Mengenal OTP, Kode Rahasia yang Jadi Incaran Peretas

CNN Indonesia | Rabu, 20/11/2019 09:37 WIB
Mengenal OTP, Kode Rahasia yang Jadi Incaran Peretas Ilustrasi (CNN Indonesia/Jonathan Patrick)
Jakarta, CNN Indonesia -- Penggunaan kode one-time password atau OTP (password sekali pakai) lewat SMS belakangan kian marak. Kode ini jamak digunakan berbagai platform pembayaran digital seperti Gojek, Grab, hingga media sosial, seperti Facebook atau Instagram.

Kode ini menjadi kunci pengaman kedua dari platform pembayaran dan media sosial ini. Sebab, kode ini menjadi pengaman jika password akun pengguna dibobol peretas. Ini adalah kode yang jadi pertahanan terakhir agar akun Anda tak diambil alih peretas. Sehingga tak heran, kode ini kerap diincar peretas.

Sehingga, tak heran kasus pembobolan layanan pembayaran digital hingga kartu kredit kerap dilakukan dengan meminta pengguna memberikan kode ini. Pelaku biasanya menghubungi pengguna melalui sambungan telepon dan mengatasnamakan platform yang digunakan, sehingga korban langsung percaya.

Misal, pengguna menggunakan layanan pembayaran Gopay milik Gojek. Maka, peretas biasanya akan menelepon pengguna dan mengaku sebagai pihak Gojek untuk meminta kode tersebut. Ini adalah modus penipuan yang kerap terjadi.


Menanggapi hal ini, pengamat keamanan siber dari Vaksin.com, Alfons Tunajaya tidak menyarankan menyerahkan kode OTP ke siapapun. Sebab, menurutnya memberikan kode OTP kepada pihak ketiga sama saja dengan menyerahkan akun Gopay kepada orang lain.

Menurut Alfons, pengamanan menggunakan kode OTP yang dikirim lewat SMS merupakan modifikasi terbaru. Model pengamanan autentikasi dua faktor seperti ini sebelumnya pernah dilakukan menggunakan token. Token adalah alat kecil yang memproduksi kode autentikasi. Cara kedua menggunakan Google Authenticator.

"Tetapi dua-duanya jauh lebih repot dan ribet dibandingkan OTP SMS karena itu perlu penyempurnaan proses saja," tuturnya saat dihubungi CNNIndonesia.com, Selasa (18/11).

Mengirim kode OTP lewat SMS dianggap lebih praktis ketimbang mesti menyediakan token khusus atau lewat Google Authenticator.

Alfons pun mengingatkan agar pengguna mengamankan nomor telepon yang kerap digunakan untuk mengirimkan kode-kode OTP itu.

Ia pun meminta mengimbau pengguna untuk tidak mudah berganti nomor telepon karena verifikasi OTP dikirimkan ke nomor telepon pengguna. Setidaknya, sebelum berganti nomor telepon sebaiknya nomor yang digunakan untuk verifikasi OTP segera diganti. Terutama pada akun-akun yang bisa digunakan untuk pembayaran finansial. Mulai dari akun perbankan, dompet digital, hingga e-commerce.

Pasalnya, jika nomor yang pernah Anda gunakan digunakan oleh pengguna baru, akun-akun finansial itu bisa diambil alih dan dikuras isinya. Sebab, persetujuan transaksi bisa dilakukan oleh pemiliki nomor telepon yang baru.


Selain itu, pengguna juga diimbau untuk memasang dengan baik password perangkat ponsel dan aplikasi finansial yang digunakan.

"Gunakan fingerprint atau pengamanan lain yang sudah terbukti kemanannya, untuk membatasi akses dari orang yang tidak bertanggungjawab," terang Alfons.

Harus Ada Penyempurnaan Kode OTP

Untuk penyedia aplikasi, Alfons mengatakan mesti menyempurnakan kode OTP yang diberikan kepada para pengguna. Salah satunya dengan menentukan masa tenggang saldo akun (freeze period).

Artinya, jika terjadi proses perpindahan akun, saldo yang ada tidak langsung dapat dipakai melainkan harus menunggu masa tenggang terlebih dahulu.

[Gambas:Video CNN]


"Hal ini akan memberikan waktu yang cukup bagi korban ketika melaporkan kehilangan akun. Penipu juga menjadi malas jika hasil kejahatannya tertahan atau malah gagal meski sudah berhasil mengambil alih akun," jelas Alfons.

Selain itu, pengiriman kode OTP melalui SMS sebaiknya diawali dengan konfirmasi terlebih dahulu apakah benar mau memindahkan akun. Misalnya, mesti dibalas dengan "Ya" atau "Setuju".

Lebih lanjut kata Alfons, ketika pengguna hendak mengakses akun lama mereka, perlu dikombinasikan dengan memasukkan data tambahan seperti nama lengkap, nomor KTP atau alamat email yang digunakan saat mendaftarkan akun. (din/eks)