JAKARTA, 23 Oktober 2024 – Aplikasi mobile banking di HP Android ataupun IOS dirancang untuk memudahkan pengguna dalam mengakses layanan perbankan. Namun, aplikasi ini juga menjadi target penipuan online yang bertujuan menguras rekening. Sepanjang tahun lalu, serangan trojan yang menyasar pengguna ponsel Android terkait mobile banking mencapai 32 persen.
Ramai diberitakan media terkemuka bahwa pakar Keamanan Siber, Alfons Tanujaya, mengungkapkan adanya ancaman baru yang perlu diwaspadai oleh pengguna aplikasi mobile banking.
Ancaman ini memanfaatkan fitur aksesibilitas yang sebenarnya dirancang untuk membantu pengguna dengan keterbatasan. Fitur tersebut kini dieksploitasi untuk mengambil alih akun mobile banking.
Alfons menjelaskan bahwa ada beberapa kasus di mana aksesibilitas disalahgunakan untuk menguasai akun pengguna.
“Sudah saatnya penyedia layanan mobile banking mengambil langkah mitigasi untuk mencegah eksploitasi ini karena akan sangat merugikan pengguna,” kata Alfons.
Kenapa Mobile Banking di HP Android jadi Sasaran?
Menurut Alfons, ketika sistem keamanan server dan database sudah terlindungi dengan baik, penyerang cenderung beralih menyerang titik lemah, yaitu pengguna aplikasi mobile banking.
Serangan ini biasanya melibatkan rekayasa sosial, seperti menyebarkan APK (file instalasi aplikasi Android) yang menyamar sebagai kurir online, pajak, undangan pernikahan, atau surat tilang, yang bertujuan mencuri SMS OTP untuk mengakses akun digital korban, termasuk akun mobile banking, WhatsApp, atau email.
Menjelang akhir 2024, serangan menggunakan APK pencuri SMS mulai menurun seiring dengan meningkatnya kesadaran pengguna dan langkah-langkah pengamanan dari berbagai pihak.
Namun, kini peretas beralih mengejar izin akses penuh atau “accessibility permission”, yang memungkinkan mereka mengendalikan perangkat ponsel atau tablet sepenuhnya.
“Jika akses ini berhasil diperoleh, ponsel korban dapat dikendalikan sepenuhnya oleh pelaku,” kata Alfons.
Ia menjelaskan, pembuat aplikasi jahat hanya memerlukan izin ‘BIND ACCESSIBILITY SERVICES’ untuk mengakses penuh perangkat Android, termasuk mengendalikan aktivitas layar, memasukkan kata sandi, dan membaca informasi yang ditampilkan di layar.
Jika fitur aksesibilitas ini disalahgunakan, dampaknya bisa sangat berbahaya karena pelaku dapat memantau dan mengirimkan data pengguna ke server mereka. Mereka bahkan bisa mencegah pengguna untuk menghapus aplikasi atau melakukan reset pada perangkat.
Alfons mengingatkan pengguna untuk waspada jika aplikasi mobile banking mereka sering tertutup mendadak atau menunjukkan perilaku aneh. Solusi terbaik adalah segera menghubungi layanan pelanggan mobile banking untuk mendapatkan bantuan.
Ia juga menekankan pentingnya memilih layanan mobile banking yang aman, meskipun mungkin memerlukan beberapa langkah keamanan tambahan.
Menurutnya, ada keseimbangan antara kenyamanan dan keamanan, dan untuk menjaga keamanan, kadang diperlukan sedikit ketidaknyamanan dalam prosedur keamanan.
Prosedur Tambahan Keamanan
Salah satu langkah pengamanan yang direkomendasikan Alfons adalah menyadari bahwa OTP melalui SMS tidak lagi aman.
Bank perlu menerapkan prosedur tambahan, seperti verifikasi tatap muka, pengambilan kode aktivasi di ATM, atau verifikasi melalui video call, terutama saat nasabah mengganti ponsel atau nomor.
Untuk menghindari eksploitasi fitur aksesibilitas, pengguna bisa menonaktifkan izin aksesibilitas pada aplikasi yang tidak memerlukannya melalui pengaturan perangkat.
Alfons juga memperingatkan untuk berhati-hati dengan aplikasi antivirus yang meminta akses aksesibilitas, terutama jika diperoleh dari luar Play Store.
Jika aplikasi yang diunduh dari Play Store masih menyebabkan masalah pada mobile banking, pengguna disarankan untuk menghubungi call center mobile banking untuk solusi lebih lanjut.
Terakhir, Alfons menegaskan bahwa antivirus tetap diperlukan untuk melindungi ponsel, namun pengguna hanya perlu menonaktifkan aksesibilitas pada aplikasi antivirus tersebut, bukan menghapusnya.