“Sehingga serangan susulan yang lebih fatal bisa dihindari,” ucap Yeo Siang Tiong. “Juga memberikan tim keamanan perbankan akses ke intelijen ancaman terbaru agar mereka selalu mendapatkan informasi terkini tentang alat dan teknik yang digunakan penjahat dunia maya.”
Seperti diketahui, modus baru pembobol m-banking muncul yaitu melalui undangan pernikahan online yang palsu. Di mana surat undangan itu sebenarnya mengandung APK (berkas aplikasi Android untuk mendistribusikan dan memasang software dan middleware ke ponsel) dari luar Play Store yang jika diinstal akan mencuri kredensial One Time Password atau OTP dari perangkat korbannya.
Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menyarankan agar perbankan menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru. Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru.
“Verifikasi What You Have ini contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening. Sedangkan verifikasi What You Know adalah user ID, password, PIN persetujuan transaksi, dan kode OTP,” ucap dia.
Kemudian, Alfons memberikan gambaran, bahwa langkah Two Factor Authentication (TFA) sebagai langkah pengamanan ‘What you know' dan ‘what you have’. “What you know kan bisa bocor. Jadi, bank harus antisipasi kalau ‘what you know’ bocor, harus ada verifikasi ‘What you have’.” jelasnya.
Langkah jelasnya, seperti bawa KTP ke bank, verifikasi tiap ganti nomor HP mobile banking, atau ganti user mobile banking ke ATM tiap kali ganti HP atau ganti nomor.
Sebenarnya, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking. “Sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi,” kata dia.
Ikuti berita terkini dari Tempo di Google News, klik di sini