BSSN dan Pakar IT Ungkap Lima Cara Penipu Dapatkan Kode OTP
Kepolisian menerima 649 laporan terkait penipuan online per bulan ini, termasuk pencurian kode verifikasi atau One Time Password (OTP). Setidaknya ada lima modus pelaku untuk mendapatkan kode ini.
Badan Siber dan Sandi Negara (BSSN) mencatat, ada empat modus yang biasa digunakan oleh penipu untuk mendapatkan kode OTP. Kode ini dibutuhkan untuk menguasai berbagai akun korban seperti rekening bank hingga e-commerce.
Pertama, menyadap global system for mobile communications (GSM) pada gawai, WiFi maupun protokol sinyal SS7. Kedua, mengirimkan perangkat lunak (software) jahat seperti malware dan trojan ke gadget korban.
"Kode OTP bisa dicuri, karena korban mengunduh aplikasi atau file yang memuat malware," kata Kasubdit Identifikasi Kerentanan dan Penilaian Risiko Infrastruktur Informasi Kritikal Nasional III BSSN Sigit Kurniawan saat konferensi virtual, Kamis (24/9).
BSSN mencatat, ada 189,9 juta serangan siber selama Januari hingga Agustus. Jumlahnya melonjak dibandingkan tahun lalu yang hanya 39,3 juta.
Penggunaan trojan merupakan yang terbanyak. Disusul serangan berupa aktivitas pengumpulan informasi (information gathering) dan web application attack.
Modus ketiga, berpura-pura menjadi pemilik nomor ponsel dan datang ke gerai operator seluler untuk menggantinya. Kasus ini sempat menimpa wartawan senior Ilham Bintang pada Januari lalu.
Penipu yang mengaku sebagai Ilham, datang ke gerai operator telekomunikasi untuk mengganti nomor ponsel. Padahal wartawan itu sedang berlibur di Australia.
Setelah mendapatkan nomornya, penipu menggasak rekening milik Ilham.
Keempat, mengelabui korban atau dikenal dengan istilah phishing. "Biasanya penipu berpura-pura menjadi petugas pusat informasi, menelepon calon korban untuk mendapatkan data pribadinya,” ujar dia.
Upaya phishing sempat dialami oleh selebritas Maia Estianty. Maia tidak memberikan kode OTP. Namun peretas (hacker) menggunakan fitur pengalihan panggilan (call forward) yang sekaligus mengaktifkan SMS forward.
Oleh karena itu, pelaku menerima semua SMS yang masuk ke ponsel Maia, termasuk kode OTP. Penipu masuk ke akun GoPay dan Tokopedia milik Maia, dan mencoba untuk membeli ponsel Rp 18 juta menggunakan kartu kredit.
Selain keempat modus itu, Chief Digital Forensic DFI Ruby Alamsyah mengungkapkan satu cara lain untuk mendapatkan OTP. Caranya, menyebarkan pesan ke banyak nomor secara acak atau SMS blasting.
Penipu terlebih dahulu mengambil data pribadi seperti nomor ponsel calon korban. Lalu melakukan SMS blasting.
Kemudian pelaku berupaya mengelabui penerima pesan yang merespons. “Datanya bisa dibeli di dark web atau menebak nomornya," ujar Ruby.
Aksi penipuan yang mengincar kode OTP memang diprediksi marak tahun ini. Kepolisian bahkan mencatat, ada 2.259 laporan terkait kejahatan siber per bulan ini.
Penipuan online menempati urutan kedua terbanyak untuk kategori kejahatan siber. Modusnya pun semakin kreatif.
Associate Director Technology Delivery Lead Accenture Indonesia Ferry Wiria menilai, penipuan online cukup sulit dicegah. "Ketika ada interaksi baik melalui telepon atau WhatsApp dari perusahaan, kita tidak tahu itu benar atau tidak," kata kepada Katadata.co.id.
Salah satu cara untuk mencegah penipuan yakni menggunakan surat elektronik atau email. Sebab, pengiriman pesan akan lebih mudah dikenali lewat domain.
Selain itu, bisa menerapkan otentikasi multi faktor (multi-factor authentication). Teknologi yang bisa digunakan untuk mencegah pencurian data, yakni yang berbasis data biometrik seperti sidik jari dan retina mata.
Sedangkan interaksi melalui ponsel baik telepon atau SMS kode OTP, lebih sulit untuk mendeteksi pelaku. "Apalagi modusnya rekayasa sosial (social engineering) dengan membuat psikologis sasaran menjadi panik, lalu meminta transfer uang," ujar dia.
Modus itu banyak digunakan pelaku, karena biasanya perusahaan melindungi data pengguna secara ketat. Beberapa korporasi bahkan mengimplementasikan teknologi untuk mendeteksi ada tidaknya penjualan informasi pribadi konsumen kepada pihak lain.
Oleh karena itu, rekayasa sosial lebih banyak dipilih penipu.
