Pembayaran NFC melalui ponsel dapat diterobos peretas – 1Peretas menggunakan informasi yang dicuri untuk segera melakukan transaksi non-kontak atau penarikan tunai di ATM yang mendukung NFC, seolah-olah mereka memegang kartu Anda (Gambar: Bapt).
Ancaman terhadap pembayaran seluler meningkat secara signifikan. Di antaranya, teknologi pembayaran non-kontak (NFC) dari kartu bank yang diaktifkan di ponsel cerdas pengguna menjadi sasaran utama.
Menurut ahli keamanan siber, cukup dengan ponsel pengguna yang terinfeksi malware, informasi kartu kredit pribadi dapat dicuri dari jarak jauh tanpa peretas menyentuh kartu fisik.
Laporan dari Cleafy menunjukkan, kampanye penipuan bernama SuperCard X menggunakan jenis perangkat lunak berbahaya Android baru untuk mencuri informasi kartu melalui NFC.
Mereka beroperasi dengan mengirim pesan SMS atau WhatsApp palsu, seringkali berupa ancaman atau peringatan palsu, yang meminta korban untuk menghubungi nomor telepon layanan pelanggan palsu.
Kemudian, peretas akan membujuk pengguna untuk menginstal aplikasi berbahaya ke ponsel dengan alasan perlu “memverifikasi kartu kredit”.
Setelah pengguna mengikuti petunjuk dan mendekatkan kartu kredit ke ponsel (untuk melakukan verifikasi sesuai permintaan), perangkat lunak mata-mata ini akan diam-diam mengaktifkan NFC, membaca, dan mencuri data kartu.
Data kartu yang dicuri kemudian dikirim segera ke perangkat lain yang dikendalikan oleh peretas. Teknik ini disebut “serangan relay NFC”, memungkinkan peretas untuk menggunakan informasi yang dicuri untuk segera melakukan transaksi non-kontak atau penarikan tunai di ATM yang mendukung NFC, seolah-olah mereka memegang kartu Anda.
Metode ini sangat berbahaya karena dapat beroperasi dengan kartu dari berbagai bank dan dapat menghindari sistem deteksi penipuan tradisional.
Menurut para ahli, perangkat lunak antivirus mengalami kesulitan dalam mendeteksi SuperCard X karena memerlukan akses terbatas pada Android, terutama hanya memerlukan akses ke fungsi NFC.
Ini memungkinkannya beroperasi secara diam-diam dan tidak mencurigakan. Para peneliti memperingatkan bahwa teknik serangan ini mulai diterapkan oleh jenis malware lain.
Untuk melindungi diri dari ancaman ini, ahli keamanan siber menyarankan pengguna untuk:
Jangan pernah menginstal aplikasi dari tautan aneh yang diterima melalui SMS, WhatsApp, email, atau sumber lain yang tidak tepercaya.
Hanya instal aplikasi dari toko resmi seperti Google Play Store dan periksa dengan teliti informasi pengembang.
Selalu waspada dan verifikasi dengan teliti sumber pesan, email, atau panggilan yang meminta Anda memberikan informasi pribadi, informasi keuangan, atau melakukan tindakan apa pun yang berkaitan dengan keamanan.
Jika ragu, hubungi bank atau lembaga terkait secara langsung melalui saluran resmi mereka. Berhati-hatilah jika aplikasi apa pun meminta Anda mendekatkan kartu kredit ke ponsel, terutama jika aplikasi tersebut bukan aplikasi pembayaran atau perbankan resmi yang Anda percayai.
