Satu perkara yang hangat diperkatakan hari ini apabila satu akhbar tempatan menyiarkan isu penyeluk saku digital yang mampu menggodam maklumat kad berasaskan PayWave dengan hanya menggunakan telefon pintar. Kad jenis ini telah diimplementasikan secara menyeluruh pada majoriti kad bank setelah digalakkan penukarannya bermula tahun lalu di Malaysia.
Saya mencuba aplikasi yang diperkatakan mampu “menggodam” maklumat kad PayWave atau kad yang mempunyai sokongan contactless ini.
Aplikasi ini sebenarnya bukanlah aplikasi yang direka untuk menggodam tetapi dilihat sebagai aplikasi analisis yang mampu membaca maklumat daripada kad tersebut. Ia hanya boleh dipasang pada telefon berasaskan Android dan satu fungsi wajib yang perlu ada adalah kebolehan Near Field Communication (NFC). Walaupun ia tidak direka untuk godaman, hasil maklumat yang diperolehi masih ada kemungkinan untuk menjayakan sesuatu transaksi.
Berikut adalah maklumat yang diperolehi melalui aplikasi tersebut selepas berjaya mengesan kad berasaskan PayWave:
1. Nombor kad debit/kredit anda
2. Tarikh luput kad
3. Transaksi terkini (sekitar dua minggu)
4. Log yang dipenuhi dengan kod unik
Umumnya, tiga maklumat yang diperlukan untuk membuat pembayaran online iaitu:
1. Nombor kad debit/kredit anda
2. Tarikh luput kad
3. Nombor CVV (nombor 3 digit di belakang kad)
Satu maklumat yang tidak diperolehi oleh aplikasi ini adalah nombor CVV iaitu nombor yang tertera di belakang kad. Walaupun aplikasi ini tidak memaparkan nombor CVV ini, dengan penggunaan 3 digit nombor, ia masih ada kemungkinan untuk diteka di bawah 999 kali.
Perlukah anda risau?
Pertama sekali, aplikasi ini menggunakan gelombang NFC pada telefon pintar sekaligus memerlukan jarak yang sangat dekat untuk membaca kad PayWave ini. Secara teknikal, gelombang ini mampu mengesan dalam jarak 4cm sahaja daripada terminal pembayaran atau telefon pintar. Tetapi apabila diuji, saya perlu meletakkan kad betul-betul berhampiran di belakang telefon, barulah ia berjaya membaca kad PayWave ini. Sekiranya saya meletakkan kad ini jauh dengan jarak melebihi 1cm, ia akan memberikan rajah di bawah.
Ini bercanggah dengan apa yang diperkatakan oleh akhbar tersebut yang mana penggodam mampu memperoleh data dalam lingkungan satu 1 meter. Ia terlalu jauh untuk penggunaan telefon pintar dengan bantuan NFC setakat ini. Teknologi NFC hanya akan berlaku proses pemindahan data apabila berada di bawah lingkungan 4cm.¹
Gambar dari @syafiquesazali / Twitter
Perkara ini diperkuatkan melalui info daripada Maybank mengenai pembayaran secara contactless.²
Selain itu, kebanyakan transaksi pembayaran online kini juga telah dipertingkatkan dengan sistem 3-D Secure — memerlukan anda memasukkan kod yang dihantar kepada telefon anda sebelum menjayakan sesuatu transaksi. Ini menyukarkan penggodam meneruskan transaksi atas ketiadaan akses kepada telefon pintar anda secara fizikal. Melainkan telefon pintar anda turut digodam, kemungkinan besar sesuatu transaksi itu akan turut berjaya.
Seperkara lagi, sekiranya maklumat kad anda dicuri, anda masih akan menerima mesej pada telefon anda untuk setiap transaksi yang berlaku menggunakan kad anda. Jadi, anda masih mempunyai peluang untuk menghubungi pihak bank bagi memaklumkan transaksi yang berada di luar pengawasan anda.
Saya masih skeptik dan apakah langkah-langkah untuk mengelakkan maklumat kad PayWave saya dicuri?
Terdapat beberapa solusi seperti membalut kad dengan aluminum dan sampul kad anti gelombang yang mungkin memerlukan anda mengeluarkan sedikit wang untuk melindungi kad anda. Sungguhpun begitu, masih terdapat beberapa cara lain yang anda boleh praktikkan untuk mengelakkan maklumat kad dicuri.
Apabila berada pada sesuatu lokasi, pastikan anda sentiasa meletakkan jarak anda apabila dihampiri oleh orang yang tidak dikenali. Ini mengelakkan penggodam mengambil kesempatan untuk menyeluk saku secara fizikal atau digital dengan teknik mengalih perhatian anda.
Anda juga disarankan untuk menyimpan kad anda pada bahagian yang tidak terjangka oleh penyeluk saku. Lokasinya ada baiknya tidak perlu disebutkan di sini untuk mengelak pemberian idea kepada penjenayah. Ikut kepada kreativiti dan keselesaan anda untuk meletakkan kad tersebut.
Jadi bagi anda yang mempunyai kad berasaskan PayWave, proses untuk memperoleh maklumat kad ini sebenarnya memerlukan jarak yang begitu dekat sebelum ia berjaya dipintas. Sekiranya ia berjaya dipintas, maklumat yang diperolehi juga masih belum mampu untuk menjayakan sesuatu transaksi dan memerlukan penggodam untuk meneka nombor CVV dengan tekaan sehingga 999 kali. Pastinya dalam tekaan tersebut, pihak bank akan menyahaktifkan kad tersebut kerana ada cubaan untuk meneka nombor ini secara berkali-kali.
Seperkara lagi, dengan sistem pembayaran 3-D Secure yang diimplementasikan pada pembayaran online, ia juga menyukarkan penggodam kerana memerlukan penggodam mendapatkan telefon pengguna secara fizikal untuk melihat kod yang dihantar, sebelum mampu untuk meneruskan pembayaran.
Walau bagaimanapun, segala kemungkinan masih perlu dititikberatkan pengguna daripada apa jua jenis ancaman godaman. Beberapa perkongsian yang disampaikan di atas semoga dapat memberikan manfaat untuk kita agar keselamatan maklumat kad tidak digadai dan tumpas ke tangan orang asing.
1. http://nearfieldcommunication.org/technology.html
2. http://www.maybank2u.com.my/WebBank/pinPay-FAQ.pdf