Saya sering ditanyai tentang kemungkinan adanya perangkat skimming yang dipasang, atau perangkat pembayaran yang dirusak untuk mengkompromikan data kartu pelanggan.
Langsung dari buku pedoman Penilai Keamanan Berkualifikasi (QSA), tanggapan pertama saya selalu “tergantung.”
Pembayaran nirsentuh menjadi semakin lazim, dengan penggunaan dompet pembayaran seluler yang sering kali berarti orang tidak lagi membawa kartu pembayaran fisik. Menurut Mastercard, lebih dari dua pertiga pembayaran kartu secara langsung di seluruh dunia kini dilakukan dengan metode nirsentuh.
Karena pembayaran nirsentuh beroperasi melalui komunikasi jarak dekat (NFC), interaksi fisik dengan kartu pembayaran tidak diperlukan. Khususnya dengan dompet pembayaran seluler, data kartu di-tokenisasi dan tidak dibagikan selama transaksi. Ketika kartu fisik ditunjukkan selama transaksi nirsentuh, chip EMV yang tertanam akan mengenkripsi data kartu dan menghasilkan kode unik untuk transaksi tersebut, tanpa membagikan detail kartu.
Ketika penyerang menargetkan perangkat pembayaran
Selama menangani klien baru-baru ini, saya diberitahu tentang serangkaian insiden di beberapa lokasi, di mana penyerang dengan sengaja berusaha mencegah pelanggan melakukan pembayaran nirsentuh.
Dengan merusak pembaca nirkontak secara sengaja pada mesin penjual tiket swalayan (TVM), pelanggan akan dipaksa untuk memasukkan kartu mereka secara fisik dan memasukkan PIN. Diketahui bahwa dalam salah satu insiden, alat skimming ditemukan di dalam slot kartu TVM.
A damaged contactless card reader.
Mendeteksi dan merespons gangguan
Perangkat pembayaran swalayan seperti TVM biasanya tidak memiliki staf dan mengandalkan kombinasi kontrol keamanan berlapis (administratif, fisik, dan teknis) untuk menentukan apakah ada upaya perusakan dan/atau penggantian yang dilakukan oleh penyerang.
Indikator kompromi dapat mencakup pelanggan yang melaporkan kesulitan memasukkan kartu pembayaran mereka ke dalam perangkat, atau tingkat kegagalan transaksi yang lebih tinggi dari biasanya; yang mana keduanya dapat disebabkan oleh adanya perangkat skimming di slot kartu itu sendiri.
Selain itu, pemeriksaan tidak boleh hanya berfokus pada slot kartu dan pembaca nirkontak, tetapi juga harus mencari tanda-tanda gangguan pada digit kunci entri PIN pada perangkat dan/atau keberadaan kamera lubang pin.
Mengapa pemeriksaan rutin masih penting
Dalam kasus temuan klien kami baru-baru ini, pemeriksaan rutin untuk anti-penyalahgunaanlah yang mendeteksi insiden ini, dengan pelaporan respons insiden yang dihasilkan mengarah pada berbagi pengetahuan dengan organisasi sejenis.
Dengan fokus saat ini pada prevalensi serangan terhadap saluran pembayaran e-niaga dalam komunitas PCI, penting untuk diketahui bahwa penyerang masih dapat menargetkan saluran pembayaran yang dimiliki oleh pemegang kartu.
Salah satu rintangan terbesar yang dihadapi sebagian besar organisasi adalah staf di bagian operasional bisnis untuk merasionalisasi mengapa pemeriksaan anti-tamper diperlukan. Informasi tidak dibagikan secara luas ketika serangan terjadi dan sering kali ada ketakutan akan kerusakan reputasi organisasi jika rinciannya dipublikasikan, dan pada akhirnya bagaimana insiden tersebut dapat berdampak pada harga saham.
Seberapa sering perangkat harus diperiksa
Pemeriksaan perangkat anti-tamper merupakan persyaratan wajib dalam instruksi manual enkripsi point-to-point (P2PE), di mana istilah seperti ‘periodik’, digunakan untuk frekuensi pemeriksaan perangkat yang harus diselesaikan. Pada awalnya terminologi ini dapat ditafsirkan sebagai cukup longgar, dan seperti membuka Kotak Pandora; namun, tanggung jawab sebenarnya ada pada entitas untuk menentukan apa yang dianggap ‘wajar dan proporsional’ untuk frekuensi kontrol tersebut, berdasarkan interpretasi mereka sendiri terhadap potensi risiko.
Pertimbangan utama untuk menentukan frekuensi kontrol
Saat menentukan frekuensi kontrol dalam penilaian risiko, kontrol keamanan yang ada harus menjadi pertimbangan utama bagaimana mereka bisa saling melengkapi satu sama lain (misalnya kontrol keamanan berlapis) - seperti kunci, alarm, penerangan, CCTV, dan petugas keamanan, dan lain-lain. Setelah frekuensi kontrol ditentukan, sangat penting untuk bersikap dinamis dan pragmatis jika membuat perubahan dalam menanggapi peringatan ancaman dan insiden yang dicurigai atau dikonfirmasi.
Sebagai contoh, setelah adanya dugaan insiden gangguan pada satu atau beberapa perangkat pembayaran, pemeriksaan perangkat untuk sementara waktu dapat ditingkatkan dari mingguan menjadi harian; atau dari harian menjadi sekali per shift. Frekuensi pemeriksaan dapat dikembalikan ke interval sebelumnya setelah entitas merasa bahwa potensi ancaman telah berkurang.
QSA LRQA secara rutin menemukan bahwa organisasi yang menyelaraskan pemeriksaan anti gangguan ke dalam proses bisnis seperti biasa akan lebih efektif dan konsisten dalam mematuhi Persyaratan 9.5 PCI DSS dibandingkan dengan organisasi yang menerapkan pemeriksaan mandiri.
Pikiran akhir
Singkatnya, pemeriksaan anti-tamper masih relevan untuk semua entitas yang menerima transaksi kartu pembayaran secara langsung (pemegang kartu hadir). Penyerang bersifat adaptif dalam mengembangkan taktik, teknik, dan prosedur mereka; oleh karena itu, sebagai komunitas PCI, kita harus sama adaptif dan dinamisnya dalam merespons ancaman yang muncul dan kemampuan yang terus berkembang dari musuh. Pada akhirnya, apa yang efektif hari ini tidak dijamin akan efektif besok.
Pelajari lebih lanjut tentang berbagai layanan PCI DSS kami
Keamanan siber pada tahun 2025: Tahun perubahan yang cepat dan meningkatnya risiko
Tahun 2025 telah membawa gangguan yang signifikan pada lanskap dunia maya, dengan ancaman yang semakin canggih dan tak terduga. Di sini, Anda dapat mengakses kepemimpinan pemikiran ahli dan panduan praktis untuk memahami risiko yang muncul dan memperkuat ketahanan organisasi Anda.
Bulan Kesadaran Dunia Maya
Lihat semua wawasan dari pakar siber kami
