Cyberthreat.id - Metode pembayaran menggunakan kartu VISA nirsentuh (contactless/paywave) sejak beberapa waktu lalu telah diperkenalkan di Indonesia. Salah satunya adalah lewat kartu Jenius yang dikeluarkan oleh Bank BTPN. Dengan kartu ini, pemilik tak perlu menggesek kartunya ke mesin EDC pembaca kartu, melainkan cukup mendekatkan saja. Di situsnya, VISA menyebut metode pembayaran ini "cepat, mudah, dan aman."

Namun, baru-baru ini sekelompok akademisi dan peneliti keamanan siber dari Universitas Teknik Konfederasi (ETH/Eidgenössische Technische Hochschule) Zurich di Jerman menemukan adanya kerentanan keamanan pada protokol pembayaran kartu nirsentuh VISA ini. Celah ini dapat mem-bypass kode PIN pada kartu tersebut.

Bypass merupakan salah satu teknik untuk melewati sistem penghalang. Dalam kasus ini, serangan bypass PIN memungkinkan aktor jahat memanfaatkan kartu pembayaran korban yang dicuri atau hilang untuk melakukan transaksi tanpa harus mengetahui kode PIN pemiliknya. Bahkan aktor jahat bisa melakukan transaksi yang jumlahnya di atas batas maksimal yang ditetapkan bank.

Celah keamanan tersebut berpengaruh terhadap kartu Visa yang ditanam dalam perangkatnya termasuk kartu Kredit Visa, Debit Visa, Visa Electron, V Pay dan kemungkinan besar juga berpengaruh terhadap protokol pembayaran yang dikembangkan Discover dan UnionPay, demikian dilaporkan The Hacker News, Senin (7 September 2020).

Promosi pembayaran dengan kartu nirsentuh di situs Visa.co.id

Secara teknis, masalah ini berasal dari metode verifikasi pemegang kartu (CVM/Cardholder Verification Method) yang tidak aman. CVM digunakan untuk memverifikasi apakah seseorang yang mencoba bertransaksi dengan kartu kredit atau debit adalah pemegang kartu yang sah. Namun, penelitian tersebut menunjukkan metode CVM tidak dilindungi secara kriptografis.

Akibatnya, Card Transaction Qualifier (CTQ) yang digunakan untuk menentukan pemeriksaan CVM dapat dimodifikasi oleh aktor jahat untuk mengesampingkan penggunaan verifikasi PIN. Verifikasi pun dipindahkan menjadi menggunakan perangkat pemegang kartu - biasa disebut dengan metode verifikasi pemegang kartu perangkat konsumen atau CDCVM.

Dengan begitu, aktor jahat dapat menggunakan kartu berlogo Visa yang sebelumnhya telah dimasukkan ke dalam perangkat  untuk bertransaksi di merchant-merchant yang melayani pembayaran menggunakan kartu VISA nirsentuh tersebut.

Meski begitu, kerentanan ini tidak berpengaruh terhadap protokol pembayaran internasional Mastercard, American Express dan JCB.

"Serangan kami menunjukkan bahwa PIN tidak berguna untuk transaksi menggunakan kartu VISA nirsentuh. Ini mengungkapkan perbedaan mengejutkan antara keamanan protokol pembayaran nirsentuh Mastercard dengan Visa, yang menunjukkan bahwa Mastercard lebih aman daripada Visa.

"Cacat ini melanggar properti keamanan fundamental seperti otentikasi dan jaminan lain tentang transaksi yang diterima," kata para peneliti.

Para peneliti telah menginformasikan kerentanan tersebut kepada Visa sekaligus mengusulkan tiga perbaikan perangkat lunak pada protokol keamanannya guna mencegah aktor jahat mem-bypass verifikasi PIN.

Temuan ini juga akan didemonstrasikan pada Simposium IEEE ke-42 tentang Keamanan dan Privasi yang akan dihelat di San Fransisco, Mei 2021.

Di Indonesia, salah satu bank yang rajin mempromosikan kartu VISA nirsentuh ini adalah Bank BTPN lewat kartu Jenius.

Kartu nirsentuh ini ditandai dengan simbol menyerupai tanda Wi-Fi di kartu. Dengan menggunakan metode ini, pemegang kartu hanya perlu menempelkan kartu ke mesin. Tidak perlu menyerahkan kartunya kepada petugas kasir untuk digesek ke mesin EDC seperti pada kartu pembayaran biasa.

BTPN sendiri dalam promosi kartu Jenius yang menggunakan protokol nirsentuh dari Visa ini, menyebutkan bahwa untuk transaksi di bawah Rp1 juta memang tidak memerlukan PIN. Namun, untuk transaksi di atas itu, tetap harus memasukkan PIN.

Sejauh ini, belum diketahui apakah celah keamanan yang ditemukan oleh peneliti itu telah dibereskan oleh VISA atau belum.[]

Editor: Yuswardi A. Suud