Cyberthreat.id - Hacker yang menargetkan industri ritel semakin banyak terutama jika melihat frekuensi serangan dalam beberapa tahun terakhir yang sudah sangat tinggi. Dalam sebuah studi baru-baru ini, terungkap bahwa pengecer di Amerika Serikat kehilangan lebih dari 30 miliar USD (Rp 412 Triliun) akibat serangan keamanan siber.

Berikut teknik hacker dalam menargetkan sektor ritel:

1. Isian kredensial (credential stuffing)

Peretas mendapatkan kredensial melalui dark web atau sumber lain yang diperoleh dari pelanggaran data besar-besaran. Mereka menggunakan nama pengguna dan password curian lalu menggunakannya untuk meretas ke toko retail/pengecer untuk membeli produk.

Chipotle, sebuah jaringan restoran Meksiko di AS,  menghadapi masalah ini di tahun 2019 di mana kartu kredit pelanggan menghabiskan ratusan hingga ribuan dolar dalam pembelian makanan.

2. Near field communication (NFC)

Ponsel, alat pemindai harga/pembaca barcode, dan pembaca kartu adalah sasaran empuk bagi pelanggaran berbasis NFC. Bahkan malware dapat berpindah dari ponsel yang terinfeksi ke sistem ritel setelah memindai kode QR.

Hacker menggunakan berbagai metode untuk memanipulasi transfer data dari jarak jauh, seperti menggunakan perangkat ketiga untuk mencegat koneksi antara dua perangkat elektronik lainnya. Termasuk menguping pada perangkat membuka peluang bagi musuh untuk mendapatkan kartu kredit dan informasi pembayaran lainnya.

3. RAM Scraping (pengikisan RAM)

Hacker menggunakan teknik ini untuk memasukkan perangkat lunak point-of-sale (PoS). Setiap transaksi kartu meninggalkan data di terminal pembayaran ritel. Aktor jahat mengambil gambar mereka dengan menanamkan malware PoS yang membaca input ini sebelum menghilang.

Perlu dicatat bahwa string teks yang berisi informasi kartu kredit dapat tetap berada dalam database pengecer selama beberapa detik, menit, atau jam.

4. Pembaca strip magnetik (magnetic stripe reader)

Penjahat tidak selalu harus membobol sistem target potensial mereka untuk mendapatkan kredensial. Strip magnetik pada kartu kredit dan debit juga bisa melakukan pekerjaan untuk mereka.

Penyerang dapat dengan mudah mengumpulkan data dari satu gesekan kartu termasuk nomor kartu dan PIN. Informasi ini selanjutnya digunakan atau dijual dalam jumlah besar untuk mendapat untung. Karena itu, banyak penerbit kartu mengganti strip magnetik mereka dengan chip.

Chip membuat kode unik yang hanya digunakan untuk satu pembelian.

5. Rekayasa sosial (social engineering)

Cara terbaik bagi hacker adalah rekayasa sosial. Sebelum internet marak, rekayasa sosial ibarat orang yang tidak dikenal berpakaian seperti staf dan memasuki tempat untuk mengakses informasi pribadi.

Hari ini, banyak website berbahaya dan palsu dengan produk palsu yang terlihat terlalu bagus untuk menjadi kenyataan. Ketika target memasukkan informasi pribadi mereka, akhirnya mereka akan kehilangan kendali atas data mereka.

Strategi watering hole attack adalah teknik serupa untuk menargetkan grup yang dipilih dengan menginfeksi website yang sering mereka kunjungi.

Kesimpulan

Meskipun tidak ada sistem yang sepenuhnya aman, Anda selalu dapat membangun fondasi yang kuat dengan terlebih dahulu mengenkripsi titik penjualan, sistem kartu, dan prosesor.

Organisasi/perusahaan juga dapat memanfaatkan intelijen ancaman untuk mengetahui tentang ancaman yang akan terjadi di sektor mereka. Dan, penting sekali melatih karyawan untuk meningkatkan kesadaran akan keamanan siber di organisasi keseluruhan.