Bim/iStock/Getty Images Plus
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
**Poin-Poin Penting ZDNET**
* *Ghost tapping* berupaya mengeksploitasi *tap-to-pay* untuk mencuri uang Anda.
* Penipu menargetkan kartu pembayaran fisik dan dompet digital.
* Penipuan ini sulit dilakukan, namun para penipu tetap memaksa.
Membayar barang dengan mengetuk ponsel menggunakan dompet digital merupakan cara yang cepat dan praktis untuk melakukan pembelian. Namun, di balik kepraktisannya, atau mungkin justru karenanya, terdapat sejumlah potensi risiko yang terkait dengan proses tersebut. Salah satu jenis penipuan yang belakangan banyak mendapat sorotan adalah *ghost tapping*. Seorang penjahat — atau bahkan pedagang yang tidak jujur atau palsu — dapat mengeksploitasi teknologi *tap-to-pay* untuk mengisi tagihan kartu kredit atau metode pembayaran Anda tanpa sepengetahuan Anda.
Bagaimana Modus Penipuan Ini Bekerja
“*Ghost tapping* merujuk pada upaya kriminal untuk memicu pembayaran *contactless* yang tidak sah tanpa sepengetahuan korban,” jelas Shane Barney, *Chief Information Security Officer* untuk Keeper Security, kepada ZDNET. “*Tap-to-pay* menggunakan *Near Field Communication* (NFC), yang memerlukan jarak sangat dekat dengan kartu atau perangkat. Meskipun teknologi ini pada dasarnya aman, penyerang mencoba mengeksploitasi momen ketika orang sedang teralihkan perhatiannya, seperti di area publik yang ramai.”
Juga: 11 cara untuk menghapus atau menyembunyikan diri Anda dari internet – dan melindungi privasi Anda
Penipuan *ghost tapping* dapat menyasar dompet digital seperti *Apple Wallet* dan *Google Wallet*, serta kartu kredit dan debit *tap-to-pay*. Biasanya, teknologi ini menyediakan cara yang praktis untuk membeli beragam barang, mulai dari tiket transportasi hingga bahan makanan, bensin, dan pakaian. Banyak pemilik usaha kecil dan pedagang menggunakan pembaca *tap-to-pay* portabel, memudahkan pembelian barang melalui ponsel atau kartu kredit Anda.
Sebuah penipuan *ghost tapping* biasanya melibatkan tiga langkah, jelas Barney.
1. **Mendekati korban:** Dilengkapi dengan pembaca NFC, penipu mendekati korban yang dituju dengan sangat dekat, terkadang dengan sengaja menabrak atau berdiri berdesakan di area ramai. Membeli pembaca NFC adalah bagian yang mudah, karena dapat dibeli dari berbagai *retailer* daring.
2. **Memicu transaksi:** Jika kartu pembayaran korban tidak terlindungi dengan baik di dalam tas atau saku, penipu dapat menggunakan pembaca tersebut untuk mencoba memulai transaksi *tap-to-pay*.
3. **Memproses tagihan:** Bahkan jika korban meninjau riwayat transaksinya, mereka mungkin tidak menyadari tagihan tersebut, terutama jika penipu membatasi jumlahnya.
Seberapa sulit melakukan jenis penipuan seperti ini? Eksekusi aktualnya adalah bagian yang sulit, menurut Barney. Penipu harus tetap berada cukup dekat dengan korban untuk memicu respons dari kartu tanpa ketahuan. Itulah sebabnya penipuan ini sering terjadi di area ramai atau dalam situasi di mana penyerang dapat berpura-pura sebagai vendor yang sah.
Meskipun kartu pembayaran fisik dan ponsel pintar dapat menjadi target, metode keamanan modern dirancang untuk mencegah penyerang mencuri informasi pembayaran sensitif. Kartu pembayaran *contactless* EMV (*Europay, Mastercard, and Visa*) masa kini melindungi dari pencurian nomor kartu, kode CVV, dan data lainnya.
Ponsel pintar bahkan lebih aman daripada kartu pembayaran fisik. *Apple Wallet* dan *Google Wallet* mencakup biometrik di tingkat perangkat untuk autentikasi, menyimpan *token* alih-alih nomor kartu, dan mengandalkan keamanan yang tertanam dalam perangkat keras. Karena suatu transaksi memerlukan Face ID, Touch ID, atau PIN, *ghost tapping* pada ponsel pintar pada dasarnya mustahil, kata Barney.
Waspadai Vendor Palsu
Pencurian NFC *drive-by* lebih menantang untuk dieksekusi daripada yang diasumsikan banyak orang, dan data yang tersedia terbatas. Namun, para penyerang tetap melakukannya karena pintu masuknya sangat rendah. Tetapi, jika tantangannya tinggi, mengapa *ghost tapping* menjadi ancaman? Seorang penyerang tidak perlu menyelinap di sebelah Anda untuk melakukan penipuan, apalagi ketika *social engineering* bekerja dengan baik.
Juga: Cara menghapus informasi pribadi Anda dari Penelusuran Google – ini cepat dan mudah
“Penipuan yang berhasil sering kali mengandalkan *social engineering* daripada pencurian nirkabel yang sebenarnya,” ujar Barney. “Metode paling efektif yang digunakan pelaku kriminal adalah dengan menyamar sebagai vendor sah, seperti di stan *pop-up* atau kios jalanan, dan membujuk seseorang untuk mengetuk kartunya pada pembaca yang curang. Dalam skenario tersebut, korban mengotorisasi tagihan karena penyerang telah menciptakan lingkungan fisik yang meyakinkan.”
Dalam peringatan penipuan terkini, Better Business Bureau (BBB) mengungkap beberapa trik yang digunakan penipu untuk menjalankan skema *ghost tapping*, cara mewaspadainya, dan cara melindungi diri Anda.
Berikut adalah beberapa tanda kemungkinan penipuan:
* **Mendekati Anda di tempat umum yang ramai.** Penipu bisa saja menabrak Anda sembari diam-diam mengisi daya ponsel atau kartu kredit *tap-to-pay* Anda.
* **Vendor yang tidak bermoral atau palsu yang menjual sesuatu kepada Anda.** *Tap-to-pay* adalah metode pembayaran populer di pasar loak, festival, konvensi, dan pertemuan lainnya. Namun, dengan begitu banyak aktivitas, seorang penipu bisa menyusup untuk mendirikan meja atau stan dan menagih Anda jumlah yang selangit untuk sebuah barang yang mungkin asli atau tidak.
* **Penipuan amal.** Seseorang yang mengklaim menerima donasi untuk amal dapat menagih kartu atau dompet digital Anda dengan jumlah yang jauh lebih tinggi dari yang Anda harapkan.
* **Mempersingkat proses.** Penipu mengandalkan Anda yang sedang terburu-buru atau teralihkan. Dalam hal ini, Anda mungkin menyetujui transaksi tanpa memverifikasi nama usaha atau jumlah yang ditagih.
Bagaimana Anda bisa tahu jika Anda akan menjadi korban penipuan atau sudah menjadi korbannya? Berikut adalah tiga petunjuknya.
* **Peringatan bank yang menunjukkan tagihan kecil.** Penipu terkadang menguji dengan menagih Anda jumlah kecil untuk melihat apakah berhasil. Jika iya, mereka dapat memperluasnya ke jumlah yang lebih besar.
* **Tidak ada konfirmasi jumlah yang ditagih.** Waspadalah jika seorang *retailer* menagih Anda melalui *tap-to-pay* tetapi tidak ingin menunjukkan totalnya atau menawarkan tanda terima.
* **Tagihan yang mencurigakan.** Waspadai tagihan mencurigakan setelah berada di area ramai seperti pasar loak, festival, atau stasiun transit.
5 Cara untuk Melindungi Diri Anda
Pada akhirnya, bagaimana Anda dapat melindungi diri dari *ghost tapping*? Berikut adalah beberapa saran dari BBB.
1. **Gunakan pelindung RFID.** Saat tidak menggunakan ponsel, simpanlah di dompet atau *sleeve* yang memblokir RFID untuk mencegah sinyal NFC mencapainya.
2. **Konfirmasi detail pembayaran.** Sebelum mengetuk ponsel atau kartu, periksa nama penjual dan jumlah yang ditampilkan di layar pembaca.
3. **Aktifkan pemberitahuan transaksi.** Daftarkan diri Anda di bank untuk menerima pemberitahuan *real-time* untuk setiap tagihan yang Anda terima.
4. **Periksa rekening bank dan kredit Anda dengan cermat.** Tinjau tagihan kartu kredit dan bank Anda untuk mencari tanda-tanda penipuan.
5. **Batasi penggunaan *tap-to-pay*.** Jika Anda waspada menggunakan *tap-to-pay* dalam skenario yang tidak biasa atau berisiko tinggi, pertimbangkan untuk menggesek atau memasukkan kartu kredit Anda sebagai gantinya.