2 menyalahkan Maybank lebih dari selayaknya.

Memang mudah untuk menyalahkan pihak lain atas kesilapan yang berlaku, menyatakan yang mereka sepatutnya begini atau begitu. Tetapi sebelum itu, kita wajar bersikap adil dengan menyelidik secukupnya limitasi mereka yang sedia ada. Akan sentiasa ada pihak yang lebih bijak dari yang lain. This is a fact. And... no body is perfect. Jika memang mereka mampu mengatasi masalah ini dari dulu, maka tidak perlulah pelbagai amaran2 bahaya diberikan oleh mereka. Dan bila ini berlaku... naturally, mereka juga akan bertindak sepertimaa mana2 manusia biasa: "Defensive" apabila berlaku peristiwa yang akan merugikannya.

Tapi kita juga manusia. Kita naturally berharap mereka akan bertindak lebih baik dalam membantu kita menyelesaikan masalah ini. Tapi, kita hanya berhak untuk berharap. Terpulang pula pada hati budi mereka untuk memberi.

Apapun, one could only act to the best of their knowledge, yang mana sangat cetek berbanding jumlah ilmu yang ada di dunia. Maka yakin lah bahawa apa juga yang berlaku pada kita adalah ketentuan Allah, akan menjadikan kita insan yang lebih baik pada masa yang akan datang. (Kecuali kita tak mahu lah kan). Kita terima lah dengan rendah diri. Peristiwa ini memberikan kita keinsafan, that we are, indeed... Hamba Allah yang banyak kelemahan.

Minta maaf setulus hati. Terima kasih puan kerana kisah ini dikongsi.

Semoga Allah melindungi kita semua dari segala kejahatan di dalam dan di luar diri, di langit dan di bumi.

Salam.

ahmad razif said...

Salam..

sekadar pandangan.
if yet maybank masih x mau siasat or payah sangat nak selesaikan isu ni, saya rasa ummu waheedah patut tulis benda ni dalam paper...tulis sekali apa keburukan dan kelemahan sistem maybank..kalau berani lagi, tulis juga nama dan no akaun org yang transfer duit tu...mcm dlm tulisan sedari yang bawah ni...pas ni, ada la pula orng lain yang
akan mengadu....baru maybank buka mata dan isu akan selesai dengan cepat....
masukkan dlm paper utusan, berita harian, metro , the sun dan NST

wslm

Ummu Waheedah said...

salam to all,

pertama saya jwp kpd IT personel yg tak keje dgn Maybank (kalu dia keja Maybank pun tak der masalah), satya rasa u better baca coretan saya pada 20 nov bertajuk "phishing- menjejak LINA HAZLINA". Ttg modus operandi yg u ckp tu...terpulanglah u nak reka mcm mana. Mungkin u seorang pereka 'NT phishing', maksud saya untuk tangkap phiser. Cuma maaf shj lah saya rasa modus operandi yg u ckp tu kurang dr segi logik. U boleh cuba lagi.Tak perlu sdr nak desak saya mengatakan yg saya tak buat, u suruh saya bercakap benar tp sdr desak saya cakap bohong pula..

Kpd, bonda puteri,, t/kasih atas ingatan. Apa pun terpulang puan nak baca dan terima macam mana. Bagi saya Maybank can do better dan guna tak perlu FMB (financial mediation bureau) . Mrk tak perlu takut sebab bukan salah mrk kalau phiser tu lebih terror. Apa yg mrk perlu lakukan ialah disclose maklumat yg saya minta shj dan sekat akaun Lina Hazlina dgn kebenaran BNM.

Saya pun tahu takkan bank nak bayar, sebab kalau dia bayar saya, org lain pun dia kena bayar juga. apa yg saya mahu ialah hukuman yg setimpal kpd pencuri. Dah terang pindahan masuk ke akaun dia, apa lagi nak bukti?

Patut terus display nama dia di semua cawangan bank . Patut org macam ni tak dibenarkan buka akaun dimana2 bank kalau terbukti bersalah atau bersubahat.Barulah lain kali org hati2 nak buka akaun. Bqnk boleh panggil si lina ni untuk beri keterangan, bukan bersikap pasif-'oh kami tak ada kuasa.' Ini sikap yg salah, saya tak fikir BNM mewajibkan sikap melindungi penjenayah.

Sekarang ni ramai orang buka syarikat dan akaun untuk tujuan pengubahan wang (money laundering) terbaru pengarah syarikat melayu kena...

Ummu Waheedah said...

Respons to ahmad razif..
InsyaAllah dan selama ni pun saya ad cc kpd akhbar dan kpd mazidul360. Tengoklah sikit waktu lagi, bagi peluang polis siasat dulu. Dan bagi peluang si Lina Hazlina binti Agus Romani tu berfikir dulu... tahu depan saya rancang apa nak buat. Tentunya dgn bantuan polis..insyaAllah.

Jenin said...

Setelah membaca semua posting diatas terpanggil untuk saya menyuarakan pendapat saya.

Saya bersimpati kerana kehilangan sejumlah wang hasil penat lelah anda. Tetapi saya juga berpendapat kehilangan itu adalah dari kecuaian anda sendiri (saya sendiri pernah mengalaminya).

Dan ingin saya nyatakan tak ada sistem yang betul2 full-proof kat dunia ni, termasuk M2U.

Harus saya akui khidmat pelanggan Maybank (dari apa yang anda nyatakan) adalah amat mengecewakan. Tetapi masalah ini juga mungkin berasal dari Maybank sendiri yang mana pihak Bank mengambil orang yang cuma mahu bekerja untuk mendapat gaji setiap hujung bulan, tiada "passion" dan komitment terhadap pekerjaan mereka.

Khidmat pelanggan Maybank juga berhadapan dengan beribu aduan setiap hari, jadi kelewatan untuk menjawab aduan anda adalah kerana masalah ini juga.

Mengenai disclosure of information, seorang pekerja bank memang tertakluk kepada BAFIA (seksyen 97, kalau tak silap saya), yang melarang mereka dari memberi maklumat mengenai pelanggan bank kepada orang luar. Dan anda harus faham bahawa hukuman jika melanggar akta ini adalah sangat berat.

Jadi sebagai pelanggan, langkah terakhir kita untuk mendapatkan keadilan adalah dari pihak ketiga seperti FMB, tribunal pengguna, polis dsb. Kalau kita berharap pihak bank untuk mengembalikan wang tersebut berdasarkan kes yang anda nyatakan, success rate = 0%.

Ummu Waheedah said...

Jenin,
Tq atas pandangan anda.
Saya memang telah menghubungi beberapa pihak untuk kes ini antaranya SKMM, tribunal pengguna, BNM, Mycert, TV3-madizul, akhbar harian,persatuan bank2 dan celcom.

Cuma buat masa ini saya memberi runag kpd polis dulu, tunggu seminggu lagi insayAlah saya akan push. lagipun sekrang ramai org bercuti dan saya pun ada urusan lain.

sama2 kita berdoa agar penjenayah seperti ini tak terlepas. saya sudah kumpul bbrp cadangan untuk diambil tindakan oleh BNM , Kerjasama wakil rakyat pembangkang juga mungkin digunakan untuk bawa hal ini ke parlimen.

kelalaian manusia bukan tiket untuk penjenayah bebas buat apa mereka suka. Memang tak ada sistem manusia yg zero defect, ttp loopholes perlu dikurangkan. Baru2 ini security citibankgrousp pun kena godam. Cuma citibank banyak menyediakan perbankan credit card tak macam comersial bank yg lain.

Banyak yg bank boleh buat sebenarnya. Kalau BAFIA yg jadi penghalang, akta itu boleh dipinda. Tak ada yg mustahil. Akta dibentuk untuk mengawal jenayah dan salah guna kuasa bukan untuk melindungi jenayah.