PENIPUAN dengan mencuri pasword sekali pakai (OTP) berbasis SMS kian marak terjadi. Para penjahat memanfaatkan celah keamanannya. Bisa karena kelalaian pengguna yang memberikan OTP ke orang lain, kelalaian operator telekomunikasi dalam menjaga nomor telepon pelanggan, maupun menipu penyedia layanan keuangan seperti perbankan.

Terbaru adalah kasus yang menimpa wartawan senior Ilham Bintang. Rekening bank dan kartu kredit pendiri media infotainment Cek&Ricek itu berhasil dibobol penjahat siber setelah memperdaya petugas operator selular Indosat dan mengambil alih nomor telepon yang sebelumnya dipakai Ilham. Dengan menguasai nomor teleponnya, pencuri itu akan mendapat OTP dari perbankan, lalu menggunakannya untuk masuk ke akun mobile banking. Tak butuh waktu lama, uang di rekening bank pun digasak.

Dalam kasus Ilham, operator Indosat mengakui ada kelalaian petugasnya saat verifikasi data ketika seseorang yang mengaku sebagai Ilham Bintang datang ke gerai Indosat di Mal Bintaro Jaya Xchange pada 3 Januari 2020.

"Hasil investigasi, benar ada pergantian kartu mengatasnamakan Bapak Ilham Bintang," kata Turina Farouk, SV-Head Corporate Communications Indosat Oredoo di Jakarta, Senin (20 Januari 2020).

Turina mengakui ada kekurangan yang dilakukan petugas di Gerai Indosat  Bintaro Jaya Xchange saat seseorang datang ke sana dan mengaku-ngaku sebagai Ilham Bintang, dan meminta pergantian kartu SIM dengan menggunakan nomor yang sama dengan yang dipakai Ilham.

"Kami mengakui adanya kekurangan pada proses verifikasi yang dilakukan agent di lapangan," kata dia.

Turina mengatakan, pihaknya menyesalkan kejadian itu dan berjanji memperbaiki sistem untuk menjaga keamanan data konsumen.

Menyalahkan Konsumen
Dalam banyak kasus, ketika pasword OTP berpindah tangan atau dikuasai penjahat siber, para penyedia layanan menyalahkan konsumen tidak benar-benar menjaga data pribadinya. Dengan begitu, penyedia layanan (perbankan, operator seluler, dan penyedia dompet atau pembayaran digital) bisa lepas tangan.

Dalam kasus Ilham Bintang, misalnya, Direktur Bisnis Konsumer BNI Anggoro Eko Cahyo mengatakan,"Dari peristiwa ini dapat ditarik pelajaran bahwa pemilik kartu kredit sebaiknya menjaga dengan baik seluruh informasi pribadi. Baik nomor handphone hingga nomor OTP yang menjadi dasar transaksi kartu kredit."

Ada benarnya BNI mengingatkan konsumen untuk menjaga kerahasiaan data pribadinya. Namun, ketika fakta menunjukkan OTP rentan diambil aliih orang lain, kita pun bertanya: tidak bisakah penyedia layanan mengintrospeksi diri bahwa sistem yang dipakai tak cukup kuat untuk melindugi uang konsumen? Misalnya: sudahkah penyedia layanan seperti perbankan menyediakan fitur OTP berbasis aplikasi seperti Google Authenticator yang menurut para pakar lebih aman?

Kelalaian Perbankan
Jika dalam kasus Ilham Bintang yang diperdaya adalah operator telepon seluler, di India, justru kantor perbankannya yang ditipu.

Pada Agustus 2018, seorang warga Janakpuri di Delhi, India, kehilangan Rs 11,5 lakh yang tersimpan di rekening banknya setelah dua orang datang ke bank tempat ia menyimpan uang, dan meminta pergantian nomor telepon yang terkoneksi ke akun mobile banking.

Seperti dilaporkan indiatimes.com berdasarkan keterangan polisi, pada 31 Agustus 2018, dua orang mendatangi bank dan salah satu dari mereka menyamar sebagai pemegang rekening.

Mereka meminta perubahan nomor ponsel yang terdaftar dan mengisi formulir yang disediakan bank. Setelah nomor ponsel baru didaftarkan, mereka melakukan transfer online dari akun korban menggunakan OTP yang dikirim ke nomor telepon baru. Rs 11,5 lakh yang ditarik dengan cara ini dipindahkan ke enam rekening berbeda yang disimpan di bank di Dwarka dan kemudian ditarik melalui ATM dan cek. Setelah kejahatan itu, telepon seluler tempat OTP dikirim dimatikan.

Polisi memindai rekaman kamera CCTV di bank dan meminta karyawan bank untuk memberikan rincian akun yang digunakan dalam transaksi penipuan. Polisi melacak salah satu penjahat ke Jharkhand melalui pengawasan teknis. Polisi juga memeriksa apakah petugas bank turut bersekongkol.

Ternyata, OTP yang sebelumnya dianggap cukup sakti, kini tak mampu lagi melindungi uang kita di bank.

Eropa Ambil Langkah Cepat

Dalam kasus ini, ada baiknya kita berkaca dari Eropa. Otoritas perbankan Eropa (European Banking Authority atau EBA) telah menyatakan bahwa penerapan OTP berbasis SMS tidak sesuai standar otentikasi yang kuat (strong customer authentication atau SCA). Standar keamanan baru pun ditetapkan.

Dibuat pada 2015 dan mulai berlaku sejak 14 September 2019, peraturan baru itu merevisi soal pembayaran online di Uni Eropa dan sekaligus menerbitkan Payment Services Directive (PSD) ke-2. Walhasil, bank-bank di Eropa dipaksa untuk meninggalkan OTP berbasis SMS dan menggantikannya dengan sistem baru.

Gerakan meninggalkan OTP berbasis SMS ini sudah diperkirakan sejak lama. Maklum, teknologi OTP berbasis SMS sudah berusia 30 tahun lebih dan dianggap ketinggalan zaman serta kurang fleksibel. Nasabah sering berganti nomor telepon dan OTP bisa saja dikirimkan ke nomor lama Anda yang mungkin sudah dipegang orang lain. Masalah lainnya, teknologi ini punya kelemahan.

Selama bertahun-tahun, industri keamanan siber sudah menyerukan peringatan terhadap kelemahan OTB berbasis SMS yang tidak kunjung ditutupi. Kelemahannya ada pada protokol SS7 yang digunakan semua jaringan mobile telephony. Hacker bisa memanfaatkan kelemahan ini untuk membajak nomor handphone bahkan tanpa diketahui oleh operator selular. Agensi keamanan siber Jerman, BSI, pada Mei 2017 telah memperingatkan bahwa hacker bisa mencegat pengiriman kode yang dikirim melalui SMS.

Sejatinya, SMS tidak pernah aman dan sebaiknya tidak digunakan secara luas, kata para pakar.

Memang two-factor authentication (2FA) direkomendasikan namun, setelah "username dan password" sebagai faktor pertama, SMS bukanlah "faktor kedua" yang bisa diandalkan. Para pakar menyarankan aplikasi otentikator atau token keamanan berbasis hardware sebagai pengganti SMS OTP. Sistem ini diyakini lebih susah dibajak oleh penjahat siber yang mengincar.

Bagaimana dengan Indonesia? Sejauh ini, maaf saja, penyedia layanan perbankan terkesan lebih mudah menyalahkan konsumen daripada membenahi sistem pengamanannya.

Sudah waktunya pemerintah selaku regulator mengumpulkan para pihak terkait, mencari solusi lebih baik untuk melindungi uang kita.[]

Penulis adalah Editor di Cyberthreat.id

Artikel terkait:

• Perkembangan Terbaru Pembajakan Nomor Indosat Ilham Bintang