Jakarta, reporter.com - Saat ini ada modus baru pembobol mobile banking atau m-banking lewat undangan pernikahan online. Tapi dari mana para penjahat siber itu bisa mendapatkan kredensial mobile banking korbannya?
Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menduga kemungkinan antarorganisasi kriminal saling berbagi database untuk dijadikan sasaran atau ada database bank pengguna m-banking yang bocor.
Alfons menjelaskan, surat undangan pernikahan itu sebenarnya mengandung APK (berkas paket aplikasi Android yang digunakan untuk mendistribusikan dan memasang software dan middleware ke ponsel) dari luar Play Store. Jika diinstal, maka kredensial One Time Password atau OTP bisa dicuri dari perangkat korbannya.
Padahal, menurut Alfons, ketika APK Android berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan, seperti 'menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan'.
Saat peringatan itu diabaikan, kata dia, peringatan lain akan tetap muncul ketika memberikan akses SMS kepada aplikasi yang ingin diinstal. “Termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di instal tersebut,” ucap Alfons lewat keterangan tertulis pada Sabtu, 28 Januari 2023.
Selain itu, kemungkinan besar karena masyarakat tidak terbiasa memperhatikan peringatan saat instal aplikasi, maka aplikasi jahat pencuri data akan tetap terinstal dan menjalankan aksinya. Karena pengguna ponsel biasanya mudah sekali memberikan persetujuan (Allow) tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan.
Alfons menuturkan, sebenarnya dengan menginstal aplikasi jahat itu tidak cukup untuk mengakses akun mobile banking korbannya, karena mengakses akun mobile banking membutuhkan user ID, password m-banking, PIN persetujuan transaksi, dan OTP yang didapatkan melalui APK jahat ini.
Lalu, dia pun memberikan saran untuk mengantisipasinya. Jika data pengguna m-banking ini sudah bocor, maka salah satu hal darurat yang harus dilakukan adalah segera mengganti password dan PIN persetujuan transaksi.
“Jika masih ragu, pertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking dengan pengamanan lebih baik,” tutur dia.
Sebenarnya, Alfons berujar, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking. “Sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi,” kata dia.
Adapun saran untuk bank penyedia layanan m-banking, dia meminta agar menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru. Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru.
“Verifikasi What You Have ini contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening. Sedangkan verifikasi What You Know adalah user ID, password, PIN persetujuan transaksi, dan kode OTP,” ucap dia. (red.Df)
Social Header