Selama puluhan tahun, sistem keamanan perbankan dan pembayaran mengandalkan parameter statis seperti batas ambang transaksi atau pemeriksaan kecepatan (velocity checks) untuk menghentikan penipuan.
Namun, laporan Biannual Threats Report terbaru dari Visa memperingatkan adanya fenomena Erosi Kontrol Keamanan (The Control Erosion Problem), yaitu taktik baru para penjahat siber membuat pertahanan warisan tersebut menjadi tidak berdaya.
Dalam laporan tersebut, Visa menyoroti bagaimana pelaku kriminal telah mempelajari algoritma keamanan tradisional dan mengembangkan metode untuk merayap di bawah radar tanpa memicu alarm deteksi.
Salah satu metode paling efektif yang digunakan saat ini adalah serangan Low-and-Slow. Jika biasanya serangan siber ditandai dengan aktivitas masif yang tiba-tiba, taktik ini dilakukan dengan frekuensi rendah dan nilai transaksi yang sangat kecil.
Penjahat melakukan percobaan transaksi atau enumerasi kartu pada kecepatan yang sangat lambat, sehingga tetap berada di bawah ambang batas deteksi otomatis yang dimiliki oleh banyak merchant dan bank.
Meskipun dilakukan perlahan, serangan ini dilakukan secara terdistribusi di ribuan akun dan platform yang berbeda secara bersamaan. Akibatnya, meskipun satu transaksi individu tidak terlihat mencurigakan, secara kolektif penjahat berhasil menguras nilai yang sangat besar tanpa pernah terdeteksi oleh aturan keamanan yang statis.
Laporan Visa menegaskan bahwa era di mana kita bisa mengandalkan benteng atau perimeter keamanan yang kaku telah berakhir. Penjahat siber saat ini memanfaatkan otomatisasi untuk menguji jutaan kombinasi data kartu hingga menemukan yang aktif. Karena serangan ini menyerupai perilaku belanja manusia yang normal, aturan keamanan berbasis logika “jika-maka” (if-then rules) sering kali gagal membedakan antara pelanggan asli dan bot cerdas.
“Erosi kontrol ini terjadi karena penjahat bergerak lebih lincah daripada pembaruan kebijakan keamanan yang bersifat manual,” tulis laporan tersebut. Ketika institusi keuangan masih sibuk menutup satu celah, penjahat sudah berpindah menggunakan ribuan identitas sintetis yang dihasilkan oleh AI untuk menyerang dari sudut yang berbeda.
Untuk mengatasi masalah erosi kontrol ini, Visa menekankan pentingnya beralih dari aturan statis ke keamanan berbasis perilaku dan kecerdasan buatan. Visa sendiri telah menginvestasikan USD12 miliar dalam lima tahun terakhir untuk membangun model pembelajaran mesin (machine learning) yang tidak hanya melihat angka transaksi, tetapi juga konteks dan pola perilaku yang sangat halus.
