Hari ini, pelbagai jenis cara pembayaran melalui kad sama ada debit atau kredit telah menjadi pilihan kebanyakan pengguna untuk melakukan urus niaga atas talian. Hal ini telah menyebabkan peningkatan kes penipuan yang berlaku saban hari. Keadaan ini mendatangkan persoalan kepada kita, apakah langkah-langkah keselamatan yang diambil bagi membolehkan transaksi tanpa tunai ini dapat dijalankan dengan cara yang lebih selamat?
Sekumpulan penyelidik dari Universiti of Newcastle telah menjalankan satu penyelidikan dan telah menerbitkannya di dalam Jurnal Keselamatan dan Privasi IEEE (IEEE Security & Privacy Journal). Kajian berkenaan menunjukkan bagaimana sebuah mekanisme serangan yang dinamakan sebagai Distributed Guessing Attack (Serangan Meneka Teragih?) mampu memintas kesemua tahap-tahap keselamatan yang digunakan bagi memastikan transaksi atas talian benar-benar selamat.
Apa yang mengejutkan adalah, penjenayah siber kini mampu mendapatkan data-data kad kredit/debit pengguna, termasuk nombor kad kredit/debit, kod keselamatan, tarikh luput dan lain-lain maklumat dalam masa sepantas 6 saat sahaja.
Bagaimana Distributed Guessing Attack dijalankan?
https://youtu.be/uwvjZGKwKvY
Serangan ini menggunakan maklum balas yang diterima (positif atau negatif) dari laman pembayaran pedagang atas talian untuk meneka data-data yang diperlukan. Ia sememangnya mengeksploitasi kelemahan-kelemahan yang ada pada sistem pembayaran atas talian hari ini.
Antaranya adalah sistem pembayaran atas talian hari ini tidak mampu mengesan permohonan tidak sah berbilang (multiple invalid request) pada kad yang sama dari laman-laman web yang berlainan. Oleh itu, tekaan tanpa had boleh dilakukan pada ribuan laman web yang ada dengan cara ‘mengagihkannya’.
Di dalam kajian berkenaan, serangan dilakukan dengan menggunakan skrip automatik yang ditulis di dalam Java melalui kerangka pelayar berautomasi Selenium. Kesemua eksperimen berkenaan dilakukan pada pelayar Mozilla Firefox.
Para penyelidik turut berusaha menghubungi pihak-pihak yang terlibat di dalam isu keselamatan ini termasuklah syarikat kad kredit, pedagang atas talian dan juga individu perseorangan. Ada yang mengambil tindakan segera dengan mengetatkan ciri-ciri keselamatan dan ada juga yang tidak ambil peduli.
Bagi menguatkan tahap keselamatan pembayaran atas talian, para penyelidik ini menyarankan agar syarikat-syarikat kad kredit memusatkan transaksi dan membuat penetapan yang sama untuk proses pengesahan bagi satu akaun kad kredit/debit pada mana-mana laman web supaya serangan ini dapat dipatahkan pada peringkat awal.
Pada ketika ini, hanya Mastercard sahaja yang menepati saranan yang diberikan oleh kumpulan penyelidik ini. Manakala Visa pula masih lagi belum mengimplementasikan sistem pembayaran berpusat yang mampu mengesan serangan dari penggodam terhadap akaun pengguna.
Sumber berita diperoleh dari ncl.ac.uk, Imej cover diperoleh dari 123rf
macam2 boleh godam sekarang, kena berhati-hati