Penipuan Pengambilalihan Akun: Apa Itu dan Bagaimana Anda Dapat Mencegahnya?

Pertimbangkan layanan online yang Anda andalkan setiap hari, seperti perbankan dan belanja online. 

Sekarang bayangkan bagaimana perasaan Anda jika Anda tiba-tiba terkunci dari akun-akun tersebut. Saat kepanikan melanda, Anda segera menyadari bahwa seorang penipu telah mendapatkan akses - dan kemungkinan besar telah melakukan transaksi yang tidak sah. Anda buru-buru menelepon saluran bantuan pelanggan, tempat Anda bekerja untuk mengambil kembali kendali atas akun Anda. 

Ini adalah penipuan pengambilalihan akun (juga dikenal sebagai pembajakan akun) - ketika penipu atau penjahat menyamar sebagai nasabah asli untuk mendapatkan kendali atas suatu rekening dan kemudian melakukan melakukan transaksi yang tidak sah. Penipuan pengambilalihan rekening dapat berdampak sangat pribadi, seperti memicu implikasi keuangan langsung, mencegah akses ke manfaat atau layanan, dan menyebabkan skor kredit yang buruk hingga masalah ini diselesaikan.

• Sekitar 22% orang dewasa di Amerika Serikat menjadi korban skenario penipuan pengambilalihan akun, dengan perkiraan kerugian finansial rata-rata hampir $12.000.
• Penipuan pengambilalihan akun terus meningkat: kasus yang dilaporkan meningkat sebesar 90%, dengan perkiraan kerugian sebesar $11,4 miliar pada tahun 2021, dibandingkan dengan tahun 2020.

Untungnya, ada solusinya. Autentikasi wajah biometrik membantu organisasi untuk mencegah penipuan pengambilalihan akun. Seorang penjahat dapat mencuri informasi keamanan berbasis pengetahuan, seperti kata sandi atau nama gadis ibu. Mereka dapat menipu orang untuk mengungkapkan PIN dan informasi pemulihan akun dengan rekayasa sosial. Setelah mereka mendapatkan data tersebut, mereka dapat mengubah nomor kontak dan alamat email yang terkait dengan akun tersebut, sehingga kode sandi sekali pakai (OTP) dan tautan pengaturan ulang kata sandi dialihkan.

Keaktifan yang Dinamis® membantu melindungi dari penipuan pengambilalihan akun dengan memastikan bahwa hanya pemilik akun asli yang dapat memperoleh akses. Teknologi iProov memberdayakan organisasi untuk melindungi akun online pengguna dan memastikan bahwa akun tidak berada di bawah kendali orang lain. Dengan iProov, organisasi dapat memverifikasi bahwa setiap pengguna online adalah orang yang tepat, orang yang nyata, dan bahwa mereka sedang melakukan otentikasi saat ini.

Apa yang dimaksud dengan penipuan pengambilalihan akun?

Penipuan pengambilalihan akun adalah ketika penipu mendapatkan akses ke akun pengguna asli untuk mendapatkan keuntungan finansial atau mencuci uang melalui pencurian identitas. Penipuan ini bekerja melalui serangkaian langkah kecil:

Penipu mendapatkan akses ke akun korban. Penipu dapat menggunakan sejumlah taktik untuk mencapai hal ini; menggunakan malware, rekayasa sosial, phishing, data dari pelanggaran dataatau hanya menggunakan informasi yang mereka ketahui tentang teman sekamar atau anggota keluarga.

Setelah penipu memiliki akses ke akun, mereka dapat mengubah detail kontak untuk mengalihkan informasi ke email dan nomor telepon lain.

Terakhir, karena mereka sekarang dapat mengonfirmasi metode otentikasi seperti SMS OTP atau pengaturan ulang email, penyerang dapat membuat perubahan lebih lanjut untuk menipu akun. Hal ini dapat mencakup meminta kartu pembayaran baru, mengubah kata sandi, atau menambahkan pemegang polis asuransi atau penerima manfaat lain. 

Penipuan pengambilalihan akun adalah masalah besar; ini adalah salah satu konsekuensi paling umum dari pencurian identitas. Hal ini juga dapat diukur, karena konsumen cenderung menggunakan ulang kata sandi; penelitian iProov menemukan bahwa 59% responden mengaku menggunakan kata sandi yang sama di beberapa situs.

Masalahnya diperparah dengan serangan 'credential stuffing', di mana kumpulan kredensial login dari pelanggaran data dimasukkan ke dalam bot yang kemudian mencoba mengakses akun lain untuk mengotomatiskan proses pengambilalihan akun. Industri perbankan konsumen di Amerika Serikat sendiri menghadapi hampir 50 juta dolar per hari dalam potensi kerugian karena pengisian kredensial.

Semua industri dapat menjadi target penipuan pengambilalihan akun. Penyedia layanan keuangan adalah target yang umum, seperti bank dan asuransi. Namun, industri lain seperti layanan kesehatan dan pendidikan tinggi juga menjadi sasaran - akun-akun ini sering kali kaya akan data sensitif seperti catatan keuangan atau medis, yang kemudian dapat digunakan dalam penipuan lebih lanjut (seperti penipuan akun baru), atau dijual secara online.

Penipuan pengambilalihan akun vs penipuan akun baru: apa bedanya?

• Penipuan pengambilalihan akun: pelaku kejahatan menargetkan akun yang sudah ada untuk mengambil nilai finansial atau informasi sensitif dari akun tersebut dengan cara merusak keamanan autentikasi yang lemah. Dalam hal ini solusinya lebih kuat pengguna otentikasi yang lebih kuat.
• Penipuan akun baruPelaku kejahatan membuat akun baru menggunakan identitas palsu, curian, atau sintetis untuk mengakses barang atau jasa untuk melakukan kejahatan, mencuri, dan mencuci uangatau mendapatkan akses ke layanan yang tidak dapat mereka akses dengan menggunakan identitas mereka sendiri. Solusi untuk penipuan akun baru harus fokus pada pengguna yang lebih kuat verifikasi pengguna yang lebih kuat.

Apa arti penipuan pengambilalihan akun bagi konsumen dan organisasi?

Organisasi menghadapi serangkaian tantangan dalam mendeteksi penipuan pengambilalihan akun:

• Bagaimana organisasi mengetahui transaksi mana yang berasal dari pengguna yang sah, dan mana yang merupakan penipuan? Penipu dapat mengubah alamat atau nomor telepon di akun, tetapi begitu juga dengan pemilik yang sah. Dan jika meningkatkan otentikasi seperti SMS OTP atau kode email, maka kemungkinan besar tidak ada tanda bahaya yang akan muncul pada sistem untuk mendorong penyelidikan.
• Kerugian finansial yang signifikan dapat dengan cepat bertambah. Misalnya, jika sebuah bisnis telah membayar klaim asuransi yang salah, maka akan sulit untuk mendapatkan kembali uang tersebut. Kerusakan apa pun pada dana pelanggan harus dibayar kembali.
• Para korban mungkin kehilangan kepercayaan pada bisnis yang mampu melindungi akun mereka secara memadai, sementara kompromi tingkat tinggi dapat memiliki dampak reputasi jangka panjang yang sulit untuk dipulihkan.
• Dalam industri yang lebih teregulasi, seperti keuangan, hal ini juga dapat mengakibatkan lebih banyak hukuman finansial dan teguran lainnya. 

Penipuan pengambilalihan akun bisa sangat merugikan korban:

• Karena penipu sering mengubah detail kontak, pemilik akun asli bisa jadi tidak menyadari dan sama sekali tidak berdaya untuk menghentikan penipuan ini untuk waktu yang lama.
• Pengguna dapat menemukan diri mereka terkunci secara tak terduga dari layanan penting ketika mereka sangat membutuhkannya - seperti membuat klaim asuransi atau klaim bantuan pemerintah - yang menyebabkan stres emosional dan kesulitan keuangan yang besar.
• Setelah akun diambil alih, penyerang juga dapat menggunakan akun tersebut untuk mengambil alih kendali atas lebih banyak layanan dan aplikasi dan dengan cepat dapat meningkat menjadi pencurian identitas secara penuh.
• Kerugian finansial yang besar dapat terjadi di beberapa akun dengan sangat cepat. 

Bagaimana organisasi sudah melindungi dari penipuan pengambilalihan akun?

Untuk mencegah penipuan, banyak perusahaan telah menerapkan dua atau otentikasi dua atau lebih faktor (2FA atau MFA)Hal ini diwajibkan untuk lembaga keuangan di Eropa di bawah Otentikasi pelanggan yang kuat (SCA) PSD2 peraturan. Ini berarti otentikasi harus memenuhi dua atau lebih hal berikut ini:

• Sesuatu yang dimiliki oleh pengguna (inherensi) - misalnya biometrik
• Sesuatu yang diketahui pengguna (pengetahuan) - misalnya kata sandi
• Sesuatu yang dimiliki pengguna (kepemilikan) - misalnya perangkat, nomor ponsel, untuk menerima OTP

Namun, metode berbasis pengetahuan tradisional seperti kata sandi semakin dianggap tidak aman. Kata sandi ini bersifat phishing - artinya kata sandi ini merupakan 'rahasia yang dapat dibagikan' yang dapat diperoleh penyerang dari pembobolan data atau serangan rekayasa sosial. Semakin mudah bagi penyerang untuk mendapatkan informasi ini dan, dengan banyaknya akun, konsumen semakin banyak menggunakan kata sandi yang mudah diingat di beberapa akun.

Kata sandi sudah tidak lagi sesuai dengan tujuannya. Demikian pula, memasangkannya dengan metode 2FA lain seperti SMS OTP (autentikasi berbasis kepemilikan) tidak memadai, karena nomor telepon dapat dengan mudah ditukar pada akun dan pesan dapat dibajak. Amerika Serikat sudah mengeluarkan panduan, seperti Perintah Eksekutif 14028yang merekomendasikan penghentian metode otentikasi yang gagal melawan phishing, seperti SMS OTP.

Bagaimana autentikasi biometrik mencegah penipuan pengambilalihan akun?

Kredensial biometrik tidak dapat 'dibagikan' dengan cara yang sama seperti pengautentikasi lainnya. Wajah asli Anda tidak dapat hilang atau dicuri, atau digunakan dalam skala besar dalam serangan pengisian kredensial. Kredensial biometrik bersifat unik untuk seseorang, sehingga membuatnya jauh lebih aman sebagai faktor autentikasi.  

Biometrik wajah merupakan opsi berbasis inherensi yang menarik, karena organisasi dapat memeriksa ulang pengguna dengan ID yang dikeluarkan pemerintah (yang sebagian besar menyertakan foto) untuk memvalidasi pengguna saat proses penerimaan dan pendaftaran.

Pengguna dapat menggunakan wajah mereka untuk otentikasi yang berkelanjutan. Dengan solusi biometrik yang tepat, ini berarti tidak ada orang lain yang bisa mengakses akun tersebut atau melakukan aktivitas/transaksi apa pun selain pemilik asli. Solusi biometrik pasif seperti Dynamic Liveness dari iProov juga akan menawarkan pengalaman pengguna yang jauh lebih baik. Daripada harus mengingat dan memasukkan kata sandi yang rumit, pengguna cukup melihat kembali ke perangkat, membuat proses keamanan menjadi lebih mudah. 

Tapi ingat, tidak semua solusi biometrik wajah diciptakan sama...

Bagaimana cara liveness mencegah penipuan pengambilalihan akun?

Deteksi kehidupan menggunakan teknologi biometrik untuk memverifikasi bahwa pengguna online adalah orang yang benar-benar hidup. Tanpa deteksi kehidupan, penjahat dapat menggunakan foto atau video korban dan menunjukkannya ke kamera, memalsukan proses otentikasi.

Untuk mencegah penipuan pengambilalihan akun dengan keamanan otentikasi yang sangat aman, Anda perlu memverifikasi ketiga aspek kehadiran asli: orang yang tepat, orang yang nyata, dan mengotentikasi secara real-time. Di situlah iProov Dynamic Liveness masuk.

Bagaimana Keaktifan Dinamis iProov (IPK) mencegah penipuan pengambilalihan akun?

iProov Keaktifan Dinamis (IPK) adalah alat yang sangat berharga dalam mencegah penipuan pengambilalihan akun, karena menawarkan kepada organisasi jaminan tingkat tertinggi bahwa seorang pengguna adalah asli. Solusi iProov telah dirancang secara khusus agar mudah digunakan sekaligus sangat aman dan memvalidasi tiga hal penting - bahwa pengguna adalah orang yang tepat, orang yang nyata, dan mereka melakukan otentikasi secara real time.

Aspek yang paling sulit untuk divalidasi adalah memverifikasi bahwa pengguna melakukan autentikasi sekarang. Ini dilakukan dengan menggunakan iProov Teknologi Flashmarkyang menerangi wajah pengguna jarak jauh dengan urutan warna unik yang tidak dapat diputar ulang atau dimanipulasi secara sintetis, sehingga mencegah pemalsuan.

Terlebih lagi, Dynamic Liveness adalah teknologi berbasis cloudyang berarti pertahanannya tersembunyi dari penyerang, sehingga jauh lebih sulit untuk direkayasa. IPK didukung oleh Pusat Operasi Keamanan iProov (iSOC)yang menggunakan teknologi pembelajaran mesin untuk memantau operasi sehari-hari dan mengidentifikasi serangan baru, yang berarti GPA menyediakan manajemen ancaman aktif. Dynamic Liveness dapat menawarkan nilai tambahan melalui 'upacara' yang meyakinkan, karena Flashmark meyakinkan pengguna bahwa keamanan tambahan sedang berlangsung. Ketika mengakses akun sensitif, upacara ini sangat menenangkan - terutama jika Anda pernah mengalami penipuan di masa lalu.

Contoh: penipu mendapatkan email dan kata sandi korban yang telah dibagikan di web gelap setelah terjadi pelanggaran data. Mereka memasukkan kredensial tersebut ke sejumlah akun online, seperti bank dan pengecer. Beberapa akun tidak memiliki autentikasi dua faktor, sehingga penipu bisa masuk dan menyebabkan kerusakan yang sangat besar. Tetapi dalam contoh ini, bank orang tersebut menggunakan autentikasi wajah iProov. Ketika penipu mencoba masuk ke akun yang diamankan oleh iProov, otentikasi gagal. Bahkan jika mereka memiliki citra wajah orang yang ditipu, teknologi Dynamic Liveness iProov akan mendeteksi bahwa orang yang asli tidak ada dan permintaan akses akan ditolak.

Penipuan pengambilalihan akun: ringkasan

• Penipuan pengambilalihan akun terjadi ketika penyerang mendapatkan akses ke akun melalui cara-cara terlarang, sebelum menggunakan akses tersebut untuk mengunci pengguna asli dan menipu mereka.
• 'Pengisian kredensial' adalah bentuk serangan populer yang dapat mengotomatiskan penipuan pengambilalihan akun. Biasanya menggunakan bot otomatis untuk memasukkan kredensial yang dicuri dalam skala besar dan mencoba mengakses beberapa layanan lain.
• Penipuan pengambilalihan akun sering terjadi karena kredensial phishing yang digunakan untuk melindungi akun, seperti kata sandi, dapat dicuri atau diminta melalui serangan rekayasa sosial.
• Autentikasi biometrik dapat memberikan tingkat keamanan yang lebih tinggi karena merupakan 'kredensial yang tidak dapat dibagikan', tidak seperti kata sandi dan OTP.
• Teknologi iProov dapat membantu organisasi untuk mencegah pengambilalihan akun dengan memverifikasi bahwa individu online yang mencoba mengakses akun tersebut adalah orang yang tepat, orang yang nyata, dan mereka sedang melakukan otentikasi saat ini.

Penipuan pengambilalihan akun menyebabkan tekanan emosional yang besar bagi para korbannya, serta kerugian finansial dan data. Organisasi menghadapi kerusakan reputasi dan pelanggan yang tidak senang, serta implikasi finansial. Dengan menambahkan autentikasi wajah - baik sebagai autentikator tunggal atau bagian dari penerapan autentikasi multi-faktor - organisasi dapat mencegah pembobolan akun.

Jika Anda ingin melihat bagaimana teknologi iProov dapat memberikan keamanan yang mudah untuk proses penerimaan dan otentikasi Anda - membantu memerangi penipuan pengambilalihan akun - pesan Demo iProov di sini.