Data dari Otoritas Jasa Keuangan mengungkap 10 bank terbesar di Indonesia mengalami kerugian nasabah hingga Rp 2,5 triliun selama 2022-2024. Tahu apa penyebab utama kerugian ini? Nasabah yang tanpa sadar memberikan kode OTP kepada penipu sehingga akun bank berpindah tangan. Inilah yang dimaksud dengan account takeover.
Sementara itu di Singapura, penipuan account takeover meningkat dua kali lipat dalam setahun. Account takeover adalah penipuan yang sudah mendunia. Dibalik angka-angka kerugian, ada biaya hidup dan tabungan korban yang lenyap seketika. Dengan kata lain, account takeover bukan penipuan kecil. Kasus ini membuat korbannya menderita.
Apa itu account takeover? Apa saja risikonya? Dan bagaimana cara mencegahnya? Simak artikel berikut ini!
Definisi Account Takeover
Account takeover adalah serangan siber di mana pelaku berhasil mengakses dan mengendalikan akun online milik seseorang tanpa izin. Istilah lain dari account takeover adalah pembajakan akun. Account takeover terjadi ketika pelaku mendapatkan password, PIN, atau OTP akun tersebut. Cara-cara yang digunakan antara lain phishing dan malware.
Ketika account takeover terjadi, pelaku dapat mencuri informasi pribadi korban, melakukan transaksi atas nama korban, bahkan mengosongkan rekening korban. Serangan account takeover dapat merugikan pengguna secara finansial maupun privasi.
Beberapa tanda akunmu mengalami serangan account takeover adalah adanya pemberitahuan aktivitas mencurigakan pada akun. Berikut tanda-tandanya:
1. Pemberitahuan Login dari Lokasi atau Perangkat Asing
Saat kamu tidak melakukan apapun pada akunmu, tiba-tiba muncul notifikasi login dari lokasi atau perangkat yang tidak kamu ketahui. Notifikasi ini biasanya dikirimkan oleh sistem keamanan platform untuk memberi peringatan bahwa ada upaya masuk dari lokasi dan perangkat yang tidak biasa.
Pemberitahuan ini biasanya disertai oleh perintah mengaktifkan autentikasi dua faktor. Segera aktifkan dan ubah password atau PIN akun.
2. Perubahan Data Pribadi dan Adanya Aktivitas Mencurigakan
Tiba-tiba kamu sadar bahwa ada pengaturan akun yang tidak kamu lakukan. Misalnya, alamat email atau nomor telepon berubah, password berubah, atau pengaturan notifikasi yang berubah. Waspada, ciri-ciri account takeover adalah adanya kredensial yang berubah.
Selain itu, terdapat aktivitas yang tidak biasa dalam akunmu, seperti transaksi yang tidak pernah kamu lakukan atau pesan terkirim melalui email atau nomor teleponmu. Kemungkinan besar aktivitas itu berasal dari penipu yang sedang mengendalikan akunmu.
Untuk mencegahnya, pastikan kamu memantau secara rutin pengaturan akunmu. Jika menemukan perubahan mencurigakan, segera atur ulang password atau PIN.
3. Tidak Bisa Login ke Akun
Jika password atau PIN yang biasa kamu gunakan tidak lagi diterima, waspada akunmu telah diambil alih. Kemungkinan besar penipu telah mengganti kredensial login akunmu.
Segera lakukan proses pemulihan akun melalui opsi “Lupa Kata Sandi”. Jika akses masih tidak bisa dipulihkan, hubungi dukungan layanan pelanggan.
4. Email Permintaan Reset Password
Jika kamu menerima email yang berisi permintaan reset password tanpa kamu minta, bisa jadi pada saat itu seseorang sedang mencoba mengambil alih akunmu. Penipu mencoba melakukan reset password agar mereka bisa mendapatkan akses penuh ke akun.
Jangan pernah mengklik tautan yang ada dalam email karena besar kemungkinan tautan tersebut mengarah ke website buatan penipu. Sebagai gantinya, langsung login ke akunmu melalui aplikasi atau situs resmi untuk mengecek apakah ada aktivitas yang mencurigakan. Jika perlu, segera ubah kata sandi dan aktifkan fitur keamanan tambahan untuk mencegah akses yang tidak sah.
Risiko Account Takeover
1. Kehilangan Akses ke Akun Penting
Risiko terbesar account takeover adalah kehilangan akses secara permanen ke dalam akunmu. Hal ini terjadi karena penipu segera mengubah password, email, email pemulihan, dan data-data lainnya. Jika kamu kehilangan akses akun, maka akunmu bisa disalahgunakan untuk penipuan yang merugikanmu.
Contoh di Indonesia, seorang pengguna layanan pinjaman online mendapati bahwa namanya tercatat telah mengajukan pinjaman hingga ratusan juta rupiah, padahal ia tidak pernah melakukannya. Hal itu disebabkan akunnya telah diambil alih oleh penipu.
2. Penyalahgunaan Data Pribadi
Ketika pelaku menguasai akun, mereka bisa mendapatkan informasi sensitif seperti data pribadi, alamat, nomor kartu, rekening, hingga riwayat transaksi. Informasi tersebut dapat disalahgunakan untuk tindakan kriminal seperti transaksi ilegal atau pendaftaran judi online.
3. Kerugian Finansial
Data dari VIDA mengungkapkan bahwa institusi keuangan adalah target utama kejahatan account takeover. Maka tak heran jika kerugiannya tidak hanya penyalahgunaan akun dan data pribadi, tetapi juga kerugian finansial.
Penipu menggunakan akun yang diambil alih untuk melakukan transaksi ilegal, mengajukan pinjaman, atau justru menarik semua uang dari rekening.
4. Penyebaran Phishing dan Penipuan Lanjutan
Dampak jangka panjang account takeover adalah data korban digunakan untuk penipuan selanjutnya. Contohnya, nomor WhatsApp korban yang diretas digunakan untuk meminta pinjaman uang kepada teman atau saudaranya. Hal ini membuat reputasi korban tercoreng.
Bagaimana Mencegah Account Takeover
Mengingat besarnya risiko account takeover dari sisi finansial, emosional, dan reputasi, kamu perlu mengetahui bagaimana cara mencegah account takeover. Otentikasi dua faktor menggunakan OTP masih dianggap cara paling aman mencegah account takeover. Sayangnya, perkembangan teknologi membuat OTP tidak lagi aman.
OTP justru bisa menjadi celah masuk penipuan melalui social engineering. Lalu, apa metode terbaik untuk mencegah account takeover?
Jawabannya adalah otentikasi perangkat dan otentikasi wajah. Berikut masing-masing penjelasannya:
1. Otentikasi Perangkat
Mengingat account takeover adalah penipuan yang dapat dilakukan menggunakan perangkat apapun, penting untuk memastikan bahwa akun hanya bisa diakses lewat satu perangkat saja. Inilah yang dimaksud dengan penggunaan otentikasi perangkat.
Perangkat (device) yang digunakan untuk mendaftar akun sebuah aplikasi telah diautentikasi oleh sistem, sehingga hanya lewat perangkat tersebut akun dapat diakses.
VIDA menyediakan solusi otentikasi perangkat yakni PhoneToken. Saat pengguna mengunduh sebuah aplikasi, PhoneToken secara otomatis terhubung ke perangkat mereka. Secara otomatis, segala akses akun hanya dapat dilakukan pada perangkat tersebut.
Teknologi ini bekerja dengan menyematkan Public Key Infrastructure ke dalam perangkat. Dari sisi pengguna, cukup login seperti biasa pada perangkat. Namun dari sisi penipu, mereka tidak bisa mengakses akunmu dari perangkat mereka.
2. Otentikasi Wajah
Otentikasi wajah atau biometrik bekerja dengan memverifikasi data biometrik (wajah, sidik jari, retina) seseorang pada perangkat. Otentikasi ini memastikan bahwa hanya pemilik akun sah yang dapat mengakses akun mereka.
VIDA juga meluncurkan otentikasi wajah dengan nama VIDA FaceToken. Dengan menggabungkan face matching dan liveness detection, FaceToken mengikat identitas biometrik pengguna langsung ke perangkat mereka.
Account takeover adalah kejahatan siber yang patut diwaspadai. Risiko di balik account takeover sangat berdampak pada finansial, emosional, dan reputasi seseorang. Jangan sampai kamu menjadi korban account takeover di era transaksi digital ini.
Cari tahu lebih lengkap tentang VIDA PhoneToken dan FaceToken.
