Soal Penipuan Gopay: Jangan Beri Kode OTP ke Siapapun

Eka Santhika, CNN Indonesia | Selasa, 12/12/2017 07:57 WIB
Soal Penipuan Gopay: Jangan Beri Kode OTP ke Siapapun Penipuan Gopay dinilai merupakan celah yang dibuat oleh pengguna sendiri karena telah membarikan kode OTP mereka (dok. CNN Indonesia/Safir Makki)
Jakarta, CNN Indonesia -- Pengamat menilai bahwa kode OTP adalah kunci dari kasus penipuan Gopay yang melanda sejumlah pengguna Gojek. Menurut pakar keamanan siber sekaligus pendiri Vaksin.com, Alfons Tanujaya, menyebut bahwa kode one time password (OTP) mestinya hanya boleh diketahui dan digunakan oleh pengguna sendiri.

"Password OTP yang memang seharusnya tidak boleh diberikan kepada siapapun," tuturnya saat dihubungi oleh CNNIndonesia.com melalui pesan teks, Senin (11/12).

Sebab, kode OTP ini menjadi kunci bagi orang lain untuk masuk ke akun pengguna.


"Jangankan (OTP) SMS. Mau pakai token internet banking juga, kalau ditelepon, lalu yang menerima telepon memberitahukan (kode token atau) OTPnya, yah sama saja bohong," ujarnya lagi.

Soal Penipuan Gopay: Jangan Beri Kode OTP ke SiapapunGojek hanya meminta nomor telepon atau email saat pengguna login. Password lantas dikirim lewat SMS menggunakan OTP. Saat OTP dikirim, Gojek telah memberi peringatan agar pengguna tak memberikannya kepada siapapun (dok. Istimewa)
Berdasarkan pengamatan CNNIndonesia.com, aplikasi Gojek saat ini memang hanya meminta nomor ponsel atau email pengguna untuk login. Sementara password untuk masuk ke akun, hanya mengandalkan kode OTP tersebut.

Saat kode OTP dikirim, Gojek pun telah memberi peringatan agar pengguna tidak memberikan kode ini kepada siapapun.

Teknik rekayasa sosial

Alfons lantas menyebutkan bahwa kasus penipuan gopay ini menggunakan teknik rekayasa sosial. Teknik ini salah satunya digunakan untuk menjebak pengguna dengan menipu lewat iming-iming hadiah dan lantas meminta korban memberikan password mereka sendiri.

"Cara yang digunakan oleh penipu [...] memanfaatkan rekayasa sosial dan tidak ada canggih-canggihnya," jelas Alfons.

Sebab, menurut Alfons sepanjang pengguna tidak memberikan kredensial berupa kode OTP itu, penipu tak bisa masuk ke akun mereka dan menyedot saldo Gopay yang dimiliki.

Terkait kemungkinan adanya kebocoran data pengguna, Alfons menyebut sebenarnya hal itu tak menjadi masalah sepanjang pengguna tidak memberikan kode OTP mereka.

"Kalau dia berusaha masuk dari perangkat lain, sepanjang tidak diapprove (memberikan kode OTP) tidak akan bisa masuk.
Poinnya adalah user-nya approve," tandasnya.

Sebelumnya, pengamat keamanan dari Lembaga Riset Keamanan Siber dan Komunikasi (CISSRec) menilai kalau sistem keamanan Gopay tidak buruk dan pengamanan menggunakan kode OTP sudah baik.

Gojek sendiri memberitahukan kepada pengguna lewat akun Twitternya agar tidak memberikan kode OTP kepada pihak ketiga.

(eks/eks)