Pembayaran Nirsentuh Menjadi Target Baru

Pada akhir tahun 2023, ketika peneliti ESET menemukan metode serangan baru yang menyalahgunakan data near field communication (NFC) nasabah perbankan, mereka telah memperingatkan kemungkinan ekspansinya ke wilayah atau negara lain.

Sayangnya, namun tidak mengejutkan, skenario terburuk telah terjadi, dan aktor ancaman kini menggunakan teknik serupa di seluruh dunia. Tren ini dengan jelas ditunjukkan oleh total jumlah serangan NFC yang dilaporkan oleh telemetri ESET yang melonjak lebih dari 35 kali pada Semester 1 2025 dibandingkan dengan Semester 2 2024.

Menurut ESET Threat Report Semester 1 2025. Beruntungnya, penggemar pembayaran nirsentuh tidak tidak berdaya. Dengan sedikit kesadaran dan alat keamanan siber yang tepat, pengguna dapat terus membayar secara nirkabel dengan tenang.

Ketuk untuk Membayar

Pembayaran Nirsentuh Menjadi Target Baru — Credit image: Freepix

NFC atau Near Field Communication, adalah teknologi nirkabel jarak pendek yang memanfaatkan gelombang radio, memungkinkan komunikasi antar perangkat dalam jarak dekat, biasanya dalam beberapa sentimeter.

Penemuan ini telah sangat menyederhanakan pembayaran tanpa uang tunai, terutama bagi orang-orang yang tidak pernah meninggalkan smartphone mereka dan mencoba menggunakan kemampuannya secara maksimal.

Di atas popularitas dan kegunaannya, teknologi ini sudah dilindungi oleh berbagai lapisan keamanan seperti enkripsi dan tokenization, yang mencegah kartu digandakan. Fakta bahwa proses pembayaran membutuhkan jarak dekat agar berfungsi membuat upaya penyerang semakin rumit.

Mempertimbangkan penetrasi smartphone secara keseluruhan, meningkatnya adopsi pembayaran tanpa uang tunai, dan keamanan yang terintegrasi, tidak mengherankan jika pasar NFC global diantisipasi tumbuh dari $21,69 miliar pada tahun 2024 menjadi $30,55 miliar pada tahun 2029.

Riset ESET

Seperti biasa, tren yang berkembang di dunia digital kita juga menarik para penjahat siber, dan di sinilah kita lagi menjelaskan ancaman baru.

Penipuan yang dijelaskan oleh peneliti ESET menggabungkan teknik berbahaya standar (social engineering, phising, dan malware Android) dengan alat yang disebut NFCGate, menciptakan skenario serangan yang benar-benar baru.

NFCGate memungkinkan transmisi data NFC antara dua perangkat, dan tujuan aslinya tidak berbahaya. Alat ini dikembangkan oleh mahasiswa dari Secure Mobile Networking Lab di Technical University of Darmstadt di Jerman sebagai alat penelitian.

Skenario serangan dimulai dengan penjahat siber mengirimkan pesan SMS kepada calon korban mengenai pengembalian pajak, termasuk tautan ke situs web phishing yang meniru bank. Tautan ini kemungkinan besar mengarah ke progressive web apps (PWA) berbahaya.

Aplikasi seluler licik ini dapat diakses dari peramban web, sehingga menghindari proses vetting standar di toko aplikasi, dan instalasinya tidak memicu peringatan tentang menginstal aplikasi pihak ketiga.

Rincian Penipuan

Dalam penipuan ini, PWA berbahaya yang meniru aplikasi perbankan menipu korban untuk menginstalnya dan memasukkan kredensial mereka.

Setelah penyerang memiliki kredensial, mereka mendapatkan akses ke akun korban dan menelepon korban, berpura-pura menjadi karyawan bank.

Menggunakan informasi yang dicuri, mereka mencoba meyakinkan korban bahwa akun mereka telah disusupi, dan untuk “melindungi” dana mereka, mereka perlu mengubah PIN mereka dan memverifikasi kartu bank mereka.

Untuk melakukannya, korban didesak untuk mengunduh aplikasi seluler lain dari tautan yang dikirimkan kepada mereka melalui SMS. Aplikasi ini sebenarnya adalah malware NGate, yang menyalahgunakan teknologi NFCGate.

Peneliti ESET menduga bahwa di dalam aplikasi NGate, korban akan memasukkan PIN lama mereka untuk membuat yang baru dan meletakkan kartu mereka di bagian belakang smartphone mereka untuk memverifikasi atau menerapkan perubahan.

Karena penyerang sudah memiliki akses ke akun yang disusupi, mereka dapat dengan mudah mentransfer dana ke akun lain.

Tetapi menggunakan NGate membuat keseluruhan penipuan jauh lebih mudah, penyerang dapat mengakses dana korban tanpa meninggalkan jejak kembali ke rekening bank mereka sendiri.

Mereka dapat dengan mudah meniru kartu bank korban di perangkat mereka sendiri dan menggunakannya untuk penarikan tunai atau melakukan pembayaran.

Memanen Kartu Pembayaran

Meskipun polisi menangkap anggota geng dan aktivitas berbahaya tersebut kemudian dihentikan, telemetri ESET terus mendeteksi malware NGate di wilayah lain. Dan dari melacak hanya sekitar satu deteksi per minggu, para peneliti mulai melihat puluhan deteksi.

Terinspirasi oleh keberhasilan NGate, para penjahat siber mengembangkan metode ini lebih lanjut, membuatnya lebih sederhana dan siap untuk diterapkan dalam skala besar. Taktik ini diberi nama Ghost Tap.

Pada awal proses, penjahat menggunakan berbagai teknik phishing, sekali lagi, mencoba membujuk korban untuk memasukkan detail kartu pembayaran mereka di situs web palsu dan kemudian menipu mereka agar membagikan kode one-time passcode yang dimaksudkan untuk mengonfirmasi kartu untuk dompet digital.

Kemudian, dengan data kartu dan kode yang mereka miliki, penyerang mendaftarkan kredensial yang dicuri di dompet Apple atau Google mereka sendiri, merelay dompet yang dimuat ini ke perangkat lain, dan melakukan pembayaran nirsentuh yang curang di mana pun di dunia. Teknik ini memungkinkan penjahat siber untuk tetap anonim dan melakukan cash-out dalam skala yang lebih besar.

Secara teoritis, mereka dapat memiliki seluruh “peternakan” ponsel Android yang dimuat dengan data kartu yang dikompromikan untuk melakukan transaksi penipuan otomatis.

Cara Melindungi Rekening Bank

Hemat pangkal kaya, jadi jangan biarkan penjahat siber menguras rekening bank Anda dengan mudah. Berikut adalah beberapa tips tentang cara melindungi uang hasil jerih payah Anda dari penyerang:

Latih mata Anda untuk mengidentifikasi phishing – Agar serangan NFC berhasil, penjahat siber masih perlu menipu target mereka untuk mengunduh aplikasi berbahaya dan/atau menyerahkan detail perbankan mereka. Pelajari cara menghindari upaya phishing.

Tetapkan batas pembayaran rendah, Bank biasanya membatasi jumlah uang tunai yang dapat Anda tarik dari ATM setiap hari dan memiliki algoritma untuk mendeteksi transaksi yang tidak biasa.

Anda dapat meningkatkan langkah-langkah perlindungan ini lebih lanjut dengan menetapkan batas maksimum berapa banyak yang dapat Anda beli melalui pembayaran nirsentuh.

Lindungi pembayaran nirsentuh, Anda dapat menggunakan RFID blocker, perangkat atau bahan yang dirancang untuk mencegah akses tidak sah ke informasi yang disimpan pada chip RFID (Radio-Frequency Identification) di kartu debit/kredit.

Gunakan solusi keamanan siber yang andal – Perlindungan keamanan siber yang kuat dapat menemukan dan menghentikan serangan finansial di banyak tahap, mulai dari tautan phishing hingga aplikasi berbahaya hingga serangan jaringan.

Baca juga: Dilema Pembayaran Online

Cara ESET Mengamankan Rekening dan Transaksi Bank

Untuk melindungi kehidupan digital orang modern yang menikmati kemajuan teknologi, ESET mengembangkan perlindungan all-in-one yang disebut ESET HOME Security, baru-baru ini dianugerahi AV-Comparatives’ Product of the Year 2024 Award untuk ESET HOME Security Essential.

Di antara banyak hal lainnya, ia juga mengamankan smartphone Android, pembayaran seluler, dan transaksi keuangan berkat ESET Mobile Security for Android, yang mampu mencegah serangan finansial di berbagai tahap. Mari kita lihat cara kerjanya:

Antivirus Android dengan pemindaian 24/7 dapat mendeteksi semua jenis malware, termasuk aplikasi berbahaya. Alat canggih ini juga mendeteksi penipuan NFC berkat deteksi berbasis signature.

Anti-Phishing melindungi dari situs web berbahaya yang mencoba memperoleh informasi sensitif Anda, seperti informasi perbankan atau detail kartu kredit. Fitur ini memeriksa tautan yang berasal dari peramban, SMS, aplikasi, dan notifikasi.

Payment Protection memastikan bahwa aplikasi lain tidak akan mengenali saat aplikasi keuangan diluncurkan dan tidak akan dapat mengganti atau membaca layar aplikasi yang terpengaruh.

Security Audit membantu Anda memantau perangkat dan meninjau izin yang diberikan kepada setiap aplikasi yang terinstal di perangkat Anda untuk mencegah risiko keamanan.

Tidak Perlu Kembali ke Uang Tunai

Pembayaran tanpa uang tunai cepat dan nyaman, dan pengguna seharusnya tidak menyerah pada hal itu hanya karena penjahat siber menemukan trik baru.

Jika Anda ingin terus menggunakan pembayaran ketuk tanpa khawatir rekening bank Anda dikuras, tetaplah waspada dan lindungi smartphone Anda dengan solusi keamanan siber yang tangguh.

Baca artikel lainnya: