Cyberthreat.id –Komisioner Badan Regulasi Telekomunikasi Indonesia (BRTI), Agung Harsoyo, mengatakan, sebetulnya sistem One-time Password (OTP) atau kata sandi sekali pakai aman dipakai dan termasuk sistem autentikasi dua tahap (2FA).

“OTP dari sisi teknologi itu jelas secure, artinya orang ketika mau bertransaksi kan tidak langsung bisa, tapi dia ada mekanisme dua kali,” kata Agung ketika dihubungi Cyberthreat.id, Senin (21 September 2020).

Kode OTP adalah kode verifikasi yang umumnya terdiri atas enam digit angka. Kode ini biasanya dikirimkan via pesan SMS atau email dan hanya berlaku dalam waktu pendek, tidak lebih dari satu menit.

Kode tersebut cenderung dipakai di sejumlah platform e-commerce, perbankan, juga sejumlah aplikasi lain sebagai keamanan.

Yang menjadi masalah adalah pembajakan kode OTP yang dipakai untuk penipuan atau dikenal “OTP fraud”.

Menurut dia, OTP fraud ini bisa terjadi melalui dua hal. Pertama, dari segi teknologi. Menurut Agung,  saat menginstal aplikasi biasanya akan muncul informasi atau peringatan bahwa aplikasi itu akan mengakses SMS. Ini celahnya, kata dia.

Jika aplikasi itu diizinkan oleh pengguna untuk mengakses SMS, ada peluang aplikasi itu melihat kode OTP yang dikirim lewat SMS, kata Agung.

Atau, bisa pula diawali dari mengklik sebuah tautan di sebuah situs web yang mengarahkan pengguna mengunduh aplikasi jahat atau semacam malware. Aplikasi ini ternyata dapat membaca pesan SMS di perangkat pengguna.

“Kalau ini caranya melingkar ya, artinya orang pasang website misalnya untuk pasang aplikasi jahat, kemudian orang men-download, kemudian dia (pelaku) akan sniffing (menyadap) terkait dengan OTP,” kata Agung.

Kedua, dari sisi manusia. Agung mengatakan, faktor ketidaktahuan dari seseorang dimanfaatkan oleh penipu. Inilah yang disebut dengan teknik social engineering atau rekayasa sosial.

Agung mencontohkan seperti seseorang yang mengaku dari penyelenggara platform dan meminta kode OTP. Karena korban percaya begitu saja bahwa yang menelepon korban dari platform atau bank, diberikanlah kode OTP itu kepada si penelepon yang notabene penipu. Kebanyakan orang tertipu dengan modus ini, kata dia, bukan lewat sisi teknologi.

Ia pun menyarankan kepada masyarakat agar lebih hati-hati dengan kode OTP. Untuk mencegah dari penipuan kode OTP, pengguna jangan menginstal aplikasi sembarangan, yang mengizinkan aplikasi itu untuk bisa membaca tiap SMS masuk.

Selanjutnya, jangan mengklik tautan yang tidak penting atau mencurigakan karena berpotensi masuknya malware yang dapat membaca SMS.

Dan, terakhir, “OTP itu tidak boleh diberitahukan kepada siapa pun meski seandainya ada yang mengaku dari  menyelenggarakan e-commerce atau dari bank, itu pun tidak boleh di-share.” kata dia.[]

Redaktur: Andi Nugroho