Peretas Ambil Alih Kartu Kredit via iMessage

Peretas Ambil Alih Kartu Kredit via iMessage – Sebuah gelombang baru operasi penipuan digital (phising) secara senyap tengah mengubah cara para penjahat siber menjarah data finansial masyarakat.

Alih-alih mengandalkan pesan SMS tradisional yang kini semakin mudah dideteksi dan diblokir oleh sistem penyaringan operator seluler, para aktor ancaman telah mengalihkan infrastruktur serangan mereka.

Mereka kini memanfaatkan saluran pesan terenkripsi seperti Rich Communication Services (RCS) dan Apple iMessage untuk mengirimkan tautan beracun langsung ke ponsel korban.

Pergeseran ini menandai lompatan besar dalam tingkat kecanggihan serangan siber di tingkat global. Para kriminal digital tidak lagi sekadar memburu nama pengguna (username) dan kata sandi (password) korban.

Tujuan mereka telah berevolusi menjadi penguasaan penuh secara waktu-nyata (real-time) atas akun-akun finansial korban. Dengan kendali mutlak tersebut, peretas memiliki kemampuan untuk:

• Menguras isi rekening.
• Melakukan transaksi pembayaran nirkontak (contactless payments).

Hingga menarik uang tunai di ATM langsung melalui perangkat yang dipegang oleh peretas sendiri, tanpa pernah menyentuh kartu fisik milik korban.

Bangkitnya Ekosistem Phising-as-a-Service

Laporan intelijen ancaman siber terbaru mengungkapkan hasil analisis mendalam terhadap belasan platform phising-as-a-Service (PhaaS) aktif yang beroperasi di dalam jaringan bawah tanah berbahasa Mandarin.

Para peneliti menemukan bahwa platform-platform ini telah berkembang menjadi layanan komersial yang sangat matang dan terorganisasi dengan baik.

Fenomena ini secara signifikan menurunkan hambatan teknis bagi pelaku kriminal amatir untuk terjun ke dunia kejahatan siber sekaligus menunjukkan pergeseran taktik pencurian kredensial dalam skala massal.

Secara historis, wilayah kejahatan komersial PhaaS didominasi oleh aktor siber berbahasa Rusia. Namun kini, ekosistem berbahasa Mandarin telah muncul sebagai pesaing berat dengan pertumbuhan yang sangat pesat.

Layanan ini tidak sekadar meniru apa yang telah dibangun oleh kelompok peretas Rusia; mereka beroperasi dengan struktur organisasi, target sasaran, dan budaya internal mereka sendiri.

Bahkan, beberapa aktor ancaman di dalam ekosistem ini secara terbuka memamerkan tangkapan layar hasil keuntungan kriminal mereka di saluran-saluran publik Telegram.

Meskipun tindakan hukum dan pemblokiran teknologi terus digalakkan oleh raksasa teknologi untuk meruntuhkan penyedia PhaaS ini.

Temuan terbaru di pertengahan tahun 2026 membuktikan bahwa ekosistem bawah tanah tersebut terus tumbuh, beradaptasi, dan menyempurnakan metode serangan mereka guna menghindari deteksi.

Menyalahgunakan RCS dan iMessage

Kunci keberhasilan gelombang baru penipuan ini terletak pada media pengirimannya. Metode SMS phising tradisional atau phising kini berada di ujung tanduk.

Karena operator seluler di berbagai negara telah menerapkan filter berbasis kecerdasan buatan untuk memindai pesan teks dan memblokir tautan yang mencurigakan sebelum sampai ke ponsel pengguna.

Para operator PhaaS berbahasa Mandarin menyadari batasan tersebut dan dengan cepat memindahkan jalur distribusinya ke:

• Protokol RCS (pada perangkat Android)
• iMessage (pada perangkat Apple).

Pengalihan ini memberikan dua keuntungan besar bagi peretas:

1. Enkripsi Ujung-ke-Ujung (End-to-End Encryption).

Karena kedua protokol komunikasi ini mengamankan pesan secara penuh dari pengirim hingga penerima, alat keamanan di tingkat jaringan internet maupun operator seluler tidak dapat mengintip, memindai, atau memblokir konten berbahaya yang sedang dikirimkan.

2. Legitimasi Visual yang Tinggi.

Berbeda dengan SMS teks biasa yang terlihat kaku, pesan yang dikirimkan melalui RCS dan iMessage terlihat jauh lebih profesional dan meyakinkan.

Protokol ini mendukung indikator pengetikan, laporan pesan dibaca, gambar beresolusi tinggi, hingga kartu interaktif resmi.

Ketika pesan phising tiba melalui saluran ini, tampilannya terlihat sangat resmi sehingga pengguna awam jauh lebih mudah terkecoh untuk berinteraksi.

Rantai Intersepsi OTP Waktu Nyata

• Korban Menerima Pesan Resmi (RCS/iMessage) -> Klik Tautan
• Korban Masuk ke Situs Palsu -> Memasukkan Kredensial Bank
• Kredensial Muncul Instan di Panel Admin Live Milik Peretas
• Peretas Memicu Permintaan OTP Asli via Perangkat Mereka
• Korban Memasukkan Kode OTP ke Situs Palsu
• Peretas Menangkap OTP dalam Hitungan Detik -> Menembus 2FA

Begitu korban mengklik tautan dan memasukkan kredensial perbankan mereka pada situs web tiruan, data tersebut langsung muncul secara instan di panel administrasi live milik penyerang.

Pada detik yang sama, penyerang akan memicu permintaan kode OTP asli dari perangkat mereka sendiri.

Ketika korban mengetikkan kode OTP tersebut ke halaman situs palsu, peretas menangkapnya dalam hitungan detik, memungkinkan mereka menembus sistem otentikasi multifaktor (MFA) berbasis SMS secara mutlak.

Menguasai Dompet Digital Korban

Hal yang paling membedakan generasi baru operasi phising ini dengan taktik kuno adalah apa yang terjadi setelah kredensial dan OTP berhasil dicuri.

Platform PhaaS modern sangat berfokus pada proses penyediaan dompet digital (digital wallet provisioning).

Alih-alih memindahkan dana secara manual via transfer bank yang rawan diblokir, peretas menggunakan data kartu debit.

Atau kredit yang dicuri untuk memuat kartu tersebut ke dalam dompet digital (seperti Apple Pay atau Google Wallet) yang terpasang di perangkat milik peretas sendiri.

Proses tokenisasi ini mengubah data digital menjadi alat pembayaran yang sah. Sekali kartu korban berhasil ditokenisasi ke dalam perangkat peretas, penjahat siber tersebut dapat:

• Melakukan transaksi pembelian barang mewah secara langsung melalui fitur tap-to-pay di toko fisik.
• Menguras dana lewat pembayaran nirkontak.
• Melakukan penarikan tunai di mesin ATM tanpa perlu memegang fisik kartu asli milik korban.

Salah satu contoh platform PhaaS masif yang disorot oleh para peneliti adalah YY Lai Yu. Aktif sejak Agustus 2024, platform komersial ini menyediakan lebih dari 400 templat phising siap pakai yang meniru berbagai lembaga keuangan global dan telah menargetkan pengguna di 119 negara.

Ancaman Keamanan Rantai Pasok Seluler

Sebagai bahan analisis komprehensif, para peneliti dari firma keamanan lain mencatat bahwa pergeseran ke saluran RCS dan iMessage juga membuka celah ancaman baru pada rantai pasok ekosistem seluler.

Di beberapa wilayah, peretas tidak lagi hanya mengirimkan pesan secara acak, melainkan menggunakan bot otomatis untuk memburu nomor ponsel yang telah terikat dengan layanan perbankan tertentu (mobile banking profile).

Komersialisasi PhaaS ini membuat serangan yang awalnya membutuhkan tim peretas terampil kini bisa dijalankan oleh siapa saja yang mampu membayar biaya langganan bulanan di forum bawah tanah.

Konsep kejahatan berbasis layanan (cybercrime-as-a-service) ini mempercepat penyebaran ancaman siber dan melipatgandakan jumlah korban dalam waktu singkat karena templat situs yang disediakan selalu diperbarui secara otomatis agar tetap lolos dari daftar hitam peramban web.

Langkah dan Strategi Mitigasi

Mengingat taktik manipulasi visual RCS/iMessage dan kemampuan intersep OTP yang sangat cepat dari ekosistem PhaaS ini.

Metode perlindungan konvensional harus segera diperbarui. Berikut adalah panduan mitigasi yang disarankan oleh para peneliti:

1. Migrasi ke Otentikasi FIDO2/WebAuthn:

Pengguna dan organisasi disarankan untuk meninggalkan sistem keamanan berbasis OTP SMS atau kode sekali pakai yang dikirim lewat pesan teks.

Adopsi metode otentikasi berbasis FIDO2 atau Passkeys (kunci fisik/biometrik) terbukti kebal terhadap serangan phising waktu-nyata karena token otentikasi terikat secara kriptografis pada domain web yang asli dan tidak dapat disalin ke situs palsu.

2. Perketat Validasi Dompet Digital oleh Perbankan.

Institusi perbankan wajib memperketat proses verifikasi risiko dan pemindaian sidik jari perangkat (device fingerprinting) saat nasabah mencoba mendaftarkan kartu mereka ke dalam aplikasi dompet digital baru.

Proses otorisasi ini harus melibatkan konfirmasi berlapis, bukan sekadar mengirimkan kode OTP teks standar.

3. Waspadai Pesan Masuk dari Nomor Tidak Dikenal.

Meskipun pesan RCS atau iMessage Anda menampilkan logo bank atau kurir pengiriman yang terlihat sangat rapi dan profesional, selalu periksa identitas asli pengirimnya.

Bank resmi tidak akan pernah meminta Anda memperbarui data sensitif atau melakukan verifikasi akun melalui tautan eksternal yang dikirim via pesan instan.

4. Gunakan Pengelola Kata Sandi (Password Manager).

Manfaatkan aplikasi pengelola kata sandi pihak ketiga yang memiliki fitur pengisian otomatis pintar.

Alat ini tidak akan mau mengisi data akun Anda modul proteksi seluler dan integrasi Anti-Phishing tingkat lanjut, ESET secara proaktif memantau aktivitas lalu lintas data peramban pada ponsel pintar Anda.

Jika Anda tidak sengaja mengeklik tautan beracun yang dikirim via pesan iMessage atau RCS terenkripsi, sistem pertahanan ESET akan langsung memotong koneksi.

Dan memblokir halaman situs web palsu tersebut sebelum kode phising sempat memuat formulir pencurian data.

Teknologi ESET juga mampu mendeteksi keberadaan skrip berbahaya di latar belakang yang mencoba mencuri token sesi digital Anda, memastikan keamanan aset finansial Anda tetap terjaga.

Kewaspadaan Digital

Realitas keamanan siber menegaskan bahwa peretas terus memanfaatkan teknologi privasi untuk menyembunyikan aktivitas berbahaya mereka dari pantauan sistem keamanan jaringan.

Keberhasilan platform PhaaS seperti YY Lai Yu memperlihatkan bahwa mengeksploitasi kelengahan mata manusia jauh lebih mudah daripada menjebol enkripsi bank.

Mengatasi itu, ada tiga pilar utama yang harus ditegakkan agar dompet digital tidak ke dalam kendali para sindikat kriminal internasional.

1. Kewaspadaan digital yang tinggi.
2. Penghentian penggunaan otentikasi berbasis SMS.
3. Serta pemasangan solusi keamanan proaktif yang andal

Sumber berita:

WeLiveSecurity