Layanan berbasis online semakin berkembang di Indonesia. Pelaku kejahatan melihat hal ini sebagai peluang. Selebritas seperti Aura Kasih dan Maia Estianty pun menjadi korban para peretas (hacker).
Akun Gojek Maia dan Aura Kasih diretas hingga saldo GoPay-nya habis dikuras pelaku. Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya pun membagikan empat tips supaya pengguna terhindar dari kasus serupa.
Terkait tindak kejahatan yang menimpa Maia, pelaku menggunakan fitur pengalihan panggilan (call forward) untuk mengakses ponsel korban. Karena itu, tips pertama yakni pengguna harus curiga ketika dipandu untuk mengaktifkan kode apapun di ponsel.
“Jangan mau mengikuti perintah seperti driver ojek online yang meminta kita memasukkan kode yang tidak diketahui," kata Alfons kepada Katadata.co.id, hari ini (28/12).
Dalam hal yang menimpa Maia, peretas diduga menginstruksikan korban untuk menekan kode USSD Call Forward. Telkomsel misalnya, kodenya *21*nomor tujuan#. Jika korban mengirim kode itu, pelaku bisa mengakses SMS yang masuk ke ponsel.
(Baca: Ahli IT: Bahaya, Peretas Akun Gojek Maia Estianty Pakai Call Forward)
Modus seperti itu lebih berbahaya ketimbang pengguna memberikan kode one time password (OTP). Sebab, pelaku menerima SMS yang masuk ke ponsel korban, sehingga bisa mengakses banyak akun layanan.
Kedua, Alfons mengimbau masyarakat tidak menyimpan data keuangan seperti kartu kredit di akun-akun yang ada di ponsel. Hal ini guna mencegah kerugian materi apabila ponsel berhasil diretas. "Misalnya, simpan data kartu kredit di akun Tokopedia atau Tiket.com, pelaku bisa saja bertransaksi,” kata dia.
Ketiga, segera menghubungi operator. Dalam kasus Maia, istri Irwan Musyri itu langsung menghubungi Telkomsel untuk menonaktifkan fitur call forward. Selebritas itu juga memblokir kartu kreditnya.
Terakhir, tidak memberikan kode OTP kepada siapapun, termasuk oknum yang mengatasnamakan perusahaan. (Baca: Gojek Tanggapi Maia Estianty yang Tertipu Driver & Saldo GoPay Dikuras)
Menurut dia, fitur Call Forward Telkomsel sebenarnya tidak bisa aktif tanpa persetujuan pengguna. Selain itu, sistem keamanan Gojek dan Tokopedia lewat kode OTP juga sudah aman.
Karena itu, Alfons menilai peretas ponsel Maia cukup pintar, karena menggunakan call forward. “Secara teknis sudah aman. Namun, sifat OTP melalui SMS memiliki kelemahan seperti kasus ini,” kata dia. Menurut dia, lebih aman jika kode OTP dalam bentuk digital (digital token), bukan SMS.
SVP Strategic Partnerships DOKU Alison Jap sempat menyampaikan, kode OTP merupakan infrastruktur keamanan yang paling mudah dilakukan dan terpercaya. Di satu sisi, ia memahami bahwa literasi digital masyarakat Indonesia belum begitu baik. Alhasil, banyak yang memberikan kode OTP kepada orang lain.
Infrastruktur lain yang bisa digunakan untuk meningkatkan keamanan layanan dompet digital yakni biometrik. Namun, perusahaan harus mengajukan izin dan bekerja sama dengan Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) Kementerian Dalam Negeri (Kemendagri).
“Datanya sudah ada, tetapi akses ke Dukcapil yang tidak mudah. Apalagi kalau startup-nya skala kecil,” kata dia beberapa waktu lalu. Namun, ia memahami bahwa ketatnya perizinan tersebut mempertimbangkan sisi keamanan data masyarakat.
(Baca: Pasca-Eror Bank Mandiri, LinkAja, OVO, DANA Jamin Saldo Pengguna Aman)