FinanSaya.com – Mobile banking membuat transaksi menjadi jauh lebih mudah. Transfer uang, bayar tagihan, cek saldo, hingga top up bisa dilakukan dari ponsel. Namun, kemudahan ini juga membuat ponsel menjadi target kejahatan digital. Salah satu ancaman yang perlu dipahami adalah malware perbankan.
Secara sederhana, malware adalah perangkat lunak berbahaya yang dibuat untuk mengganggu, merusak, mencuri data, atau mengambil alih sistem. National Institute of Standards and Technology menjelaskan malware sebagai perangkat lunak atau firmware yang dirancang untuk menjalankan proses tidak sah yang berdampak buruk pada kerahasiaan, integritas, atau ketersediaan sistem. Definisi ini dapat dilihat dalam NIST Computer Security Resource Center.
Dalam konteks keuangan, malware perbankan adalah malware yang dirancang untuk mencuri data atau mengambil alih aktivitas terkait layanan perbankan digital, termasuk mobile banking. Targetnya bisa berupa username, password, PIN, OTP, SMS, data kartu, hingga akses ke aplikasi keuangan di ponsel.
Apa Itu Malware Perbankan?
Malware perbankan sering juga disebut banking malware atau banking trojan. Bentuknya bisa berupa aplikasi palsu, file berbahaya, tautan jebakan, atau program tersembunyi yang masuk ke ponsel tanpa disadari.
Biasanya, malware ini tidak langsung terlihat seperti virus di film. Ia bisa menyamar sebagai aplikasi kurir, undangan digital, bukti transfer, aplikasi pinjaman, aplikasi investasi, pembaruan sistem, atau file APK yang dikirim melalui pesan singkat dan aplikasi percakapan.
Begitu terpasang, malware dapat meminta izin yang terlihat biasa, tetapi sebenarnya berbahaya. Misalnya izin membaca SMS, melihat notifikasi, menggunakan layanan aksesibilitas, mengambil tangkapan layar, merekam aktivitas layar, atau berjalan di latar belakang.
OWASP dalam proyek Mobile Top 10 menyoroti berbagai risiko keamanan pada aplikasi mobile, termasuk penyimpanan data yang tidak aman, komunikasi yang tidak aman, dan kelemahan autentikasi. Bagi pengguna, ini mengingatkan bahwa keamanan mobile banking tidak hanya bergantung pada bank, tetapi juga pada keamanan perangkat yang dipakai.
Cara Malware Perbankan Menyerang Mobile Banking
Cara serangan bisa berbeda-beda, tetapi pola umumnya mirip: pelaku membuat pengguna memasang aplikasi atau membuka tautan berbahaya, lalu malware bekerja dari dalam ponsel.
Modus pertama malware perbankan adalah aplikasi palsu. Pengguna diminta mengunduh file APK di luar toko aplikasi resmi. File itu bisa diklaim sebagai undangan, resi paket, foto, dokumen pajak, atau pembaruan aplikasi. Setelah dipasang, aplikasi tersebut meminta izin yang tidak wajar.
Modus kedua adalah phishing. Pengguna diarahkan ke halaman palsu yang mirip situs atau aplikasi resmi. Di sana, korban diminta memasukkan data login, nomor kartu, PIN, atau OTP. Federal Trade Commission melalui panduan How to Recognize and Avoid Phishing Scams menjelaskan bahwa phishing sering memakai pesan palsu untuk membuat korban memberikan informasi pribadi atau keuangan.
Modus ketiga adalah overlay attack. Malware menampilkan layar palsu di atas aplikasi asli. Pengguna merasa sedang login ke aplikasi mobile banking, padahal data yang diketik masuk ke pelaku.
Modus keempat malware perbankan adalah pencurian OTP atau notifikasi. Jika malware punya izin membaca SMS atau notifikasi, kode verifikasi bisa dicuri. Inilah sebabnya pengguna perlu sangat berhati-hati saat aplikasi asing meminta izin membaca pesan, notifikasi, atau aksesibilitas.
Bahaya Malware Perbankan bagi Pengguna Mobile Banking
Bahaya terbesar malware perbankan adalah pencurian akses ke rekening. Jika pelaku berhasil mendapatkan data login, OTP, atau mengambil alih perangkat, transaksi ilegal bisa terjadi tanpa disadari.
Risiko pertama adalah saldo terkuras. Pelaku dapat mencoba transfer dana, pembayaran, atau transaksi lain menggunakan akses yang dicuri.
Risiko kedua adalah pencurian identitas. Data pribadi seperti nama, nomor ponsel, alamat email, nomor identitas, dan informasi rekening dapat disalahgunakan untuk penipuan berikutnya.
Risiko ketiga adalah pengambilalihan akun. Malware tertentu dapat membaca notifikasi, menutup pesan peringatan, atau mengarahkan korban ke layar palsu. Dalam beberapa kasus, korban baru sadar ketika transaksi sudah terjadi.
Risiko keempat adalah kerusakan reputasi dan beban administrasi. Setelah terkena serangan, korban harus menghubungi bank, memblokir akses, mengganti password, memeriksa perangkat, dan memastikan akun lain tidak ikut terdampak.
Otoritas Jasa Keuangan melalui kanal edukasi Sikapi Uangmu mengingatkan masyarakat untuk menjaga kerahasiaan data pribadi dan berhati-hati terhadap penipuan keuangan digital. Prinsip ini penting karena banyak kasus kejahatan digital dimulai dari kelalaian kecil, seperti mengunduh file sembarangan atau membagikan kode rahasia.
Baca Juga: Siapa Lazarus Group, dan Apa Saja Jejak Kejahatannya?
Ciri-Ciri HP Terinfeksi Malware
Tidak semua infeksi mudah dikenali, tetapi ada beberapa tanda yang perlu diwaspadai.
Pertama, ponsel menjadi lambat atau cepat panas tanpa alasan jelas. Malware bisa berjalan di latar belakang dan memakai sumber daya perangkat.
Kedua, baterai cepat habis. Jika ada aplikasi asing yang terus aktif, konsumsi baterai bisa meningkat.
Ketiga, muncul aplikasi yang tidak pernah dipasang. Ini bisa menjadi tanda perangkat telah dimasuki program tidak dikenal.
Keempat, muncul pop-up, iklan, atau permintaan izin yang mencurigakan. Waspadai aplikasi yang meminta akses SMS, kontak, notifikasi, kamera, mikrofon, atau aksesibilitas tanpa alasan yang jelas.
Kelima, ada aktivitas rekening yang tidak dikenali. Jika ada notifikasi transaksi, perubahan password, atau percobaan login yang bukan dilakukan sendiri, segera hubungi bank.
Namun, tanda-tanda ini tidak selalu berarti pasti terkena malware perbankan. Bisa saja penyebabnya adalah aplikasi berat atau masalah perangkat. Meski begitu, jika gejalanya muncul bersamaan dengan aktivitas keuangan mencurigakan, pengguna harus segera bertindak.
Cara Mencegah Malware Perbankan
Pencegahan paling penting adalah jangan menginstal aplikasi dari sumber tidak resmi. Hindari file APK yang dikirim melalui pesan, grup, email, atau tautan asing. Gunakan toko aplikasi resmi dan periksa nama pengembang aplikasi sebelum mengunduh.
Kedua, jangan pernah membagikan PIN, password, CVV, OTP, atau kode verifikasi kepada siapa pun. Bank tidak akan meminta data rahasia tersebut melalui telepon, pesan, atau tautan.
Ketiga, periksa izin aplikasi. Aplikasi kalkulator, undangan, resi, atau dokumen seharusnya tidak perlu membaca SMS, notifikasi, atau layanan aksesibilitas. Jika izin terasa tidak masuk akal, jangan lanjutkan.
Keempat, aktifkan fitur keamanan ponsel. Gunakan kunci layar, biometrik, pembaruan sistem, dan autentikasi berlapis bila tersedia. Cybersecurity and Infrastructure Security Agency melalui panduan Secure Our World menekankan pentingnya password kuat, pembaruan perangkat, dan kewaspadaan terhadap phishing sebagai langkah dasar keamanan digital.
Kelima, rutin memperbarui sistem operasi dan aplikasi. Pembaruan sering membawa perbaikan keamanan. Perangkat yang jarang diperbarui lebih rentan terhadap celah keamanan.
Keenam, pisahkan kebiasaan digital. Jangan memakai ponsel yang sama untuk mengunduh aplikasi sembarangan dan melakukan transaksi penting. Jika memungkinkan, batasi aplikasi di perangkat yang dipakai untuk mobile banking.
Apa yang Harus Dilakukan Jika Terlanjur Terkena?
Jika curiga terkena malware perbankan, segera hentikan transaksi dari perangkat tersebut. Jangan membuka mobile banking lagi dari ponsel yang dicurigai terinfeksi.
Langkah berikutnya, hubungi bank melalui kanal resmi untuk memblokir sementara akun, kartu, atau layanan yang berisiko. Setelah itu, ganti password dari perangkat lain yang aman. Jangan mengganti password dari ponsel yang masih dicurigai terinfeksi.
Periksa daftar aplikasi dan hapus aplikasi mencurigakan. Jika perlu, lakukan reset pabrik setelah mencadangkan data penting yang aman. Pastikan juga sistem operasi diperbarui sebelum memakai kembali perangkat.
Laporkan kejadian kepada bank dan simpan bukti transaksi, pesan, nomor pengirim, tautan, atau file mencurigakan. Untuk edukasi dan rujukan keamanan siber di Indonesia, masyarakat juga dapat merujuk pada kanal resmi Badan Siber dan Sandi Negara serta informasi sistem pembayaran dari Bank Indonesia. (Sol)




