Marak Kebocoran Kredensial Digital Banking, Begini Cara Mengantisipasinya
loading...
A
A
A
JAKARTA - Penjualan data kredensial semakin sering terjadi di Breachforums beberapa pekan belakangan. Tentu saja, hal ini menimbulkan kekhawatiran bagi pengguna layanan perbankan. Khususnya, mobile banking dan internet banking.
Pakar keamanan siber dan forensik digital Alfons Tanujaya mengatakan, dari bukti dan sampel yang diberikan di forum-forum itu terlihat ada kebocoran kredensial mobile banking dan internet banking dari banyak bank. Termasuk bank besar sekalipun.
“Tetapi kredensial yang bocor tersebut tidak bisa digunakan untuk melakukan transaksi pada internet banking karena persetujuan transaksi pada intenret banking membutuhkan TOTP Token One Time Password atau Token Password sekali pakai yang sulit disadap, unik untuk setiap rekening dan hanya dimiliki
oleh pemegang rekening dan sistem TOTP server bank,” ujarnya.
Sedangkan untuk m-banking perlu mendapatkan perhatian khusus. Sebab, tidak ada perlindungan TOTP dan secara teknis jika peretas mengetahui kredensial m-banking seperti Username, Password, PIN transaksi. Jika penjahat siber berhasil menguasai SMS OTP ponsel korbannya, maka pembobolan akun m-banking dapat dilakukan.
“Karena itu, perlindungan tambahan untuk m-banking harus ditambahkan oleh setiap penyelenggara m-banking. Perlindungan OTP dengan SMS yang diterapkan oleh banyak bank tidak dapat menjain keamanan m-banking karena SMS OTP masih kurang aman dan dapat disadap dengan program pencuri SMS,” beber Alfons.
Ia berpendapat, cara mengamankan m-banking dari usaha pembobolan secara teknis tidak terlalu sulit.
“Bank hanya perlu menambahkan verifikasi tambahan setiap kali m-banking ini diakses dari ponsel atau nomor ponsel yang berbeda. Sehingga sekalipun semua kredensial dan SMS OTP sudah didapat oleh penipu, mereka masih harus melakukan verifikasi tambahan ke CS bank atau ATM bank dengan kartu ATM pemilik akun guna menyetujui perpindahan akses m-banking. Atau, mempertimbangkan menggantikan OTP SMS dengan OTP lain seperti Google Authenticator yang secara teknis lebih aman dari OTP SMS,” ungkapnya.
2. Pengguna Internet Banking memastikan menginstal antivirus di perangkat pengakses Internet Banking yang akan dapat mengidentifikasi adanya keylogger atau piranti lunak jahat pada komputer anda.
3. Bank yang memberikan layanan m-banking dan hanya mengandalkan perlindungan OTP dari SMS disarankan menambahkan verifikasi tambahan setiap kali akun m-banking diakses dari ponsel baru atau nomor baru.
Hal ini untuk berjaga-jaga jika pengguna m-banking diperdaya oleh penipu melalui rekayasa sosial dimana sekalipun SMS OTP berhasil diketahui oleh penipu, akun m-banking tetap aman.
Sebab, transaksi dari ponsel atau nomor ponsel yang berbeda harus melalui verifikasi tambahan seperti tatap muka dengan CS, verifikasi ke ATM atau melakukan verifikasi tambahan ke callcenter dgn video call atau face recognition.
4. Pertimbangkan untuk menggantikan OTP SMS sebagai tulang punggung pengamanan transaksi penting.
5. Bank menjalankan KYC untuk mencegah penyalahgunaan akun yang dibuka menggunakan KTP bodong dan pihak berwenang menindak dengan tegas setiap pemilik KTP yang menyalahgunakan kartu identitasnya guna membuka rekening bank dan menjual kepada penipu untuk menampung hasil kejahatan.
6. OJK melakukan pengawasan kedisiplinan bank dalam melindungi data nasabah dan bank diharapkan menjalankan pengelolaan data nasabah dengan standar yang ketat dan disiplin.
Pakar keamanan siber dan forensik digital Alfons Tanujaya mengatakan, dari bukti dan sampel yang diberikan di forum-forum itu terlihat ada kebocoran kredensial mobile banking dan internet banking dari banyak bank. Termasuk bank besar sekalipun.
“Tetapi kredensial yang bocor tersebut tidak bisa digunakan untuk melakukan transaksi pada internet banking karena persetujuan transaksi pada intenret banking membutuhkan TOTP Token One Time Password atau Token Password sekali pakai yang sulit disadap, unik untuk setiap rekening dan hanya dimiliki
oleh pemegang rekening dan sistem TOTP server bank,” ujarnya.
Sedangkan untuk m-banking perlu mendapatkan perhatian khusus. Sebab, tidak ada perlindungan TOTP dan secara teknis jika peretas mengetahui kredensial m-banking seperti Username, Password, PIN transaksi. Jika penjahat siber berhasil menguasai SMS OTP ponsel korbannya, maka pembobolan akun m-banking dapat dilakukan.
“Karena itu, perlindungan tambahan untuk m-banking harus ditambahkan oleh setiap penyelenggara m-banking. Perlindungan OTP dengan SMS yang diterapkan oleh banyak bank tidak dapat menjain keamanan m-banking karena SMS OTP masih kurang aman dan dapat disadap dengan program pencuri SMS,” beber Alfons.
Ia berpendapat, cara mengamankan m-banking dari usaha pembobolan secara teknis tidak terlalu sulit.
“Bank hanya perlu menambahkan verifikasi tambahan setiap kali m-banking ini diakses dari ponsel atau nomor ponsel yang berbeda. Sehingga sekalipun semua kredensial dan SMS OTP sudah didapat oleh penipu, mereka masih harus melakukan verifikasi tambahan ke CS bank atau ATM bank dengan kartu ATM pemilik akun guna menyetujui perpindahan akses m-banking. Atau, mempertimbangkan menggantikan OTP SMS dengan OTP lain seperti Google Authenticator yang secara teknis lebih aman dari OTP SMS,” ungkapnya.
Nah, berikut adalah langkah yang harus dilakukan untuk menghindari kebocoran data:
1. Pengguna Internet Banking disarankan untuk mengganti kredensial / password login Internet Banking atau mobile bankingnya.2. Pengguna Internet Banking memastikan menginstal antivirus di perangkat pengakses Internet Banking yang akan dapat mengidentifikasi adanya keylogger atau piranti lunak jahat pada komputer anda.
3. Bank yang memberikan layanan m-banking dan hanya mengandalkan perlindungan OTP dari SMS disarankan menambahkan verifikasi tambahan setiap kali akun m-banking diakses dari ponsel baru atau nomor baru.
Hal ini untuk berjaga-jaga jika pengguna m-banking diperdaya oleh penipu melalui rekayasa sosial dimana sekalipun SMS OTP berhasil diketahui oleh penipu, akun m-banking tetap aman.
Sebab, transaksi dari ponsel atau nomor ponsel yang berbeda harus melalui verifikasi tambahan seperti tatap muka dengan CS, verifikasi ke ATM atau melakukan verifikasi tambahan ke callcenter dgn video call atau face recognition.
4. Pertimbangkan untuk menggantikan OTP SMS sebagai tulang punggung pengamanan transaksi penting.
5. Bank menjalankan KYC untuk mencegah penyalahgunaan akun yang dibuka menggunakan KTP bodong dan pihak berwenang menindak dengan tegas setiap pemilik KTP yang menyalahgunakan kartu identitasnya guna membuka rekening bank dan menjual kepada penipu untuk menampung hasil kejahatan.
6. OJK melakukan pengawasan kedisiplinan bank dalam melindungi data nasabah dan bank diharapkan menjalankan pengelolaan data nasabah dengan standar yang ketat dan disiplin.
(dan)