FBI mengingatkan pengguna mobile banking untuk waspada terhadap kejahatan siber yang memanfaatkan pandemi Covid-19. Pengguna platform mobile banking meningkat signifikan sejak pandemi bergulir sehingga situasi ini benar-benar menjadi peluang emas bagi penjahat siber.
FBI mengatakan hacker mencoba untuk mengeksploitasi pengguna baru layanan mobile banking dengan berbagai teknik. Termasuk trojan perbankan berbasis aplikasi dan aplikasi perbankan palsu.
FBI bersama Internet and Computing Core Certification (IC3) – sebuah perusahaan penyedia teknologi keuangan AS – memperkirakan lebih dari 75 persen orang Amerika menggunakan mobile banking dalam berbagai bentuk layanan di tahun 2019.
Berdasarkan studi data keuangan AS, terjadi lonjakan 50 persen dalam penggunaan mobile banking sejak awal 2020. Studi juga menunjukkan 36 persen orang AS berencana untuk menggunakan perangkat seluler dalam melakukan kegiatan perbankan, dan sebanyak 20 persen mengurangi pengambilan uang tunai ditengah pandemi covid 19.
Kacey Clark, peneliti Digital Shadows, mengatakan sejak diberlakukannya Lockdown dan ditutupnya layanan bank, banyak pelanggan perbankan beralih ke aplikasi mobile banking untuk menyetor cek, mentransfer uang, dan membayar tagihan. Artinya, perangkat seluler paling terancam.
Digital Shadows mengamati beberapa aplikasi tiruan yang dapat memberikan akses aplikasi ke informasi yang sangat sensitif atau melakukan tindakan invasif atas nama pengguna, membaca, dan menulis SMS, mengautentikasi akun, mengambil dan mengumpulkan foto, meminta token otentikasi, memproses panggilan keluar, membaca kontak, menambah hingga menghapus akun.
“Dalam skenario ini, pengguna diperdaya mengunduh aplikasi palsu atau aplikasi tiruan yang menggunakan izin berbahaya,” kata Clark dilansir Security Magazine, Kamis (11 Juni 2020).
Pengguna, kata dia, biasanya mengabaikan izin aplikasi karena mereka hanya ingin percaya bahwa unduhan mereka sah. Setelah pengguna memasukkan kredensial ke dalam aplikasi dan mencoba untuk masuk, kredensial dipanen, dan kode keamanan dapat dilewati.
Selain itu, trojan perbankan juga dapat digunakan sebagai dropper untuk menginstal malware ke ponsel pengguna, terutama spyware.
Spyware, setelah di-instal pada perangkat, dapat tetap tidak terdeteksi saat mengelola dan mengakses segala sesuatu di perangkat korban. Termasuk informasi sensitif seperti kamera dan mikrofon, pesan teks, password, daftar kontak, rincian kartu pembayaran yang disimpan atau diketik, hingga geolokasi.
“Untuk menghindari mengunduh aplikasi jahat, pengguna disarankan mengunjungi situs web bank mereka yang sah untuk mengidentifikasi tautan yang terkait dengan aplikasi seluler resmi. Kemudian mengunduh dari masing-masing toko aplikasi ponsel resmi.”
Berikut rekomendasi FBI terkait berbagai kemungkinan ancaman siber melalui mobile banking:
- Perusahaan sektor swasta harus mengelola toko aplikasi untuk smartphone dan secara aktif memeriksa apakah terdapat aplikasi tiruan yang berbahaya. Terlebih, sebagian besar bank-bank memberikan tautan ke aplikasi seluler mereka di situs web mereka. FBI juga merekomendasikan agar pengguna hanya mengunduh aplikasi dari sumber tepercaya seperti toko aplikasi resmi atau langsung dari situs web bank.
- Menggunakan otentikasi dua faktor (2FA) ketika diminta. Pakar keamanan siber menekankan 2FA merupakan alat yang sangat efektif untuk mengamankan akun dari peretasan.
- Ingat password karena hacker secara teratur mengeksploitasi pengguna yang menggunakan kembali password atau menggunakan password yang umum dan/sehingga mudah ditebak.
Untuk itu, FBI merekomendasikan pengguna agar membuat password yang kuat dan unik guna mengurangi serangan. Paling bagus, password dengan panjang 15 karakter atau lebih disertai kombinasi unik