APAKAH TEKNOLOGI KEAMANAN DIGITAL BANKING TERPROTEKSI DARI PENIPUAN?
Posted on 10.10.2019 at 12:14
By Pavel Melnichenko, CTO
Kapan terakhir kali Anda berjalan ke bank untuk menarik uang tunai atau menyetorkan cek? Munculnya digital perbankan telah terbukti menjadi pendekatan revolusioner untuk manajemen keuangan, bahkan sampai pada tingkat pengurangan kebutuhan akan cabang-cabang perbankan fisik. Baik itu mengelola keuangan Anda sendiri, bekerja dengan akun perusahaan, atau ingin mengakses layanan keuangan baru di tengah malam di lokasi mana pun di seluruh dunia, perbankan digital telah memungkinkan akses ke layanan keuangan dengan nyaman di ujung jari pelanggan.
Namun, sementara tujuan utama digitalisasi adalah untuk membuat pengalaman bank untuk pelanggan nyaman, cepat dan mudah diakses, berbagai lapisan prosedur keamanan dalam sistem seringkali bertentangan dalam memberikan pengalaman pengguna yang lancar. Dalam paragraf berikut, saya akan mengeksplorasi teknik keamanan yang digunakan oleh berbagai lembaga perbankan di seluruh dunia dan dampaknya terhadap pengguna perbankan.
Harus mematuhi peraturan ketat oleh bank sentral – tergantung pada masing-masing negara, sistem perbankan digital modern terdiri dari mekanisme keamanan yang dibangun untuk menahan intrusi dunia maya dari individu pihak ketiga yang tidak diinginkan. Dengan demikian, sulit bagi sistem ini untuk dikompromikan.
Namun demikian, puas untuk menganggap bahwa ancaman keamanan siber tidak lazim di dunia digital – karena bahaya virtual selalu bersembunyi di balik gerbang digital yang selalu aktif.
Di ujung lain interaksi bank-ke-pelanggan, pelanggan sering dianggap sebagai mata rantai terlemah dari ekosistem keamanan digital perbankan. Dengan kemampuan untuk melakukan transaksi secara lancar tanpa perlu identifikasi fisik, mudah bagi malefactors untuk melakukan transaksi digital atas nama pelanggan ke akun pribadi mereka. Oleh karena itu, sebagian besar serangan cyber ditargetkan pada pelanggan layanan digital perbankan.
Untuk mengatasi masalah tersebut, bank telah menggunakan berbagai teknologi. Sementara beberapa teknologi ini melayani pengalaman pengguna – dengan yang lain memberikan fungsionalitas keamanan yang lebih tinggi – sulit untuk menemukan pengalaman yang aman dan ramah pengguna.
OTP SMS Tidak Begitu Privat Seperti Yang Anda Pikirkan
Sebagian besar bank berasumsi bahwa pendekatan yang ramah pengguna dan aman dalam otorisasi transaksi dapat didelegasikan untuk menggunakan SMS. Bertindak sebagai faktor otentikasi kedua – di luar kata sandi login awal dalam proses login perbankan jarak jauh – bank mengirim SMS ke ponsel pelanggan dengan OTP, setiap kali pelanggan melakukan transaksi. OTP kemudian dimasukkan ke dalam antarmuka digital perbankan – baik di komputer atau di aplikasi ponsel – untuk mengkonfirmasi transaksi.
Meskipun fungsinya tampaknya aman, sistem SMS terdiri dari celah yang dapat dieksploitasi oleh individu pihak ketiga yang tidak sah.
Pertama, kode SMS diketahui oleh bank, agregator SMS – perusahaan yang mengirim kode SMS untuk transaksi perbankan digital, dan operator seluler.
Kedua, protokol SMS dirancang pada tahun 1970. Ini membuatnya rentan terhadap eksploitasi keamanan modern karena serangan keamanan cyber menjadi lebih maju. Misalnya, serangan sistem pensinyalan 7 (SS7) dapat dilakukan dengan menggunakan peralatan dan perangkat lunak yang jumlahnya mencapai sekitar USD $ 1500 untuk membaca pesan untuk setiap nomor ponsel di dunia.
Ketiga, ada banyak kasus malware untuk smartphone dengan kemampuan untuk mengontrol ponsel Anda yang meliputi membaca pesan teks. Demikian pula, malware ini memungkinkan malefactors untuk mendapatkan akses ke aplikasi messenger pada ponsel cerdas Anda untuk menerima kode SMS dari bank Anda.
Seringkali, serangan ‘teknis’ dari malefactor termasuk menginfeksi perangkat pintar Anda dengan malware. Ini dapat dilakukan melalui pesan dengan hyperlink atau dengan link ke situs dummy, atau melalui email dari teman. Dengan menginfeksi perangkat Anda, malefactor dapat memperoleh akses ke akun perbankan digital Anda untuk melakukan transaksi saat menerima kode OTP SMS untuk mengotorisasi transaksi.
Push-notification Sebagai Alternatif Yang Lebih Murah
Di luar celah keamanannya, sistem OTP SMS juga sangat mahal. Karenanya, ada bank yang lebih suka mengirim kata sandi sekali pakai menggunakan pesan push, yang bukan tanpa kekurangannya.
Pertama, produsen perangkat lunak ponsel cerdas – seperti Apple dan Google – memiliki batasan untuk mengirim informasi sensitif (termasuk kata sandi bank) melalui push notification. Ini karena konten push dikenal oleh push aggregator dan penyedia layanan push. Oleh karena itu, jika ada kasus insiden penipuan digital, produsen ini akan terlibat – skenario yang ingin mereka hindari.
Kedua, ada antarmuka perangkat lunak standar untuk membaca konten pemberitahuan push untuk sistem operasi Android. Antarmuka standar ini memudahkan malefactors untuk menginfeksi sistem Android dengan malware yang selanjutnya memungkinkan mereka untuk membaca dan menerima push notification Anda pada akhirnya.
Ketiga, pesan push bukan saluran komunikasi yang andal. Dengan insiden transaksi yang tidak dikonfirmasi walaupun menerima pesan push, keandalan pesan push yang terputus-putus dapat terbukti menjadi penyebab pengalaman pengguna yang buruk.
Generator kata sandi satu kali sebagai alat yang lebih aman?
Metode lain untuk menghasilkan OTP adalah dengan menggunakan perangkat atau generator khusus. Perangkat menghasilkan kode yang berbeda berdasarkan waktu atau menggunakan touchpad kecil di mana pengguna dapat memasukkan detail transaksi untuk menghasilkan kata sandi. Meskipun ini adalah metode yang lebih aman untuk melindungi rekening bank Anda, metode ini juga bisa menjadi titik balik rasa sakit dari sudut pandang pengalaman pengguna. Dengan tuntutan untuk menciptakan pengalaman perbankan digital yang mulus bagi pelanggan, hal terakhir yang diinginkan pelanggan adalah memasukkan dua puluh digit pada perangkat hanya untuk mengetik ulang kode yang disediakan dalam sistem lain untuk transaksi perbankan mereka.
Dari sudut pandang keamanan, kode yang dihasilkan tidak terkait dengan detail transaksi apa pun. Dengan demikian, kode dapat digunakan dengan transaksi apa pun. Ini membuatnya dapat dieksploitasi oleh malefactors dalam mengkonfirmasi transaksi jahat mereka dalam peristiwa ketika mereka menemukan kode tersebut.
Poin penting lainnya yang perlu diperhatikan adalah bahwa malefactors dapat mengumpulkan OTP ini, baik itu melalui sistem SMS, pesan push, atau oleh perangkat generator OTP, dari pelanggan yang menggunakan taktik yang disebut ‘social engineering’. Taktik manipulatif untuk membuat pengguna membocorkan informasi rahasia menggunakan pengaruh dan persuasi. Serangan rekayasa sosial cenderung dibangun menggunakan teknik psikologis profesional.
Akibatnya, para korban serangan ini sering memberikan informasi sensitif dan rahasia yang sangat dibutuhkan kepada pelaku kejahatan yang membuka mereka terhadap risiko penipuan digital. Oleh karena itu, penting bagi kita sebagai pengguna akhir sistem digital perbankan untuk mewaspadai dan waspada terhadap berbagai ancaman keamanan siber yang berusaha melemahkan sistem keamanan ini.
Hubungan antara keamanan siber dan pengalaman pengguna mungkin berat, namun ini tidak harus menjadi masalah. Dengan solusi keamanan siber kami, PayConfirm, kami menyediakan metode yang cepat, mudah dan aman bagi Anda untuk mengotorisasi transaksi Anda sambil memastikan bahwa prosesnya tetap ramah pengguna. Menggunakan kombinasi komponen yang mencakup detail transaksi dan stempel waktu, karakteristik ponsel cerdas yang unik, yang disebut “sidik jari perangkat”, dan kunci keamanan pengguna yang unik, PayConfirm menjamin bahwa kode konfirmasi dilindungi. Selain itu, solusi yang ramah pengguna ini memastikan bahwa Anda hanya perlu satu ketukan untuk menyetujui transaksi perbankan Anda.