3,7 Miliar Serangan Siber Targetkan Layanan Jasa Keuangan di Asia Pasifik dan Jepang

Laporan Akamai juga menemukan bahwa lalu lintas bot berbahaya di APJ meningkat 128 persen dari 2022, menegaskan bahwa serangan tiada henti terhadap konsumen layanan jasa keuangan dan data mereka.

Pelaku kejahatan siber menggunakan bot untuk meningkatkan skala, efisiensi, dan efektivitas serangan. APJ ada di posisi kedua di dunia sebagai kawasan yang paling sering menjadi target permintaan bot berbahaya terhadap layanan jasa keuangan, yakni 39,7 persen dari total permintaan bot berbahaya di seluruh dunia.

Kasus yang terjadi meliputi website scraping dengan meniru situs web merek layanan jasa keuangan untuk melakukan penipuan phishing dan pengisian kredensial palsu melalui injeksi otomatis nama pengguna dan kata sandi curian guna mengambil alih akun.

Hal ini menunjukkan bahwa pelaku serangan selalu mengembangkan teknik yang mereka gunakan dan mulai memfokuskan serangan terhadap konsumen layanan jasa keuangan untuk mendapatkan keuntungan sebesar-besarnya.

Temuan-temuan penting lain dalam laporan 'The High Stakes of Innovation: Attack Trends in Financial Services' mencakup:

1. Aplikasi Web dan API tetap menjadi vektor serangan utama di APJ. Serangan terhadap sektor keuangan yang menggunakan metode tersebut berjumlah 50 persen, diikuti oleh perdagangan (19,99 persen), dan media sosial (8,3 persen).

2. Australia, Singapura, dan Jepang dinobatkan sebagai tiga negara yang paling sering diserang di APJ. Tiga perempat dari total seluruh serangan aplikasi web dan API menyasar ketiga negara tersebut.

Sebagai pusat keuangan global, tidak mengherankan apabila perusahaan di negara-negara tersebut terus menjadi target serangan besar-besaran.

3. Local File Inclusion (LFI) tetap menjadi vektor serangan teratas dengan 63,2 persen serangan – posisi kedua ditempati Cross-Site Scripting (XSS) dengan 21,3 persen, sementara PHP Injection (PHPi) ada di posisi ketiga dengan 6,32 persen serangan.

Serangan LFI mengeksploitasi praktik pengodean yang tidak aman atau kerentanan yang sebenarnya pada server web untuk menjalankan kode dari jarak jauh atau mengakses informasi sensitif yang disimpan secara lokal.

Server web berbasis PHP yang sudah lama misalnya, lebih rentan terhadap serangan LFI karena keberadaan metode yang dapat melewati filter input server tersebut.

4. Perusahaan di sektor layanan jasa keuangan di APJ harus terus memperhatikan pengawasan terhadap peraturan tambahan dan kewajiban pelaporan baru.

Sebagai contoh, meningkatnya penggunaan skrip pihak ketiga bisa menyulitkan lembaga keuangan untuk memenuhi persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) v4.0 mendatang, di mana akan ada bagian-bagian spesifik yang terkait dengan visibilitas dan manajemen skrip dari sisi klien.

Peraturan baru mungkin akan semakin ketat, dan perusahaan harus memastikan untuk mempertimbangkan kepatuhan terhadap persyaratan baru ini jika tidak ingin reputasi mereka rusak atau terkena denda.