Teknologi pada sektor keuangan semakin berkembang mengikuti kebutuhan penggunanya. Namun teknologi ini turut diiringi dengan kejahatan siber yang mengintai, salah satunya account takeover atau pengambilalihan akun.
Account takeover adalah serangan serius yang tidak hanya mengancam data pribadi individu, namun juga merugikan integritas dan reputasi institusi keuangan. Secara global kasus account takeover meningkat 150% tahun 2024 dari tahun sebelumnya. Sementara di Indonesia, 97% bisnis pernah mengalami percobaan account takeover, di mana 76% dari itu dilakukan untuk transaksi tidak berwenang.
Institusi atau perusahaan yang mengalami kasus account takeover dianggap tidak becus menjaga data pengguna. Oleh karena itu, penting bagi institusi keuangan untuk mengetahui bahaya account takeover.
Artikel ini akan membahas pengertian account takeover, metode yang digunakan pelaku, dampaknya terhadap perbankan, dan langkah pencegahannya.
Pengertian Account Takeover
Account takeover termasuk dalam kejahatan siber paling berbahaya yang dihadapi transaksi digital saat ini. Account takeover adalah tindakan kejahatan siber di mana pelaku berhasil mendapatkan akses tidak sah ke akun online milik individu atau organisasi. Setelah menguasai akun tersebut, pelaku dapat melakukan berbagai aktivitas ilegal, seperti transaksi finansial tanpa izin, pencurian data pribadi, atau penyalahgunaan layanan.
Beberapa cara yang umum dilakukan pada account takeover adalah phishing, spoofing, dan malware. Cara-cara ini memiliki tujuan yang sama, yakni mendapat akses ke dalam akun.
Cara-Cara Account Takeover
1. Phishing
Phishing adalah salah satu metode account takeover paling umum yang digunakan hacker untuk mencuri informasi login korban. Dalam serangan ini, pelaku mengirimkan email, SMS, atau pesan lainnya yang tampak seperti berasal dari sumber terpercaya, seperti bank, perusahaan teknologi, atau institusi resmi.
Pesan phishing biasanya mencakup tautan palsu yang menyerupai situs web asli. Lalu ketika korban mengeklik tautan tersebut, mereka diarahkan ke situs web palsu yang meminta mereka untuk memasukkan informasi login, seperti username, password, atau nomor kartu kredit. Setelah korban memasukkan data, pelaku dapat langsung menggunakannya untuk mengakses akun korban. Indonesia mencatat lebih dari 97.000 upaya phishing pada tahun 2023, dan sebagian besar melibatkan pencurian password.
2. Credential Stuffing
Credential stuffing adalah teknik di mana pelaku menggunakan kombinasi username dan password yang bocor dari pelanggaran data sebelumnya untuk mencoba masuk ke akun lain. Metode ini bekerja berdasarkan asumsi bahwa banyak pengguna menggunakan kredensial yang sama di beberapa platform.
Cara kerjanya, hacker mengakses data login yang bocor, biasanya dari pelanggaran data besar yang informasinya dijual di dark web. Lalu mereka menggunakan alat otomatis untuk mencoba kredensial tersebut pada berbagai situs web atau layanan online. Nah, jika ada kecocokan, mereka mendapatkan akses ke akun korban.
Credential Stuffing sangat merugikan platform yang mengabaikan otentikasi multifaktor. Sebab, serangan ini bisa sukses hanya dalam waktu kurang dari 1 jam.
3. Social Engineering
Social engineering adalah manipulasi psikologis terhadap korban untuk mendapatkan informasi sensitif. Pelaku sering berpura-pura menjadi pihak resmi, seperti petugas bank, untuk membangun kepercayaan dan memanipulasi korban agar memberikan informasi penting.
Dalam account takeover, cara kerja social engineering yakni hacker menghubungi korban melalui telepon, email, atau media sosial dengan mengaku sebagai perwakilan dari institusi terpercaya. Lalu mereka menipu psikologis korban dengan menciptakan rasa urgensi, misalnya mengatakan bahwa akun korban akan diblokir jika tidak segera diverifikasi. Korban yang panik cenderung memberikan informasi login atau data sensitif lainnya.
4. Malware
Malware adalah perangkat lunak berbahaya yang dirancang untuk mencuri informasi pribadi, termasuk login akun. Malware sering disisipkan dalam file yang diunduh, tautan yang diakses, atau perangkat yang terhubung.
Jenis Malware yang Digunakan untuk Account Takeover:
- Keylogger: Malware yang merekam setiap ketikan pada keyboard, termasuk username dan password korban.
- Spyware: Malware yang memantau aktivitas korban dan mengumpulkan data seperti login akun atau informasi keuangan.
- Trojan Horse: Malware yang menyamar sebagai aplikasi atau file resmi untuk mencuri data pengguna.
Setelah menginfeksi perangkat, malware dapat mencuri informasi sensitif yang disimpan di browser atau perangkat korban. Data ini kemudian digunakan pelaku untuk mengambil alih akun.
5. Spoofing
Spoofing adalah teknik di mana pelaku memalsukan identitas mereka untuk menipu korban. Dalam konteks account takeover, spoofing sering digunakan untuk membuat email, nomor telepon, atau situs web palsu yang tampak seperti milik institusi resmi.
Contohnya email spoofing, caller ID spoofing, dan face spoofing. Belakangan face spoofing menjadi kasus yang marak karena adanya teknologi deepfake yang bisa meniru wajah seseorang.
Baca juga: Mengenal Apa Itu Deepfake
Korban yang percaya bahwa mereka berkomunikasi dengan pihak resmi akan memberikan informasi login atau data sensitif lainnya, yang kemudian digunakan pelaku untuk mengambil alih akun.
Bahaya Account Takeover untuk Institusi Keuangan
1. Pengambilan Informasi Pribadi
Bahaya paling mendasar dari account takeover adalah pencurian informasi pribadi. Informasi ini mencakup data yang bersifat kredensial atau rahasia, seperti nomor KTP, nama lengkap, dan nomor handphone.
Data-data ini kemudian digunakan oleh pelaku untuk berbagai kejahatan, seperti mengajukan pinjaman di bank atau aplikasi pinjaman online dengan menggunakan identitas korban.
2. Kerugian Finansial
Salah satu dampak paling nyata bagi institusi keuangan yang mengalami account takeover adalah kerugian finansial. Ketika pelaku mengambil alih akun nasabah, mereka dapat melakukan berbagai tindakan seperti menarik uang nasabah, melakukan transaksi ilegal, dan mengakses kredit atau pinjaman. Semua ini dilakukan tanpa sepengetahuan korban. Sehingga institusi keuangan harus memberikan kompensasi kepada korban, yang tentu menambah kerugian.
3. Kerusakan Reputasi dan Hilangnya Kepercayaan Nasabah
Kepercayaan adalah fondasi utama dalam industri keuangan. Ketika serangan account takeover terjadi, nasabah sering kali kehilangan kepercayaan terhadap kemampuan institusi untuk melindungi data dan dana mereka. Akibatnya, nasabah pindah ke institusi lain yang lebih aman dan menghilangkan potensi calon nasabah.
4. Peningkatan Biaya Operasional untuk Pemulihan
Account takeover adalah serangan yang membuat institusi keuangan rugi berkali-kali lipat untuk memulihkan sistem yang diserang, melakukan investigasi, memberikan kompensasi kepada korban, dan membayar sanksi.
5. Eksploitasi Sistem untuk Penipuan Lanjutan
Ketika pelaku berhasil mengambil alih akun nasabah, mereka tidak hanya mencuri dana tetapi juga menggunakan akses tersebut untuk tujuan lain, seperti menggunakan akun nasabah untuk mencuci uang (money laundering), menyusup ke sistem internal institusi keuangan melalui akun nasabah yang sudah terkompromi, dan melakukan social engineering dengan mengelabui pihak lain menggunakan identitas yang telah diambil alih.
Cara Mencegah Account Takeover
Untuk melindungi diri dari ancaman account takeover, institusi keuangan harus mempertimbangkan penggunaan otentikasi multifaktor. Yang dimaksud multifaktor di sini adalah otentikasi perangkat dan otentikasi wajah. Tunggu, mengapa bukan penggunaan password?
Studi dari VIDA menemukan bahwa penggunaan password sebagai metode utama untuk melindungi akun digital sebenarnya dapat menjadi salah satu penyebab utama meningkatnya serangan phishing dan social engineering.
Baca juga: Apakah Password Gagal Melindungi Transaksi Digital?
Ini terjadi karena kelemahan dasar dari password yang mudah ditebak, dicuri, atau dibobol oleh penyerang. Sebagian besar pengguna cenderung menggunakan kata sandi yang sama untuk banyak akun, atau memilih kata sandi yang lemah, seperti tanggal lahir atau kombinasi sederhana.
Untuk itu, VIDA menyarankan dua cara otentikasi: Phone Token dan Face Token
-
PhoneToken
Produk ini menggunakan otentikasi berbasis perangkat dengan teknologi Public Key Infrastructure (PKI) dan verifikasi biometrik langsung di perangkat pengguna. Dengan menghubungkan identitas pengguna ke perangkat mereka, PhoneToken menghilangkan kebutuhan akan password dan OTP, sehingga sangat tahan terhadap serangan phishing dan social engineering.
-
FaceToken
FaceToken menggabungkan teknologi face liveness detection, face matching, dan device authentication dalam satu langkah secepat kilat. Teknologi ini memastikan hanya pengguna yang asli dan hidup yang dapat melakukan otentikasi, melindungi akun dari serangan face spoofing.
Kedua solusi ini memberikan lapisan perlindungan ekstra yang tidak hanya mudah digunakan, tetapi juga tangguh terhadap account takeover.
Account takeover adalah ancaman nyata. Dengan mengetahui macam-macam teknik account takeover, bahaya, dan cara pencegahannya, institusi keuangan dapat melindungi data pengguna. Ingin tahu lebih lanjut? Hubungi VIDA sekarang!
