Cyberthreat.id – Komisioner Badan Regulasi Telekomunikasi Indonesia (BRTI), Agung Harsoyo, mengusulkan agar ke depan dibuat sebuah aturan yang menangani tentang penipuan kode One-time Password (OTP) atau kata sandi sekali pakai; penipuan ini dikenal dengan sebutan “OTP fraud”.

Menurut dia, selama ini tidak jelas siapa yang menangani kasus jika terjadi penipuan via kode OTP. Dengan pengaturan secar jelas, data-data laporan atau aduan pelanggan bisa terdokumentasi.

“Saya terus terang tidak punya data lengkap [terkait kasus ini]. Karena ketika ada OTP fraud itu sebetulnya ranah siapa, sih? Mungkin ke depan perlu diatur prosedur operasi standar (SOP) karena OTP itu kan berlaku juga perbankan,” ujar Agung ketika dihubungi Cyberthreat.id, Senin (21 September 2020).

“Ketika ada fraud itu terus gimana pengaturannya? Artinya pengaduan yang telah terjadi siapa sih yang nyatat, misal, bank A bulan Januari ada berapa kali fraud, bank B ada berapa, marketplace  A dan sebagainya. Mestinya ada data. Kami tidak tahu ini sebenarnya data diagregasi atau dikumpulkan atau dikelola oleh siapa? Saya tidak tahu malah,” ujar dia.

Kode OTP adalah kode verifikasi yang umumnya terdiri atas enam digit angka. Kode ini biasanya dikirimkan via pesan SMS atau email dan hanya berlaku dalam waktu pendek, tidak lebih dari satu menit.

Kode tersebut cenderung dipakai di sejumlah platform e-commerce, perbankan, juga sejumlah aplikasi lain sebagai keamanan.

Laporan yang diterima BRTI, kata Agung, sejauh ini berkaitan OTP fraud yang didahului dengan pembajakan kartu seluler (SIM swap). Namun, modus penipuan ini, Agung mengklaim, sudah jarang terjadi karena aturan yang berlaku di operator seluler telah mencegah dan mempersulit penjahat melakukan SIM swap.

“Sekarang makin sulit ya SIM Swap itu, karena SOP-nya makin ketat. Makanya modelnya sekarang social engineering,” ujar dia. (Baca: Dua Faktor Terjadinya Penipuan Kode OTP Menurut BRTI)

OTP biometrik

Menurut Agung, OTP via SMS sebetulnya perlu ditambah keamanan lagi sehingga perlindungan menjadi berlapis-lapis, bisa pula autentikasi tiga tahap (3FA).

Agung pun mengatakan tambahan lain itu bisa dengan memanfaatkan biometrik agar semakin sulit untuk penjahat melakukan penipuan.

“Dengan biometrik dan password, atau apalah itu kan semakin sulit nanti orang melakukan pengambilalihan. Kalau sekarang biometrik belum diterapkan,” ujar dia.

Jenis pengamanan biometrik ini, kata dia, sudah didiskusikan BRTI dengan berbagai pihak, seperti operator seluler, Otoritas Jasa Keuangan. Hasilnya, perlu regulasi bersama (collaboration regulation) untuk bagaimana mengkombinasikan sedemikian rupa jenis pengamanan sehingga semakin sulit penjahat untuk melakukan penipuan.

“Untuk kasus SIM swap itu urusan kami, tapi pembobolan rekening itu urusan OJK,” kata dia mencontohkan.[]

Redaktur: Andi Nugroho