Menurut laporan di “Süddeutsche Zeitung”, dua peneliti keamanan TI telah berhasil memecahkan prosedur photoTAN yang digunakan dalam mobile banking pada ponsel pintar Android yang dirusak. Setelah dua peneliti dari Universitas Friedrich-Alexander Erlangen-Nuremberg memasang malware di perangkat, mereka dapat mengalihkan transfer online sesuka hati atau membuatnya sendiri. Namun, transaksi hanya dapat dimanipulasi jika aplikasi bank dan aplikasi photoTAN diinstal pada satu perangkat.
Menurut peneliti Vincent Haupert dan Tilo Müller, serangan tersebut dapat menargetkan lembaga keuangan Deutsche Bank, Norisbank dan Commerzbank. “Tidak masalah bagi kami untuk menyembunyikan transfer sebenarnya,” kata Haupert. Selama nasabah melakukan transaksi perbankan saat bepergian, manipulasi tidak akan terdeteksi.
PhotoTAN digunakan untuk menghasilkan kata sandi sekali pakai. Ketika proses tersebut diperkenalkan, sebuah gambar yang terbuat dari titik-titik kecil berukuran sekitar tiga kali tiga sentimeter dihasilkan di monitor komputer, yang berisi data transaksi. Pada varian ini, grafik tersebut dipindai dengan smartphone atau perangkat pembaca. Setelah photoTAN didekripsi, data transaksi (jumlah dan nama penerima transfer) serta tujuh digit nomor transaksi dapat dilihat di layar kontrol yang dapat menyetujui transfer.
Hal yang penting dari sudut pandang peneliti adalah ketika aplikasi bank dan aplikasi photoTAN berada di satu perangkat dan otentikasi dua arah yang sebenarnya dimaksudkan dirusak. Para peneliti masih menganggap penggunaan photoTAN di komputer dengan pembaca eksternal aman.
Serangan yang dilakukan kedua peneliti keamanan tersebut mengharuskan aplikasi yang terinfeksi virus sudah terinstal di ponsel pintar korban. “Hal ini membuat serangan menjadi lebih sulit, namun bukan berarti tidak mungkin,” kata Haupert. Hal ini ditunjukkan dengan malware seperti “Godless” dan “Hummingbad”. Itu berhasil masuk ke toko aplikasi resmi Google dan akan berfungsi pada 90 persen dari semua ponsel pintar Android. Sepuluh juta perangkat terpengaruh.
Skenario serangan didemonstrasikan menggunakan sistem Google Android. Pada prinsipnya, serangan juga mungkin terjadi pada sistem iPhone iOS. Malware iOS Pegasus menunjukkan bahwa tidak hanya smartphone Android saja yang bisa diserang. Namun, model keamanan perangkat lunak Apple lebih ketat, sehingga kemungkinan menangkap malware lebih rendah dibandingkan Android.
Ketika ditanya, juru bicara Deutsche Bank dan Norisbank menyatakan bahwa masalah keamanan ditanggapi dengan sangat serius: “Jika digunakan dengan benar, semua prosedur otentikasi aman, berdasarkan preferensi mereka sendiri. Commerzbank akan mengembalikan jumlah penuh jika terjadi kerusakan, katanya dalam balasan. Bank menyediakan informasi keamanan kepada pelanggan di situs webnya. Pihak bank tidak mengetahui serangan yang dilakukan para peneliti.
dpa