Selular.ID – Ditengah kebutuhan yang terus meningkat, ratusan juta pengguna layanan mobile banking di Indonesia kini dihantui persoalan keamanan.
Kekhawatiran itu dipicu kasus yang menimpa BSI (Bank Syariah Indonesia). Kelompok peretas LockBit Ransomware mengaku bertanggung jawab atas serangan ke BSI. LockBit mengaku telah mencuri sejumlah informasi dari BSI.
“Kami juga ingin menginformasikan, telah meretas 1,5 terabite data pribadi,” tulis LockBit lewat surat ancamannya seperti dikutip kicauan @darktracer_int, Sabtu (13/5/2023).
Peretasan terhadap BSI oleh kelompok LockBit, mengakibatkan data milik 15 juta nasabah hingga karyawan BSI menjadi sangat rentan untuk disalah gunakan.
Berkaca pada kasus BSI, layanan mobile banking selama ini menjadi celah bagi para hacker untuk mengambil keuntungan dari rentannya sistem keamanan. Tak hanya di Indonesia namun juga di seluruh dunia.
Guna mencegah kerugian, Biro Investigasi Federal (FBI) Amerika Serikat, pada 10 Juni 2020, memperingatkan pengguna aplikasi mobile banking bahwa mereka akan semakin menjadi sasaran peretas yang mencoba mencuri kredensial mereka dan mengambil alih rekening bank mereka.
Baca Juga: BSI Kena Serangan Siber Ransomware LockBit, Kominfo Buka Suara
Peringatan tersebut, yang dipublikasikan di Pusat Pengaduan Kejahatan Internet (IC3), mengatakan bahwa peningkatan penggunaan aplikasi semacam itu selama pandemi dapat menyebabkan lebih banyak upaya eksploitasi yang menargetkan penggunanya.
FBI mengantisipasi bahwa pelaku ancaman akan memfokuskan serangan mereka pada pelanggan mobile banking karena kebanyakan orang Amerika menggunakan layanan tersebut untuk melakukan pembayaran, mentransfer dana, dan mencairkan cek.
“Penyedia teknologi keuangan AS memperkirakan lebih dari 75 persen orang Amerika menggunakan mobile banking dalam beberapa bentuk pada 2019,” kata FBI. “Studi data keuangan AS menunjukkan lonjakan 50 persen dalam mobile banking sejak awal 2020.”
FBI mengantisipasi bahwa pelaku jahat akan mencoba mengeksploitasi pelanggan mobile banking baru menggunakan berbagai teknik, termasuk namun tidak terbatas pada aplikasi perbankan palsu dan trojan perbankan berbasis aplikasi.
Pengguna mobile banking yang mengunduh trojan perbankan berbasis aplikasi ke tablet atau smartphone mereka biasanya diminta untuk memberikan izin yang diperlukan untuk mencuri informasi mereka.
Malware semacam itu tidak mengintai di sekitar perangkat Android atau iOS korban, melainkan akan tetap tidak aktif dan hanya akan muncul ketika pengguna membuka aplikasi perbankan yang sah di perangkatnya.
Pada saat itu, “trojan membuat versi palsu dari halaman login bank dan melapisinya di atas aplikasi yang sah.”
“Begitu pengguna memasukkan kredensial mereka ke halaman login palsu, trojan meneruskan pengguna ke halaman login aplikasi real banking sehingga mereka tidak menyadari bahwa mereka telah disusupi.”
Menurut laporan Kaspersky Februari 2020 yang merinci evolusi malware seluler selama tahun lalu, rata-rata jumlah serangan trojan mobile banking pada 2019 adalah sekitar 270.000 per bulan.
Aplikasi perbankan palsu, di sisi lain, meniru aplikasi seluler asli bank dan, setelah dipasang di perangkat korban, akan mengumpulkan kredensial pengguna saat mereka mencoba masuk.
“Aplikasi ini memberikan pesan kesalahan setelah upaya masuk dan akan menggunakan permintaan izin ponsel cerdas untuk mendapatkan dan melewati kode keamanan yang dikirimkan ke pengguna,” jelas FBI.
“Organisasi riset keamanan AS melaporkan bahwa pada tahun 2018, hampir 65.000 aplikasi palsu terdeteksi di toko aplikasi besar, menjadikan ini salah satu sektor penipuan berbasis smartphone yang tumbuh paling cepat.”
Baca Juga: Aplikasi Mobile BSI Error, Ini Penjelasannya
Langkah-Langkah Mitigasi
FBI mengatakan bahwa pengguna dan organisasi dapat dengan mudah bertahan dari serangan semacam itu dengan mengambil beberapa tindakan yang akan menggagalkan upaya para peretas.
Pertama-tama, Anda harus selalu mengunduh aplikasi perbankan seluler langsung dari situs web bank Anda atau toko aplikasi resmi seperti Google Play Store atau Apple App Store iOS karena semua aplikasi yang disertakan dipindai dan diperiksa untuk perilaku dan konten berbahaya.
Pengguna juga disarankan untuk mengaktifkan autentikasi dua faktor (2FA) atau autentikasi multi faktor (MFA) jika tersedia karena ini akan melindungi Anda dari sebagian besar serangan.
Direktur Keamanan Identitas di Microsoft Alex Weinert mengatakan bahwa “kata sandi Anda tidak penting, tetapi MFA penting! Berdasarkan penelitian kami, akun Anda 99,9% lebih kecil kemungkinannya untuk disusupi jika Anda menggunakan MFA.”
Weinert juga menambahkan bahwa “penggunaan apa pun di luar kata sandi secara signifikan meningkatkan biaya penyerang, itulah sebabnya tingkat penyusupan akun menggunakan semua jenis MFA kurang dari 0,1% dari populasi umum.”
Menggunakan kata sandi yang kuat dan unik adalah cara lain untuk mencegah akun perbankan Anda diretas karena ini akan memblokir peretas agar tidak memaksa masuk ke akun Anda dengan mencoba kata sandi yang Anda gunakan untuk layanan online lainnya.
Last but not least, FBI mendesak pengguna untuk segera menghubungi bank mereka setiap kali mereka menemukan perilaku mencurigakan saat menggunakan aplikasi mobile banking.
Ini bukan pertama kalinya agensi tersebut memperingatkan pengguna tentang malware seluler, dengan peringatan sebelumnya menunjuk ke pencuri informasi Loozfon dan FinFisher, serta aplikasi spyware StealthGenie.
Baca Juga: Kominfo Bisa Berikan Sanksi ke BSI Akibat Ulah Ransomware LockBit
