Detail

Risiko dari Lemahnya Kata Sandi Perbankan Online Anda

Tue, Aug 06 2019 | Author: PT. Central Data Technology

Jika Anda bertransaksi di bank online dan memilih kata sandi yang lemah atau digunakan berulang kali , ada kemungkinan akun Anda dapat dicuri oleh pencuri siber bahkan jika bank Anda menawarkan otentikasi multi faktor sebagai bagian dari proses masuknya.

Pencuri siber terus-menerus memeriksa situs web bank untuk akun pelanggan yang dilindungi oleh kata sandi yang lemah atau tidak di perbaharui. Pencuri akan menyerang dengan menggunakan daftar alamat email dan kata sandi yang dicuri secara massal dari situs yang diretas dan kemudian mencoba kredensial yang sama untuk melihat apakah mereka mengizinkan akses online ke akun di berbagai bank.

Dari sana, pencuri dapat mengambil daftar login yang berhasil dan memasukkannya ke dalam aplikasi yang mengandalkan Application Programming Interfaces (API) dari salah satu dari beberapa agregator data keuangan pribadi yang membantu pengguna melacak saldo, anggaran, dan pengeluaran mereka di beberapa bank.

Sejumlah bank yang menawarkan autentikasi multi faktor kepada pelanggan seperti kode satu kali yang dikirim melalui pesan teks atau aplikasi dan untuk memungkinkan para agregator ini melihat saldo dan transaksi terkini. Sementara beberapa bank telah menerapkan proses yang melewati Multi Factor Authentication (MFA) ketika konsumen ingin menghubungkan layanan agregasi.

Pengintaian tersebut membantu meletakkan dasar untuk serangan lebih lanjut. Jika pencuri dapat mengakses rekening bank melalui layanan agregator atau API, mereka dapat melihat saldo pelanggan dan memutuskan pelanggan mana yang layak untuk penargetan lebih lanjut.

Penargetan ini dapat terjadi setidaknya dalam satu dari dua cara. Yang pertama melibatkan serangan phishing untuk mendapatkan akses ke faktor otentikasi kedua, yang dapat dibuat jauh lebih meyakinkan setelah pencuri siber memiliki akses ke detail spesifik tentang akun pelanggan seperti transaksi terakhir atau nomor rekening (bahkan nomor rekening parsial).

Yang kedua adalah melalui SIM swap yang tidak sah, suatu bentuk penipuan di mana scammers menyuap atau menipu karyawan di toko ponsel untuk mengambil alih kendali nomor telepon target dan mengalihkan semua teks dan panggilan telepon ke perangkat seluler penyerang.

Tetapi di luar dari menargetkan pelanggan untuk pengambil alihan akun sekaligus, data yang tersedia melalui agregator keuangan memungkinkan jenis penipuan yang jauh lebih berbahaya. Kemampuan untuk menautkan akun bank target ke akun lain yang dikendalikan penyerang.

Alex Holden merupakan pendiri dan kepala kantor teknologi Hold Security, sebuah konsultan keamanan yang berbasis di Milwaukee, Amerika Serikat. Holden dan timnya memonitor dengan seksama forum kejahatan dunia maya dan dia mengatakan perusahaan telah melihat sejumlah penjahat dunia maya mendiskusikan bagaimana agregator keuangan berguna untuk menargetkan korban yang potensial.

Holden mengatakan itu tidak biasa bagi pencuri di komunitas ini untuk menjual kembali akses ke saldo rekening bank dan informasi transaksi ke penjahat lain yang berspesialisasi dalam mencairkan informasi tersebut.

"Harga untuk detail ini seringkali sangat murah, hanya sebagian kecil dari nilai moneter dalam akun, karena mereka tidak menjual akses 'final' ke akun," kata Holden. "Jika akun itu aktif, peretas kemudian dapat pergi ke tahap berikutnya untuk phishing 2FA atau rekayasa sosial, atau menghubungkan akun dengan yang lain."

Saat ini, agregator utama atau aplikasi yang menggunakan platform tersebut menyimpan login bank dan secara interaktif masuk ke akun konsumen untuk secara berkala menyinkronkan data transaksi. Tetapi sebagian besar platform agregator keuangan perlahan-lahan bergeser ke arah menggunakan standar otentikasi untuk login yang dapat memberi bank kemampuan yang lebih besar untuk menegakkan deteksi penipuan mereka dan sistem penilaian transaksi ketika sistem dan aplikasi aggregator pada awalnya ditautkan ke rekening bank.

Tentang Central Data Technology

Central Data Technology merupakan salah satu Value Added Distributor terbesar di Indonesia. Central Data Technology sebagai Perusahaan teknologi informasi yang mendistribusikan berbagai brand terkemuka di dunia Teknologi Informasi antara lain Oracle, F5, Fujitsu, Hitachi Vantara, Commvault, Talend, Pentaho, Mapr, Apple, AWS, Sundray, dan Microstrategy. Central Data Technology telah menjadi penyedia berbagai solusi untuk Security, Server Storage, Database, Backup, WLAN, dan Cloud yang terdepan.

Info lebih lanjut hubungi : marketing@centraldatatech.com

 

Sumber artikel : https://krebsonsecurity.com/2019/08/the-risk-of-weak-online-banking-passwords/