Artikel Terbaru

Ghost-tapping Intai Apple Pay & Google Pay, Apa Itu?

Ilustrasi Ghost Tapping

Ilustrasi Ghost Tapping

Perkembangan teknologi digital telah membawa banyak kemudahan dalam kehidupan sehari-hari, termasuk dalam urusan pembayaran. Kini, kita bisa berbelanja tanpa harus membawa uang tunai atau kartu fisik, cukup dengan ponsel pintar dan layanan dompet digital seperti Apple Pay atau Google Pay. Sayangnya, kemudahan ini juga membuka peluang baru bagi penjahat siber untuk beraksi.

Salah satu teknik serangan terbaru yang muncul adalah ghost-tapping. Metode ini menjadi perhatian global karena mampu mengeksploitasi sistem pembayaran nirsentuh (contactless) dengan cara yang sulit dideteksi. Artikel ini akan membahas apa itu ghost-tapping, bagaimana cara kerjanya, mengapa ia berbahaya, serta langkah-langkah yang bisa dilakukan untuk melindungi diri dari ancaman ini.

 
Apa Itu Ghost-tapping?

Ghost-tapping adalah sebuah teknik kejahatan siber canggih yang memungkinkan pelaku untuk menyalahgunakan data kartu pembayaran curian dan menggunakannya melalui dompet digital seperti Apple Pay dan Google Pay.

Berbeda dengan penipuan kartu biasa yang umumnya digunakan untuk transaksi online, ghost-tapping memungkinkan pelaku bertransaksi langsung di toko ritel seolah-olah mereka adalah pemilik sah kartu. Hal inilah yang membuat ghost-tapping jauh lebih berbahaya dan sulit terdeteksi.

Nama “ghost-tapping” sendiri merujuk pada tindakan seakan-akan ada "hantu" yang melakukan tap (menempelkan ponsel/kartu) pada mesin pembayaran, padahal kartu asli berada di tangan korban.

 
Mengapa Ghost-tapping Berbahaya?

Ada beberapa alasan mengapa ghost-tapping dianggap sebagai ancaman serius:

  • Lebih Sulit Dideteksi
    Sistem pemantauan penipuan biasanya dirancang untuk transaksi online mencurigakan. Namun, ghost-tapping memungkinkan transaksi dilakukan di toko fisik, membuat aktivitas ini terlihat normal.
  • Bisa Melewati Keamanan Berlapis
    Bahkan sistem otentikasi seperti multi-factor authentication (MFA) tidak selalu efektif, karena pelaku sering kali sudah memiliki kredensial korban melalui phishing atau malware.
  • Skala Industri
    Ghost-tapping tidak dilakukan oleh individu semata, tetapi merupakan ekosistem kriminal terorganisir yang melibatkan banyak peran, mulai dari pencuri data, penyedia perangkat, hingga kurir yang berbelanja menggunakan data curian.

Kerugian Besar dan Lintas Negara
Data dari otoritas Singapura mencatat ada 656 laporan terkait serangan ini hanya dalam tiga bulan (Oktober–Desember 2024), dengan kerugian mencapai 1,2 juta dolar Singapura.
 

Cara Kerja Ghost-tapping

Untuk memahami bahaya ghost-tapping, kita perlu mengetahui bagaimana serangan ini dilakukan. Secara garis besar, ghost-tapping berlangsung dalam beberapa tahap:

  1. Pencurian Data Kartu
    Data kartu pembayaran biasanya diperoleh melalui:

    • Phishing: Penjahat menipu korban agar memberikan data perbankan atau informasi login.
    • Malware Mobile: Aplikasi berbahaya yang diam-diam mencuri data kartu dari ponsel korban.

  2. Menambahkan Data ke Dompet Digital
    Data kartu curian tersebut kemudian ditambahkan ke dompet digital seperti Apple Pay atau Google Pay menggunakan perangkat lunak khusus. Biasanya, hal ini dilakukan pada ponsel “burner” (ponsel sekali pakai).

  3. Pemanfaatan Alat NFC Relay
    Ghost-tapping bergantung pada teknologi NFC relay. Aplikasi seperti NFCGate, yang awalnya dibuat untuk tujuan analisis legal, kini disalahgunakan untuk meneruskan data kartu dari jarak jauh.

    • Dibutuhkan dua ponsel dengan NFCGate.
    • Server pelaku akan menjadi perantara data kartu.
    • Saat kurir mendekati mesin pembayaran, data kartu tokenisasi dikirim secara real-time dari server pelaku ke ponsel kurir.
    • Hasilnya, transaksi bisa berhasil tanpa kartu fisik asli.

  4. Belanja oleh Money Mule
    Kurir (dikenal sebagai money mule) kemudian menggunakan ponsel burner itu untuk berbelanja barang-barang bernilai tinggi. Barang ini nantinya dijual kembali, mengubah data curian menjadi keuntungan nyata bagi sindikat kriminal.

 
Ekonomi Kriminal Ghost-tapping

Ghost-tapping bukan sekadar serangan acak, melainkan bisnis kriminal yang sangat terorganisir.

  • Perangkat Ponsel Khusus Dijual
    Akun Telegram tertentu, misalnya @webu8, diketahui menjual ponsel burner yang sudah diisi dengan kartu curian. Satu perangkat dengan 10 kartu curian bisa dijual sekitar 500 USDT (setara Rp8 juta).
  • Layanan Tambahan
    Para pelaku juga menawarkan layanan “daur ulang” ponsel agar bisa digunakan kembali untuk operasi lain.
  • Operasi Lintas Negara
    Menurut analisis, sindikat ini banyak beroperasi di Kamboja dan Tiongkok, namun menargetkan korban di seluruh dunia.

Dengan model bisnis yang jelas dan menguntungkan, ghost-tapping semakin sulit diberantas.

 
Studi Kasus: Singapura

Singapura menjadi salah satu negara yang melaporkan kasus ghost-tapping secara signifikan.

  • Jumlah Kasus: 656 laporan dalam tiga bulan terakhir 2024.
  • Kerugian: Lebih dari 1,2 juta dolar Singapura.
  • Platform Rentan: Dari jumlah tersebut, 502 kasus melibatkan Apple Pay.

Data ini menunjukkan bahwa bahkan platform populer dengan sistem keamanan tinggi pun tidak luput dari ancaman.

 
Tantangan Penegakan Hukum

Ghost-tapping memperlihatkan bagaimana kejahatan siber modern bersifat lintas negara.

  • Perbedaan Yurisdiksi
    Sindikat bisa memanfaatkan perbedaan aturan hukum antarnegara untuk menghindari jerat hukum.
  • Kurir Lokal
    Para money mule biasanya warga lokal yang tidak selalu memahami bahwa mereka bagian dari jaringan kriminal internasional.
  • Teknologi Sah yang Disalahgunakan
    Karena ghost-tapping menggunakan protokol NFC yang sah, sangat sulit bagi aparat maupun bank untuk memblokir aktivitas mencurigakan tanpa mengganggu pengguna yang sah.
     

Bagaimana Melindungi Diri dari Ghost-tapping?

Meskipun ghost-tapping terdengar menakutkan, ada beberapa langkah pencegahan yang bisa dilakukan:

  1. Waspada terhadap Phishing
    Jangan sembarangan mengklik tautan atau memberikan data pribadi melalui pesan, email, atau situs yang tidak jelas asal-usulnya.

  2. Lindungi Ponsel dengan Keamanan Tambahan
    Gunakan PIN, sidik jari, atau pengenalan wajah untuk membuka ponsel dan otorisasi pembayaran.

  3. Cek Aktivitas Perbankan Secara Rutin
    Segera laporkan jika ada transaksi mencurigakan, sekecil apa pun nominalnya.

  4. Gunakan Jaringan Aman
    Hindari menggunakan Wi-Fi publik tanpa perlindungan, karena bisa menjadi pintu masuk malware.

  5. Hapus Aplikasi Mencurigakan
    Pastikan hanya mengunduh aplikasi dari toko resmi (Google Play Store atau Apple App Store).

  6. Batasi Kartu yang Terhubung ke Dompet Digital
    Sebaiknya hanya hubungkan kartu utama dan gunakan kartu dengan limit tertentu untuk mengurangi risiko kerugian.

 
Masa Depan Keamanan Pembayaran Digital

Fenomena ghost-tapping memberi pelajaran penting: keamanan digital tidak pernah statis. Setiap kemajuan teknologi membawa tantangan baru.

Penyedia layanan pembayaran digital, perbankan, dan regulator harus bekerja sama dalam:

  • Meningkatkan sistem deteksi anomali transaksi.
  • Mengembangkan proteksi tambahan pada protokol NFC.
  • Memberikan edukasi berkelanjutan kepada masyarakat tentang ancaman siber terbaru.

Tanpa kolaborasi ini, pengguna akan terus menjadi target empuk bagi sindikat kriminal yang semakin canggih.

 
Kesimpulan

Ghost-tapping adalah bentuk kejahatan siber terbaru yang menunjukkan betapa cepatnya dunia kriminal beradaptasi dengan teknologi modern. Dengan memanfaatkan data kartu curian, dompet digital, dan teknologi NFC relay, sindikat kriminal dapat melakukan penipuan ritel secara langsung dan terorganisir.

Ancaman ini bukan hanya soal kehilangan uang, tetapi juga tantangan besar bagi sistem hukum dan keamanan global. Oleh karena itu, kesadaran pengguna, kewaspadaan, serta kerja sama antar lembaga menjadi kunci untuk menghadapi era baru kejahatan pembayaran digital ini.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait