Pelajaran dari Pencurian SIM Card Indosat Ilham Bintang, Jangan Andalkan SMS

JAKARTA, KOMPAS.com -  Penggunaan kode keamanan One Time Password (OTP) melalui SMS belakangan menjadi perbincangan, setelah berita pembobolan rekening Ilham Bintang mencuat.

Metode OTP dianggap kurang aman, terlebih apabila nomor telepon pengguna, atau kartu SIM pengguna disalahgunakan oleh orang tak dikenal, atau yang disebut sebagai SIM swap.

Alfons Tanujaya, analis dari perusahaan keamanan jaringan Vaksincom, mengatakan bahwa OTP melalui SMS nomor telepon memiliki tingkat keamanan yang rendah.

Namun, sayangnya metode verifikasi utama rekening bank-bank di Indonesia seringkali masih mengandalkan nomor telepon.

Baca juga: Begini Formulir yang Diisi Pencuri SIM Card Indosat Ilham Bintang

"Terkadang kita terlalu percaya dengan pengamanan OTP dari SMS, padahal metode ini merupakan OTP yang paling lemah dibandingkan metode OTP lainnya," tutur Alfons kepada KompasTekno, Selasa (21/1/2020).

Menurut Alfons, verifikasi perubahan kredensial seharusnya tidak hanya mengandalkan nomor telepon saja, tetapi juga menggunakan metode lain, seperti e-mail atau sejenisnya.

Dengan kata lain, verifikasi akun atau perubahan yang bersifat kredensial lebih baik dilakukan dengan cara Two Factor Authentification (TFA), seperti menggunakan e-mail serta nomor telepon.

Untuk menjaga keamanan rekening bank, Alfons mencontohkan pengamanan TFA dengan token yang dimiliki KlikBCA, karena One Time Password (OTP) yang dikirim tetap di jaringan BCA, tidak melibatkan pihak ketiga.

"Kalau pakai SMS kan melibatkan operator seluler, dan ada kemungkinan disadap di 'tengah jalan'," ujar Alfons.

Kendati demikian, Alfons juga mengatakan bahwa metode TFA telah terbukti sukses menjaga akun pengguna, namun para penipu tetap bisa melakukan pembobolan dengan melakukan hal-hal di bawah ini.

Pertama, Para penipu dapat membobol melalui rekayasa sosial dengan mengelabui sedemikian rupa pemilik akun, supaya mendapatkan akses pada kode TFA/OTP seperti kasus Maia Estianty di Go-pay.

Baca juga: 3 Saran Gojek untuk Menghindari Penipuan

Kedua, Penipu juga dapat mengambil alih kartu SIM ke operator. Namun, sebenarnya tindakan ini berisiko bagi penipu, karena harus berhubungan langsung dengan pihak provider. Namun, apabila pihak provider teliti, maka oknum sangat mudah tertangkap.

Ketiga, Hindari penggunaan kartu prabayar jika digunakan untuk persetujuan transaksi perbankan TFA/OTP karena rentan diambil alih atau didaur ulang dan pemiliknya lupa mengalihkan nomor teleponnya.

"Jadi setiap kali ganti nomor telepon, pastikan kalau nomor telepon ke penyedia kartu kredit atau internet banking sudah di-update, jika tidak maka nomor tersebut akan rentan disalahgunakan,"ujar Alfons.

Metode kejahatan kriminal digital kini tengah marak terjadi, tak jarang para penipu melakukan metode SIM swap atau phising (pengelabuan untuk mendapatkan informasi rahasia).

Kedua metode ini jika dipakai bersamaan, akan sangat merugikan. Pasalnya, metode phising dapat dipakai mengakses informasi-informasi, sedangkan SIM swap dapat mengakses akun korban hingga nomor rekening bank.

Baca juga: Kasus Ilham Bintang, Kominfo: Indosat Tak Ikuti SOP

Alfons mengatakan penggunaan verifikasi melalui nomor telepon dapat mencelakai pemilik akun apabila penipu mencuri dan menguasai nomor telepon korban.

Hal ini mengakibatkan potensi perubahan akses akun dan perubahan kredensial (informasi rahasia) terjadi.

Tetapi Alfons juga memahami bahwa secara teknis, masyarakat lebih menyukai penggunaan nomor telepon (SMS) dibandingkan penggunaan e-mail atau TFA lainnya.