Ini Penjelasan Kenapa Kode OTP Harus Dirahasiakan
29 July 2021 |
08:52 WIB
Kata sandi sekali pakai (one-time password/OTP) menjadi metode keamanan yang banyak digunakan saat ini. Kemudahan serta kepraktisan yang ditawarkan membuatnya banyak digunakan oleh sejumlah penyedia layanan digital. Namun, di balik kemudahan dan kepraktisan yang ditawarkan oleh OTP, ada bahaya yang mengintai pengguna layanan digital.
Hal itu lantaran masih ada celah keamanan yang memungkinkan pelaku kejahatan siber "mencuri" OTP yang dikirimkan oleh penyedia layanan digital kepada pengguna.
Menurut Pakar Forensik Digital sekaligus Chief Digital Forensic Indonesia Ruby Alamsyah, ada dua cara yang dapat digunakan oleh pelaku kejahatan siber untuk mendapatkan kode OTP korbannya.
Cara pertama melalui malware berupa aplikasi mata-mata (spyware) yang menyusup melalui aplikasi yang terpasang pada perangkat. Lewat aplikasi tersebut, peretas bisa mengambil setiap data yang masuk dan menyalahgunakannya.
Walaupun jarang terjadi, Ruby menyebut spyware ini banyak ditemukan pada sejumlah aplikasi pinjaman daring ilegal yang kini banyak digunakan oleh masyarakat sebagai alternatif pendanaan cepat.
“Spyware ini memantau data-data di ponsel, termasuk SMS [yang masuk]. Spyware juga bisa membaca atau membajak kode OTP. Tidak banyak, tetapi ada,” katanya.
Selain itu, untuk OTP yang dikirimkan melalui panggilan telepon dapat dengan mudah bocor lewat fitur pengalihan panggilan atau call forwarding. Fitur tersebut akan mengalihkan seluruh panggilan telepon agar masuk ke ponsel korban sekaligus pelaku.
Cara lain yang dapat digunakan adalah pembajakan kartu SIM atau SIM swap. Kejahatan SIM swap dilakukan dengan membuat kartu SIM dengan nomor korban untuk mengambil alih data. Sebelum melakukan SIM swap, pelaku terlebih dahulu mengirimkan umpan untuk mendapatkan data-data calon korban lewat surel atau SMS.
Terakhir tentunya adalah penipuan yang memanfaatkan kelemahan korbannya atau social engineering. Contohnya adalah iming-iming hadiah yang disampaikan melalui telepon.
Oleh karena itu, Ruby menilai OTP tidak tepat apabila digunakan untuk layanan digital dengan risiko tinggi, seperti layanan perbankan dan platform dagang el.
“OTP itu secara teknologi cukup aman dan paling simple, tetapi ternyata ini banyak disalahgunakan, karena tingkat edukasi [pengguna] masih rendah. Saya sih lebih menyarankan multi-factor authentification [MFA] dibanding OTP untuk high risk,” tuturnya.
Senada, pengamat keamanan siber dari Vaksincom Alfons Tanujaya menyebut penggunaan OTP harus dibarengi dengan implementasi dua langkah pengamanan (two-factor authentication/TFA). Implementasi TFA akan melindungi akun, sekalipun ada serangan yang mencuri kata sandi di perangkat pengguna.
Lebih lanjut, Alfons menjelaskan bahwa OTP yang dikirimkan melalui SMS adalah sistem pengamanan yang paling rentan lantaran mudah disadap dan isinya tidak dienkripsi. Selain itu, keamanan juga sangat bergantung pada jaringan dari masing-masing operator seluler.
Adapun, upaya yang dapat dilakukan untuk meminimalisasi kejahatan siber melalui OTP, menurut Kepala Sub Direktorat Identifikasi Kerentanan dan Penilaian Risiko Infrastruktur Informasi Kritikal Nasional III Badan Siber dan Sandi Negara (BSSN) Sigit Kurniawan adalah dengan tidak menggunakan Wi-Fi publik saat mengakses layanan keuangan atau memperbarui sistem operasi perangkat.
Selain itu, masyarakat juga diminta tidak mudah percaya dengan permintaan data pribadi yang mengatasnamakan bank atau penyedia layanan lainnya.
“Juga yang tak kalah penting, tidak sembarangan membagikan nomor handphone yang digunakan untuk transaksi keuangan atau data pribadi lainnya,” tegas Sigit.
Editor: Fajar Sidik
Hal itu lantaran masih ada celah keamanan yang memungkinkan pelaku kejahatan siber "mencuri" OTP yang dikirimkan oleh penyedia layanan digital kepada pengguna.
Menurut Pakar Forensik Digital sekaligus Chief Digital Forensic Indonesia Ruby Alamsyah, ada dua cara yang dapat digunakan oleh pelaku kejahatan siber untuk mendapatkan kode OTP korbannya.
Cara pertama melalui malware berupa aplikasi mata-mata (spyware) yang menyusup melalui aplikasi yang terpasang pada perangkat. Lewat aplikasi tersebut, peretas bisa mengambil setiap data yang masuk dan menyalahgunakannya.
Walaupun jarang terjadi, Ruby menyebut spyware ini banyak ditemukan pada sejumlah aplikasi pinjaman daring ilegal yang kini banyak digunakan oleh masyarakat sebagai alternatif pendanaan cepat.
“Spyware ini memantau data-data di ponsel, termasuk SMS [yang masuk]. Spyware juga bisa membaca atau membajak kode OTP. Tidak banyak, tetapi ada,” katanya.
Selain itu, untuk OTP yang dikirimkan melalui panggilan telepon dapat dengan mudah bocor lewat fitur pengalihan panggilan atau call forwarding. Fitur tersebut akan mengalihkan seluruh panggilan telepon agar masuk ke ponsel korban sekaligus pelaku.
Cara lain yang dapat digunakan adalah pembajakan kartu SIM atau SIM swap. Kejahatan SIM swap dilakukan dengan membuat kartu SIM dengan nomor korban untuk mengambil alih data. Sebelum melakukan SIM swap, pelaku terlebih dahulu mengirimkan umpan untuk mendapatkan data-data calon korban lewat surel atau SMS.
Terakhir tentunya adalah penipuan yang memanfaatkan kelemahan korbannya atau social engineering. Contohnya adalah iming-iming hadiah yang disampaikan melalui telepon.
Oleh karena itu, Ruby menilai OTP tidak tepat apabila digunakan untuk layanan digital dengan risiko tinggi, seperti layanan perbankan dan platform dagang el.
“OTP itu secara teknologi cukup aman dan paling simple, tetapi ternyata ini banyak disalahgunakan, karena tingkat edukasi [pengguna] masih rendah. Saya sih lebih menyarankan multi-factor authentification [MFA] dibanding OTP untuk high risk,” tuturnya.
Senada, pengamat keamanan siber dari Vaksincom Alfons Tanujaya menyebut penggunaan OTP harus dibarengi dengan implementasi dua langkah pengamanan (two-factor authentication/TFA). Implementasi TFA akan melindungi akun, sekalipun ada serangan yang mencuri kata sandi di perangkat pengguna.
Lebih lanjut, Alfons menjelaskan bahwa OTP yang dikirimkan melalui SMS adalah sistem pengamanan yang paling rentan lantaran mudah disadap dan isinya tidak dienkripsi. Selain itu, keamanan juga sangat bergantung pada jaringan dari masing-masing operator seluler.
Adapun, upaya yang dapat dilakukan untuk meminimalisasi kejahatan siber melalui OTP, menurut Kepala Sub Direktorat Identifikasi Kerentanan dan Penilaian Risiko Infrastruktur Informasi Kritikal Nasional III Badan Siber dan Sandi Negara (BSSN) Sigit Kurniawan adalah dengan tidak menggunakan Wi-Fi publik saat mengakses layanan keuangan atau memperbarui sistem operasi perangkat.
Selain itu, masyarakat juga diminta tidak mudah percaya dengan permintaan data pribadi yang mengatasnamakan bank atau penyedia layanan lainnya.
“Juga yang tak kalah penting, tidak sembarangan membagikan nomor handphone yang digunakan untuk transaksi keuangan atau data pribadi lainnya,” tegas Sigit.
Editor: Fajar Sidik
Komentar
Silahkan Login terlebih dahulu untuk meninggalkan komentar.