Siapapun yang sering melakukan transaksi digital pasti familiar dengan OTP. Kode yang dikirimkan baik lewat WhatsApp maupun SMS ini digunakan untuk mendaftar akun, masuk ke akun, atau transaksi.
Saking terbiasanya kita menerima kode OTP, kita jadi mudah percaya dengan semua jenis kode OTP, termasuk yang tidak kita minta. Jika menerima kode OTP tanpa meminta, kamu harus waspada. Jangan-jangan itu adalah upaya phishing!
Bank-bank besar di Singapura telah beralih dari penggunaan OTP menjadi token digital. Monetary Authority of Singapore (MAS) dan Association of Banks in Singapore (ABS) menyatakan peralihan ini bertujuan untuk meningkatkan perlindungan pelanggan terhadap phishing.
Baca juga: Masih Menggunakan PIN dan OTP? Hati-hati Phishing!
Inilah alasan mengapa sudah waktunya kita mewaspadai OTP dan tidak 100% bergantung pada kode tersebut. Artikel ini akan menjelaskan cara kerja OTP, modus penipuan OTP, dan cara menghindarinya.
Definisi dan Cara Kerja OTP
One-Time Password (OTP) adalah kode sandi unik yang hanya dapat digunakan satu kali dalam jangka waktu tertentu. OTP yang terdiri dari kombinasi angka atau huruf dikirim melalui SMS atau WhatsApp. Tujuan OTP adalah memberikan lapisan keamanan tambahan untuk memastikan bahwa hanya pengguna berwenang yang dapat mengakses akun tersebut.
Cara Kerja OTP:
- Permintaan OTP: Saat pengguna mencoba mengakses akun atau melakukan transaksi, sistem akan memicu permintaan untuk mengirimkan OTP kepada pengguna.
- Pengiriman OTP: Sistem menghasilkan kode OTP yang unik dan mengirimkannya melalui saluran komunikasi yang telah ditentukan, seperti SMS, email, atau aplikasi autentikasi.
- Penggunaan OTP: Pengguna menerima kode tersebut dan memasukkannya ke dalam sistem sebagai bagian dari proses verifikasi.
Proses ini memastikan bahwa meskipun seseorang mengetahui kata sandi utama pengguna, mereka tetap memerlukan kode OTP yang dikirimkan ke perangkat atau alamat email pengguna untuk mendapatkan akses.
Modus Penipuan OTP
Meskipun pada awalnya OTP dirancang untuk meningkatkan keamanan, namun perkembangan teknologi membuat penipu juga semakin canggih dalam mengecoh pengguna agar memberikan kode OTP mereka.
Alhasil, OTP malah dapat menjadi pintu masuk penipuan. Berikut beberapa modus penipuan OTP:
1. PhishingPenipu menyamar sebagai perusahaan resmi, misalnya dari bank atau platform e-commerce, lalu meminta pengguna untuk membagikan kode OTP melalui link dengan alasan verifikasi atau keamanan. Link tersebut mengarah ke situs web tiruan yang dibuat oleh penipu.
Baca juga: Waspada Empat Penipuan Transaksi Digital di Indonesia
2. Panggilan Telepon dan Video PalsuPelaku berpura-pura menjadi petugas layanan pelanggan dan meminta kode OTP dengan dalih memverifikasi identitas atau menyelesaikan masalah akun.
3. Pengalihan Panggilan atau SMS (Call/SMS Forwarding)
Pelaku menipu korban untuk mengaktifkan fitur pengalihan panggilan atau SMS ke nomor mereka. Dengan demikian, mereka dapat menerima kode OTP yang seharusnya dikirim ke korban.
4. SIM SwappingIni adalah jenis serangan siber di mana penipu mengambil alih nomor ponsel korban dengan cara mengelabui operator seluler. Penipu meyakinkan operator untuk memindahkan nomor ponsel korban ke kartu SIM yang mereka miliki.
Setelah nomor berhasil dipindahkan, penipu mendapatkan kendali penuh atas komunikasi korban, termasuk pesan SMS. Hal ini memungkinkan mereka untuk mencegat kode OTP (One-Time Password) yang biasanya dikirim untuk login ke akun bank atau layanan penting lainnya. Dengan OTP tersebut, penipu dapat mengakses akun korban dan melakukan transaksi tanpa izin.
5. Malware pada Perangkat
Penipu menginfeksi perangkat pengguna dengan malware yang dapat mencegat atau mencuri kode OTP saat dikirim atau dimasukkan. Malware ini sering kali disusupkan pada aplikasi tidak aman, biasanya aplikasi yang diunduh bukan dari platform resmi.
Contoh Kasus Penipuan OTP
Salah satu kasus penipuan OTP yang sempat mencuri perhatian di Indonesia terjadi pada seorang nasabah bank ternama. Pelaku menghubungi korban melalui telepon dan mengaku sebagai petugas resmi dari bank, menyatakan bahwa akun korban terindikasi aktivitas mencurigakan.
Dalam percakapan tersebut, pelaku meminta korban untuk memberikan kode OTP yang telah dikirimkan ke nomor ponsel korban sebagai langkah verifikasi untuk "mengamankan" akun. Padahal kode OTP tersebut adalah buatan pelaku. Korban yang panik pun memberikan kode tersebut.
Setelah mendapatkan kode OTP, pelaku berhasil mengakses akun perbankan korban dan melakukan transaksi sebesar puluhan juta rupiah ke rekening yang tidak dikenal. Sayangnya, korban baru menyadari bahwa ini adalah penipuan setelah saldo rekeningnya terkuras habis. Perlu diingat bahwa OTP hanya akan diterima apabila sebelumnya diminta. Jika OTP datang tiba-tiba padahal kamu tidak melakukan transaksi apapun, besar kemungkinan itu adalah penipuan.
Cara Menghindari Penipuan OTP
Menghindari penipuan OTP adalah kolaborasi perusahaan dan pengguna. Berikut langkah-langkah yang harus dilakukan kedua belah pihak:
1. Jaga Kerahasiaan Kode OTP
Pengguna jangan pernah membagikan kode OTP kepada siapa pun, termasuk pihak yang mengaku sebagai petugas resmi. Apalagi jika sebelumnya pengguna tidak meminta transaksi apapun. Ingat, layanan resmi tidak akan meminta Anda untuk memberikan kode OTP.
2. Waspadai Pesan dan Panggilan Mencurigakan
Hati-hati terhadap pesan atau panggilan yang meminta informasi pribadi atau kode OTP. Selalu verifikasi keaslian permintaan tersebut dengan menghubungi layanan pelanggan resmi.
3. Periksa URL dan Aplikasi
Jika sudah telanjur membuka url yang ada di dalam pesan berisi OTP, jangan langsung memasukkan kode OTP. Periksa URL terlebih dahulu. Untuk mencegah diarahkan ke dalam situs web palsu, hindari mengunduh aplikasi dari sumber yang tidak terpercaya.
4. Pakai Otentikasi 2 Faktor
Mengingat OTP sudah tidak lagi aman, waktunya menggunakan otentikasi 2 faktor. Otentikasi ini menggabungkan dua lapisan verifikasi untuk memastikan hanya pengguna yang sah yang dapat mengakses akun. Gunakan otentikasi berbasis perangkat dan otentikasi biometrik yang memastikan bahwa akun hanya dapat diakses dari perangkat pengguna yang telah diotentikasi, serta otentikasi biometrik untuk memverifikasi identitas pengguna.
Gunakan Otentikasi Anti Phishing
Solusi User Authentication dari VIDA dirancang untuk menghadapi ancaman yang semakin meningkat, seperti phishing dan social engineering. Metode otentikasi ini dapat menggantikan kode OTP yang tak lagi aman. VIDA menawarkan otentikasi anti phishing yang terdiri dari 2 kombinasi yakni otentikasi berbasis perangkat (VIDA PhoneToken) dan otentikasi biometrik (VIDA FaceToken).
1. VIDA PhoneToken
VIDA PhoneToken menggunakan otentikasi berbasis perangkat dengan teknologi Public Key Infrastructure (PKI) dan verifikasi biometrik langsung di perangkat pengguna. Dengan menghubungkan identitas pengguna ke perangkat mereka, solusi ini menghilangkan kebutuhan akan OTP, sehingga sangat efektif melawan serangan phishing.
2. VIDA FaceToken
Sebaliknya, VIDA FaceToken mengintegrasikan face liveness detection, face matching, dan otentikasi perangkat dalam satu langkah singkat. Teknologi ini memastikan hanya pengguna asli yang dapat melakukan otentikasi sehingga melindungi akun dari serangan deepfake injection.
OTP pernah menjadi otentikasi 2 faktor yang aman. Sayangnya, kini OTP justru dimanfaatkan penipu untuk melakukan phishing dan social engineering. Sudah waktunya beralih ke otentikasi yang lebih aman yaitu biometrik. Dengan otentikasi biometrik, kamu cukup menggunakan wajahmu yang memuat identitasmu dan telah terintegrasi dengan perangkatmu.
Masih menggunakan OTP? Hati-hati malah jadi celah penipuan.
