Paling inovatif dan kompetitif di dunia, sektor layanan jasa keuangan (financial services) di Asia Pasifik dan Jepang (APJ) masih menjadi industri yang paling sering diserang di dunia, menurut laporan terbaru Akamai Technologies, Inc. (Akamai).
Laporan Akamai State of the Internet terbaru yang berjudul The High Stakes of Innovation: Attack Trends in Financial Services mengungkapkan bahwa serangan terhadap aplikasi web dan API di sektor ini meningkat 36% pada periode Q2 2022 hingga Q2 2023, atau mencapai total 3,7 miliar serangan.
Adapun vektor serangan teratas masih dipegang oleh Local File Inclusion (LFI). Dan sebanyak 92,3 persen serangan terhadap sektor jasa keuangan ini dilancarkan ke perbankan sehingga tren ini tidak hanya menjadi ancaman besar bagi bank tapi juga para nasabah.
Akamai juga menyoroti penggunaan skrip oleh sektor financial services untuk mengembangkan lebih banyak saluran dan memberikan pengalaman yang lebih baik kepada konsumen. Persoalannya adalah sekitar 40 persen skrip yang mereka gunakan berasal dari pihak ketiga.
Hal ini, menurut Akamai, membuat perusahaan-perusahaan di sektor ini, khususnya bank dan lembaga keuangan yang fokus pada konsumen, memiliki risiko tinggi untuk mengalami serangan di saat mereka memperluas digital footprint-nya.
Reuben Koh, Security Technology and Strategy Director (APJ), Akamai, menyampaikan bahwa penggunaan skrip dari pihak ketiga akan membatasi visibilitas bank terhadap autentisitas dan potensi kerentanan pada skrip tersebut sehingga menimbulkan lapisan risiko lain pada bisnis.
“Akibat terbatasnya visibilitas tentang risiko yang dikandung skrip pihak ketiga, pelaku serangan kini memiliki vektor baru yang dapat digunakan untuk melancarkan serangan terhadap bank dan juga konsumen mereka,” tukasnya.
Laporan Akamai juga menemukan bahwa lalu lintas bot berbahaya di APJ meningkat 128 persen dari 2022, yang menegaskan serangan tiada henti terhadap konsumen layanan jasa keuangan dan data mereka. Pelaku kejahatan siber menggunakan bot untuk meningkatkan skala, efisiensi, dan efektivitas serangan.
Kawasan APJ berada di posisi kedua di dunia sebagai kawasan yang paling sering menjadi target permintaan bot berbahaya terhadap layanan jasa keuangan, yakni 39,7% dari total permintaan bot berbahaya di seluruh dunia. Use cases dari penggunaan bot jahat ini meliputi website scraping dengan meniru situs web resmi milik layanan jasa keuangan untuk melakukan penipuan phishing dan pengisian kredensial palsu melalui injeksi otomatis nama pengguna dan kata sandi curian guna mengambil alih akun.
Menurut Akamai, tren itu menunjukkan bahwa pelaku serangan selalu mengembangkan teknik yang mereka gunakan dan mulai memfokuskan serangan terhadap konsumen layanan jasa keuangan untuk mendapatkan keuntungan sebesar-besarnya.
Temuan-temuan penting lainnya dalam laporan ini mencakup:
Aplikasi web dan API tetap menjadi vektor serangan pilihan para penjahat siber di APJ. Serangan dengan metode ini terhadap sektor keuangan mencapai 50 persen, diikuti oleh sektor perdagangan (19,99 persen), dan media sosial (8,3 persen).
Australia, Singapura, dan Jepang adalah tiga negara yang paling sering diserang di APJ. Tiga perempat dari total seluruh serangan aplikasi web dan API menyasar ketiga negara tersebut. Sebagai pusat keuangan global, tidak mengherankan apabila perusahaan di negara-negara tersebut terus menjadi target serangan besar-besaran.
Local File Inclusion (LFI) tetap menjadi vektor serangan teratas dengan 63,2 persen serangan, diikuti Cross-Site Scripting (XSS) dengan 21,3 persen, dan PHP Injection (PHPi) ada di posisi ketiga dengan 6,32 persen serangan.
Serangan LFI mengeksploitasi praktik coding yang tidak aman atau kerentanan pada server web untuk menjalankan kode dari jarak jauh atau mengakses informasi sensitif yang disimpan secara lokal. Server web berbasis PHP yang sudah lama misalnya, lebih rentan terhadap serangan LFI karena adanya metode yang dapat melewati filter input server tersebut.
Akamai menyarankan agar perusahaan jasa keuangan di APJ harus terus memerhatikan aturan-aturan tambahan dan kewajiban pelaporan baru. Sebagai contoh, meningkatnya penggunaan skrip pihak ketiga bisa menyulitkan lembaga keuangan untuk memenuhi persyaratan Payment Card Industry Data Security Standard (PCI DSS) v4.0, di mana akan ada bagian-bagian spesifik yang terkait dengan visibilitas dan manajemen skrip dari sisi klien.
"Perusahaan layanan jasa keuangan di APJ harus ingat bahwa kejahatan siber akan selalu berupaya menemukan cara baru dan yang lebih canggih untuk meluncurkan serangan siber seiring dengan meningkatnya inovasi di sektor ini," Reuben Koh mengingatkan.
Ia menambahkan, dengan meningkatnya popularitas agregator keuangan, khususnya perusahaan yang ingin mengadopsi praktik perbankan terbuka, ke depannya industri ini akan makin bergantung pada penggunaan API dan skrip pihak ketiga. Sementara di sisi lain, tren ini hanya akan memperluas permukaan serangan.
Ia juga menyarankan lembaga keuangan fokus dalam mengamankan penawaran digital baru, memberikan edukasi kepada konsumen mengenai praktik keamanan siber terbaik secara terus-menerus, dan berinvestasi dalam upaya keamanan tanpa gangguan bagi pengguna.
"Ketika regulator memperkuat kebijakan guna meningkatkan standar keamanan siber, penting juga bagi perusahaan layanan jasa keuangan untuk memahami dan mempertimbangkan persyaratan kepatuhan baru serta memperkuat postur keamanan dan ketahanan siber mereka terhadap ancaman siber modern,” pungkasnya.
Baca juga: Investasi Keamanan Siber Perlu Jadi Prioritas Pemerintah di IKN
Baca juga: Tips Menjaga Keamanan Anak-anak Saat Bermain Chatbot AI ChatGPT