Ancaman terhadap m-banking tidak lagi hanya datang dari kata sandi yang mudah ditebak. Kini, kredensial yang sudah bocor di pasar gelap membuat perlindungan login biasa semakin rapuh, termasuk saat pengguna sudah memakai 2FA.
Laporan State of Cybercrime 2026 dari KELA mencatat 2,86 miliar kredensial telah beredar, mulai dari password hingga cookie. Lebih dari 30% data yang terekspos berasal dari layanan cloud bisnis dan sistem otentikasi, sehingga jalur masuk ke akun sensitif ikut menjadi sasaran utama.
Kredensial yang bocor makin bernilai bagi pelaku
Skala kebocoran itu memberi gambaran bahwa peretas tidak hanya memburu akun personal. Mereka juga mengejar data yang bisa membuka akses ke layanan lain, termasuk layanan digital yang dipakai sehari-hari oleh pengguna umum.
Di saat yang sama, jumlah korban ransomware disebut naik 45% secara tahunan. Kondisi ini menunjukkan tekanan terhadap keamanan digital berjalan dari banyak arah sekaligus, bukan dari satu jenis serangan saja.
Malware pencuri data ikut meningkat tajam
KELA juga menemukan lonjakan besar pada infeksi malware infostealer di perangkat macOS. Angkanya naik dari di bawah 1.000 kasus pada 2024 menjadi lebih dari 70.000 kasus pada 2025, atau setara kenaikan hingga 7.000%.
Infostealer dirancang untuk mengekstraksi kredensial login, token autentikasi, dan data akun penting dari perangkat yang sudah terinfeksi. Dari sekitar 3,9 juta perangkat yang terinfeksi infostealer di seluruh dunia, pencurian lebih dari 347 juta kredensial atau data pribadi pengguna berhasil dilakukan.
Cara serangan juga ikut berubah
Pola serangan sekarang tidak lagi bergantung pada e-mail palsu semata. Peretas memanfaatkan kecerdasan buatan, model phishing-as-a-service, hingga celah pada iklan digital dan hasil pencarian palsu untuk menyebarkan perangkat lunak jahat.
Ada juga teknik yang membuat korban tanpa sadar menjalankan skrip berbahaya. Dengan manipulasi psikologis, pengguna seolah-olah melakukan tindakan sendiri, padahal justru membuka jalan bagi pencurian data dari perangkatnya.
Perubahan taktik ini membuat ancaman terasa lebih dekat dengan aktivitas harian. Akses ke m-banking, akun e-commerce, dan layanan cloud bisa ikut terdampak ketika kredensial bocor atau perangkat sudah disusupi malware.
2FA tidak lagi cukup sendirian
Bagi banyak pengguna, Otentikasi Dua Faktor atau 2FA selama ini dianggap lapisan aman tambahan. Namun, teknik pembobolan 2FA melalui pencurian cookie sesi membuat akun tetap bisa diambil alih meski kode verifikasi sudah digunakan.
Karena itu, perlindungan berlapis menjadi semakin penting. Pembaruan sistem operasi, menghindari tautan mencurigakan, dan memakai password manager kini dipandang sebagai kebutuhan dasar, bukan lagi sekadar pilihan.
Passkey mulai dilihat sebagai opsi yang lebih kuat
Di tengah meningkatnya pencurian kredensial, Passkey mendapat sorotan sebagai alternatif yang lebih kuat daripada kata sandi konvensional. Teknologi ini tidak dapat dicuri lewat phishing atau disadap saat transmisi data karena kunci privat disimpan secara lokal di perangkat pengguna.
Mekanisme tersebut membuat Passkey lebih sulit ditembus lewat intersepsi maupun serangan malware infostealer. Bagi pengguna m-banking dan layanan digital lain, perubahan cara login seperti ini menjadi salah satu langkah paling relevan untuk menutup celah pencurian akun.
Meski FBI terus menggelar operasi penegakan hukum besar-besaran, laju ancaman belum menunjukkan tanda mereda. Model bisnis Malware-as-a-Service membuat pelaku tidak perlu kemampuan teknis tinggi untuk mulai beraksi, karena infrastruktur kejahatan bisa disewa melalui dark web.
Source: www.cnbcindonesia.com
