TEMPO.CO, Jakarta - Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya, mengungkap adanya penjualan data kredensial yang melanda industri perbankan Indonesia di Breachforums beberapa pekan belakangan ini.
Hal ini, ujarnya, akan menimbulkan kekhawatiran bagi pengguna layanan perbankan atas keamanan data login layanan perbankan, khususnya mobile banking dan internet banking.
Dari bukti dan sampel yang diberikan di forum tersebut, ujarnya, terlihat bahwa memang ada kebocoran kredensial mobile banking dan internet banking dari banyak bank, termasuk bank besar.
"Walau bocor, namun ada sedikit kelegaan karena kredensial yang bocor tersebut tidak bisa digunakan untuk melakukan transaksi pada internet banking," ujar Alfons, dalam keterangannya, Rabu, 9 Agustus 2023.
Alasannya, karena masih dibutuhkan persetujuan transaksi pada internet banking, yaitu membutuhkan Token One Time Password (TOTP) atau Token Password sekali pakai yang sulit disadap, unik untuk setiap rekening dan hanya dimiliki oleh pemegang rekening dan sistem TOTP server bank.
Namun, Alfons memberi catatan untuk m-banking. Menurutnya, perlu mendapatkan perhatian khusus karena tidak ada perlindungan TOTP. Secara teknis, jika peretas mengetahui kredensial m-banking seperti Username, Password, PIN transaksi dan berhasil menguasai SMS OTP ponsel korbannya, maka pembobolan akun m-banking dapat dilakukan. "Karena itulah perlindungan tambahan untuk m-banking harus ditambahkan oleh setiap penyelenggara m-banking karena tidak dilindungi dengan TOTP," ujar Alfons.
Menurutnya, perlindungan OTP dengan SMS yang diterapkan oleh banyak bank tidak dapat menjamin keamanan m-banking karena SMS OTP masih kurang aman dan dapat disadap dengan program pencuri SMS. “Sejatinya SMS adalah kanal komunikasi jadul yang melibatkan banyak pihak, mudah disadap dan dibaca karena tidak terenkripsi,” jelas Alfons.
Sebenarnya, kata Alfons, cara mengamankan m-banking dari usaha pembobolan secara teknis tidak terlalu sulit, bank hanya perlu menambahkan verifikasi tambahan setiap kali m-banking ini diakses dari ponsel atau nomor ponsel yang berbeda. Maka, sekalipun semua kredensial dan SMS OTP sudah didapatkan oleh penipu, mereka masih harus melakukan verifikasi tambahan ke CS bank atau ATM bank dengan kartu ATM pemilik akun guna menyetujui perpindahan akses m-banking.
Cara lainnya, mempertimbangkan menggantikan OTP SMS dengan OTP lain, seperti Google Authenticator yang secara teknis lebih aman dari OTP SMS.
Data yang Bocor
Berdasarkan deskripsi pelaku, dua kebocoran data yang dilakukan di breachforums, bentuknya adalah screen capture login dari peramban dan database kebocoran data 22 GB. Untuk capture login dari peramban secara umum dapat dikategorikan sebagai kebocoran data yang umum. “Diduga data tersebut didapatkan menggunakan keylogger atau program pencuri password yang berhasil ditanamkan pada komputer atau ponsel korbannya dan aksi phishing,” kata Alfons.
Untuk mengingatkan, aksi phishing adalah aksi mengelabui korbannya untuk memasukkan kredensial internet/mobile banking dengan menyaru sebagai pihak bank seperti ancaman kenaikan biaya administrasi sepihak bank. Jika nasabah tidak setuju maka harus mengisi form ke situs palsu yang mirip dengan situs bank yang telah dipersiapkan untuk mencuri data internet/mobile banking.
Perlindungan dari keylogger, trojan dan phishing dapat dilakukan menggunakan program antivirus yang memiliki perlindungan identity protection dan Phishing Shield. Namun pengguna digital banking juga harus selalu awas dan tidak mudah dikelabui oleh aksi phishing yang kerap menggunakan rekayasa sosial yang ampuh dan sulit ditebak.
Alfons mengingat bahwa ada sampel kebocoran data lain yang cukup mengkhawatirkan. “Ada sampel data yang diberikan bukan berupa login melainkan data yang kelihatannya didapatkan dari database,” katanya. Hal ini tentu memprihatinkan serta mencerminkan pengelolaan database perbankan yang kurang aman. Adapun beberapa data penting yang bocor dan dijual oleh peretas mengandung informasi sensitif, seperti Mbankid, NIK, nama, email, phone dan mobile bank phone.
Jika scammer mendapatkan data ini, mereka akan bergembira ria, karena dapat mengetahui dengan persis nomor ponsel yang diincar serta nomor ponsel apa saja yang menggunakan m-banking untuk dijadikan sasaran phishing.
Perhitungannya, jika rekayasa sosial yang mereka jalankan sukses dan berhasil mengakses SMS ponsel yang diincar, maka rekening m-banking ponsel tersebut akan dapat dibobol dengan mudah, khususnya jika m-banking tersebut hanya mengandalkan SMS OTP untuk verifikasi perpindahan ponsel yang mengakses m-banking.
Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.
