Cyberthreat.id – Sektor finansial dan niaga elektronik (e-commerce ) sebaiknya tidak hanya menerapkan autentikasi berbasis kode sandi sekali pakai (One-time Password/OTP), tapi perlu keamanan berlapis.

Alasan dia, kode OTP hanya baik digunakan untuk sektor yang  berisiko rendah (low risk), seperti media sosial atau layanan email gratis.

Berbeda halnya dengan layanan berisiko tinggi (high risk), seperti perbankan da niaga-el, yang butuh pengamanan dengan teknologi autentikasi multifaktor (MFA).

Hal itu disampaikan Pakar Forensik Digital Ruby Alamsyah dalam sedaring bertajuk “Waspada Kejahatan Pembajakan Kode Rahasia/OTP Fraud, Jangan Bagikan Kode OTP” Kamis, (24 September 2020).

Menurut Ruby, teknologi MFA adalah kombinasi antara lain sesuatu yang diketahui pengguna (password, PIN), sesuatu yang dimiliki pengguna (token, kartu, OTP), dan sesuatu tentang diri pengguna (sidik jari, retina, wajah, suara).

“OTP itu secara teknologi [memang] cukup aman dan paling simpel, tetapi ternyata ini banyak disalahgunakan, karena tingkat edukasi [pengguna] masih rendah. Saya sih lebih menyarankan MFA dibanding OTP untuk high risk,” kata dia.

---

Langkah autentikasi bisa memakai beberapa hal seperti yang dijelaskan oleh Ruby Alamsyah pada gambar. 

---

Modus pembajakan kode OTP

Ruby juga menjelaskan modus yang dipakai penjahat untuk membajak kode OTP, setidaknya ada dua cara, yaitu melalui malware berupa aplikasi mata-mata (spyware) dan paling umum terjadi melalui social engineering (rekayasa sosial).

Terkait malware, Ruby menjelaskan, hal ini bisa muncul karena pengguna menginstal aplikasi yang sudah mengandung spyware, sehingga peretas bisa mengambil data-data yang masuk ke ponsel.

Bisa juga dari aplikasi pinjaman online ilegal. Menurut dia, seringkali aplikasi pinjol ilegal memasang spyware di aplikasinya. Meski begitu, kasus pencurian kode OTP melalui teknik ini jarang terjadi.

“Spyware ini memantau SMS kita.OTP yang dikirim lewat SMS, spyware yang mengontrol bisa membaca atau membajak kode OTP. Ini tidak banyak, tapi ada,” kata dia.

Yang paling umum, teknik pembajakan OTP adalah melalui social engineering. Ruby menjelaskan pelaku menjalankan aksinya dengan mencoba mengakses akun target pada aplikasi atau platform tertentu yang pada akhirnya akan memunculkan permintaan untuk memasukkan kode OTP.

Untuk mendapatkan kode OTP, pelaku membuat korban panik, buru-buru, dan takut sehingga secara tidak langsung korban memberikan kode OTP. Berbekal kode OTP itulah, pelaku bisa mengakses akun korban.

Teknik ini pula yang menimpa artis Maia Estianty. Pelaku saat itu menggunakan teknik fitur “Call Forwarding” dari layanan seluler yang jarang diketahui pengguna seluler. Fitur “Call Forwarding” adalah mengalihkan seluruh panggilan telepon agar masuk selain ke ponsel korban juga ponsel pelaku. (Baca: Awas Fitur Call Forwarding, Maia Estianty Jadi Korbannya)

Perlu diketahui, kode OTP memang dikirimkan melalui SMS, tapi bisa pula diakses melalui voice call. Oleh karenanya, teknik fitur “Call Forwarding” sering disalahgunakan penjahat siber untuk mengambil kode OTP korban.

Selain kedua cara di atas, kata Ruby, masih ada lagi pembajakan kode OTP, yaitu melalui pembajakan kartu seluler (SIM swap).

Kasus SIM Swap ini pernah menimpa wartawan senior Ilham Bintang beberapa waktu lalu dan saat ini kasusnya masih berjalan di persidangan. Kasus ini, kata Ruby sangat dahsyat karena melibatkan banyak tahapan.

Pelaku menggunakan phishing, SIM swap, reset OTP, dan verifikasi transaksi via OTP. Penyebabnya pun tidak hanya karena OTP yang bocor, tetapi diawali dengan pengumpulan data pribadi tentang korban oleh pelaku.

Tips cegah OTP fraud

Ruby menjelaskan setidaknya ada tujuh tips menghindari pembajakan kode OTP, antara lain:

• Jangan membuka email dan lampiran dari sumber yang mencurigakan, jika Anda tidak mengenal pengirim yang dimaksud. “Caranya gimana tahu ini sebuah tautan phishing atau tidak? Malware atau tidak? Simpel saja bagi orang awam: copy paste saja tautan tersebut, lalu masuk ke Google. Jika itu tautan phishing biasanya Google langsung ada informasinya, bahkan Google ada teknik mendeteksi tautan tersebut phishing atau tidak.”
• Gunakan otentikasi multifaktor (MFA), terutama untuk akun-akun berisiko tinggi seperti layanan perbankan atau dompet digital.
• Waspadai tawaran yang menggoda.
• Simpan kontak dan catat nomor telepon call center operator seluler, aplikasi perbankan, e-commerce yang Anda gunakan. Jika ada telepon masuk dan bukan dari nomor resmi tersebut, maka patut Anda curigai.
• Jangan memberikan kode OTP kepada siapapun. “Bahkan, ke keluarga atau pasangan kita sekalipun OTP itu tidak boleh dibagikan karena OTP itu individual, benar-benar hanya pribadi kita, sehingga OTP tidak boleh di share,” kata dia.
• OTP tersedia sesuai permintaan. Jika muncul kode OTP saat Anda sedang tidak mengakses aplikasi tersebut, Anda patut mewaspadai dan curigai.
• Selalu perbarui perangkat lunak antivirus/antimalware. Pencurian kode OTP juga bisa melalui malware/spyware. Maka, ini perlu diterapkan untuk mencegah adanya aplikasi yang mengandung malware/spyware yang mencoba mengambil data-data.[]

Redaktur: Andi Nugroho