tirto.id - Beberapa tahun lalu, Zulkifli Songyanan, seorang mahasiswa manajemen pemasaran pariwisata, mendapat telepon dari nomor tak dikenal. “Pak, kami dari kepolisian,” ujar si penelepon gelap. “Anak Bapak kami tangkap karena terbukti menggunakan narkoba.”
Dengan nada yang digawat-gawatkan, Zulkifli bertanya, “Si Randi, Pak?”
“Betul, si Randi,” kata penelepon.
Dengan jaminan kebebasan sang anak, penelepon minta uang tebusan dikirim ke rekening tertentu.
Zulkifli, yang tak punya pasangan apa lagi anak, terus meladeninya bicara dengan maksud memperdaya balik. “Kenapa tidak ditangkap dari dulu, Pak?” tanyanya. “Biar saja dipenjara, memang anak itu meresahkan.” Akhirnya, si penelepon asing memaki-maki dan memutus sambungan.
Modus penipuan via telepon memang marak. Selain berpura-pura membebaskan sanak-saudara dari cengkeraman pihak berwajib, modus populer lainnya adalah mengiming-imingi calon korban dengan aneka hadiah fantastis: mulai dari uang jutaan rupiah, voucher, atau paket liburan.
Saat ini, seiring berkembanganya sistem keamanan dunia siber, modus penipuan pun berkembang pula, salah satunya dengan meminta kode One Time Password (OTP) atau kode verifikasi.
Tak sekali-dua para pelaku scam menelepon calon korban dan menawarkan hadiah uang dengan syarat korban mengirimkan kode pin atau OTP yang diperolehnya lewat sms. Begitu OTP terkirim, pelaku mendapat akses seluas-luasnya terhadap akun korban dan menggasak rekeningnya.
Dalam kasus-kasus demikian, pelaku menyerang sisi psikologis calon korban. Pakar keamanan siber Alfons Tanujaya menyebutnya teknik rekayasa sosial. “Memanfaatkan rekayasa sosial tidak ada canggih-canggihnya,” kata Alfons.
Mengingat masa berlakunya yang singkat dan sekali pakai, OTP bukanlah kata sandi yang harus dihafal. Instrumen verifikasi ini dihasilkan secara otomatis dan langsung dikirimkan sistem melalui SMS kepada Anda.
“Mungkin dikirim ke ponsel sebagai pesan teks SMS; mungkin juga dihasilkan oleh aplikasi yang berjalan di ponsel Anda atau oleh gawai khusus yang disebut token keamanan; bahkan sangat mungkin dicetak dan dikirimkan kepada Anda di atas kertas. Itu cara lawas yang baik,” ujar Chris Woodford, seorang penulis teknologi.
OTP atau kode verifikasi lumrah dikirimkan via SMS dalam tiga situasi. Pertama, pengguna mencoba masuk/log in ke akun miliknya; kedua, pengguna mengganti atau me-reset PIN/sandi miliknya; terakhir, pengguna mengubah nomor telepon atau emailnya—keduanya berfungsi sebagai username.
Bila tiba-tiba Anda menerima pesan OTP, padahal tak sedang melakukan satu dari tiga kegiatan di atas, jelas, seseorang tengah mengincar akun Anda.
Modus dan Penangkal
Apa yang disasar pelaku? Terang saja saldo yang ada dalam akun-akun korban. Bagaimana pelaku bisa mengakses akun siber korban? Paling sedikit ada dua kemungkinan: pelaku asal-asalan memasukkan nomor telepon tertentu atau pelaku mendapatkan data sebagaimana penyedia layanan telemarketing memiliki nomor kontak nasabah kartu kredit.
Terkait penipuan semacam itu, secanggih apa pun sistem keamanan yang tersedia, pengguna harus tetap berperan aktif untuk melindungi diri. Untuk keperluan ini, ada metode tiga langkah yang sederhana dan mudah diingat tetapi efektif menangkal petaka. Pertama, amati semua SMS dan telepon masuk. Kedua, waspadai modus-modus penipuan. Ketiga, segera melapor ke pihak berwenang jika terjadi upaya-upaya pendekatan yang mencurigakan.
Mengingat manusia merupakan elemen terlemah dalam sistem keamanan dunia maya, peringatan untuk tidak memberikan kode OTP penting dilakukan. Merujuk kasus-kasus yang banyak terjadi, pelaku kejahatan OTP biasanya meretas sebuah akun dengan cara login menggunakan nomor ponsel calon korban. Kemudian ia menanyakan (lazimnya lewat telepon) kode OTP yang dikirimkan sistem kepada calon korban melalui SMS dengan berbagai alasan, mulai dari syarat untuk mengambil hadiah undian, meminta bantuan darurat dengan iming-iming imbal jasa, hingga modus salah kirim kode verifikasi.
“Untuk mendapatkan hadiah, langkah berikutnya coba sebutkan kode verifikasi yang kami kirim barusan lewat SMS,” demikian pelaku penipuan OTP biasanya berupaya meyakinkan calon korban. Apabila korban lalai dan memberikan kode verifikasi tersebut, jalan pelaku untuk menguras uang digital atau currency apa pun yang berharga dalam akun korban terbuka seluas-luasnya.
OTP pada dasarnya dikembangkan untuk meningkatkan sistem keamanan dunia siber. Perlindungan keamanan sebelumnya—kata sandi biasa—dianggap mudah diretas. Para pakar teknologi dan pengelola situs biasanya mengingatkan pengguna internet untuk membuat akun dengan sandi yang sukar ditebak. Hanya, semakin banyak akun yang dimiliki, semakin sukar menyiapkan kata sandi rumit yang berbeda-beda. Di titik inilah keberadaan layanan keamanan yang mudah dan praktis semacam OTP—selama Anda tidak memberitahukannya kepada pihak lain, termasuk yang memelas minta tolong sekali pun—menjadi jawaban.
Singkatnya, untuk memaksimalkan fungsi OTP sebagai jawaban atas kebutuhan akan perlindungan keamanan dunia siber, cukuplah kode verifikasi yang dikirim penyedia layanan itu hanya diketahui Anda dan Tuhan.
(JEDA)
Penulis: Tim Media Servis