Bagaimana jika one-time password yang bersifat mengamankan, justru berpotensi menjadi bumerang? Jika tidak berhati-hati, siapa saja dapat terkena penipuan kode OTP dan kehilangan data maupun rekening.
Sebenarnya, tujuan OTP atau one-time password adalah memberi keamanan. Cybersecurity menjadi lebih ketat, sehingga membuat banyak orang yang beralih ke digital. Sayangnya, ini malah dimanfaatkan untuk kejahatan siber.
Alih-alih menyerang server layanan digital secara langsung, peretas justru mencoba mengambil OTP yang dimiliki pelanggan. Seperti apa modusnya, dan bagaimana cara mencegahnya? Simak pembahasanya melalui artikel ini.
Kenali Modus Penipuan Kode OTP
Modus penipuan kode OTP dapat berawal dari kelemahan pada mekanisme OTP, dan kelalaian penggunanya sendiri. One-time password yang bersifat rahasia, malah diberitahukan kepada pihak lain.
Namun, bagaimana bisa pelaku menyakinkan korban untuk memberitahu kode OTP? Caranya yaitu dengan social engineering (rekayasa sosial). Berikut skenario bagaimana pelaku melakukan penipuan tersebut:
- Sebelum menghubungi korban, pelaku membutuhkan informasi terkait akun korban, lalu mencoba login untuk mengganti password. Untuk konfirmasi, layanan digital mengirimkan kode OTP ke korban.
- Pelaku lalu berpura-pura sebagai pihak resmi yang korban sedang gunakan atau berlangganan. Misalnya seperti pihak bank digital, e-commerce, dan layanan digital lainnya.
- Pelaku memberi iming-iming berupa hadiah atau offer yang menggiurkan. Terkadang, pelaku mendesak korban dengan memakai kata seperti “sebelum kehabisan” atau “penting”.
- Pelaku kemudian akan menggunakan dua cara. Pertama, menyisipkan link dimana korban perlu mengetikkan kode OTP. Kedua, mereka langsung meminta kode OTP yang dimiliki korban.
- Dengan kode OTP ini, Pelaku hanya tinggal mengetikkan kode seperti autentikasi biasa. Pelaku telah mendapat akses akun korban, dan mengambil hadiah atau saldo rekening korban.
Contoh Kasus Penipuan OTP
Modus penipuan kode OTP di atas mungkin terdengar seperti teori. Nyatanya, penipuan seperti ini sudah marak terjadi di berbagai belahan dunia, salah satunya Indonesia.
Adapun contoh penipuan OTP sudah dirasakan oleh salah satu warga Bali pada tahun 2022. Dilansir dari situs Kumparan, saldo korban sebesar 798 juta telah raup akibat penipuan ini.
Awalnya, pelaku menghubungi korban melalui WhatsApp pada tanggal 2 Januari 2022. Pelaku mengaku bahwa korban mendapat hadiah undian dari bank, dan untuk menerimanya, korban perlu memberitahu kode OTP.
Tak lama kemudian, korban mendapat notifikasi bahwa ada saldo yang ditransfer ke dua rekening berbeda. Korban mencoba menghubungi nomor pelaku yang ternyata sudah tidak aktif.
Meski salah satu pelaku tertangkap, kasus ini membuktikan bahwa penipuan memakai OTP cukup ampuh. Tersangka kasus tersebut bahkan mengaku sudah lama melakukan penipuan ini sejak tahun 2019.
7 Cara Menghindari Penipuan OTP
Karena OTP sepenuhnya berada di tangan pemegang akun, maka pemegang akun lah yang bisa menghindari penipuan ini. Simak apa saja cara mengatasi penipuan kode OTP yang bisa dilakukan:
1. Jangan Merespons SMS dari Nomor Tidak Dikenal
Apabila menggunakan SMS sebagai saluran untuk mendapatkan kode OTP, maka cermati nomor pengirimnya. Sebaiknya, hindari merespons SMS yang berasal dari nomor yang tidak terdaftar di kontak, atau tidak dikenal.
Pesan dari penyedia layanan digital seperti bank, fintech, dan lainnya, umumnya muncul dengan nama resmi. Ini dikarenakan Sender ID mereka sudah dikonfigurasi, mengikuti nama brand atau perusahaan resmi.
Sementara, pesan yang muncul dalam bentuk nomor tak dikenal, cenderung bukan dari perusahaan yang resmi. Artinya, jika ada nomor tak dikenal yang mengatasnamakan pihak bank atau lainnya, maka sebaiknya hindari.
2. Jika Tidak Melakukan Transaksi, Abaikan SMS-nya
Akan selalu ada SMS yang masuk setiap hari, terutama dari operator sinyal kartu SIM yang dipakai di smartphone tersebut. Lalu, bagaimana kalau tiba-tiba mendapat SMS yang memberi informasi transaksi?
Mudahnya, kalau pemilik akun tidak melakukan transaksi, maka abaikan atau hapus SMS tersebut. Supaya memastikan, pastikan untuk mengecek akun yang dimiliki untuk aktivitas yang berpotensi mencurigakan.
3. Jangan Pernah Kasih Kode OTP ke Siapa Pun
Kode OTP itu bersifat rahasia seperti halnya data pribadi, sehingga seharusnya kode ini tidak diberikan ke siapa pun. Mau itu teman, keluarga, atau orang yang mengaku-ngaku sebagai pihak resmi layanan digital.
Ada alasan yang kuat mengapa kode OTP ini dapat menjadi pengganti password konvensional. Selain bersifat sekali pakai dan tidak bisa ditebak, OTP juga tidak mudah didapatkan selain melalui nomor HP pemilik akun.
Pada contoh kasus di atas, saldo korban lenyap setelah memberikan kode OTP. Maka dari itu, selalu ingat bahwa OTP digunakan hanya untuk diri sendiri, saat hendak melakukan autentikasi akun pribadi.
4. Jangan Mudah Tergiur dengan Iming-Iming Hadiah
Mendapat hadiah secara mendadak memang terdengar menggiurkan, namun kenyataannya, banyak yang mudah terjebak dengan penipuan ini. Bukannya mendapat hadiah, korban justru mendapatkan musibah.
Umumnya, pelaku akan memberi iming-iming yang dibarengi dengan link dan bagaimana cara mengklaimnya. Sebaiknya, jangan mudah tergiur. Segera cari tahu kebenaran mengenai pesan berhadiah ini untuk memastikan.
5. Hindari Pesan, SMS, dan Link yang Mencurigakan
Pesan atau SMS yang datang tiba-tiba tentunya terlihat mencurigakan. Jika pemilik akun sedang tidak menunggu pesan atau SMS, maka jangan panik. Abaikan pesan atau SMS tersebut, atau lakukan beberapa tips berikut:
- Selalu double-check dari pesan maupun link yang didapatkan. Terutama, lihat-lihat kembali nomor pengirim pesan atau SMS. Jika ada link dalam pesan WhatsApp, jangan langsung mengklik tanpa melakukan cek.
- Gunakan situs pengecek untuk memastikan apakah aman. Saat ini, terdapat situs seperti Link Checker atau VirusTotal, dimana pemilik akun dapat mengecek apakah link atau file aman dari malware atau virus lainnya.
- Hindari mengunduh aplikasi atau file sembarangan. Sebaiknya hindari mengunduh link yang dibagikan secara sembarangan, karena berpotensi memiliki malware yang dapat mencuri kode OTP.
6. Segera Ganti Kata Sandi Akun jika Mendapatkan Notifikasi Login
Jika seandainya mendapat notifikasi login—seperti 2-Step Verification pada Google Account misalnya—secara tiba-tiba, maka artinya ada yang mencoba membobol akun tersebut.
Pada kasus Google Account, pemilik akun dapat memilih “Tidak” untuk memblokir percobaan sign-in dari perangkat tak dikenal. Namun, untuk aplikasi yang tidak memiliki opsi tersebut, password akun perlu diubah.
Saat mengganti password baru, usahakan untuk tidak mengikuti pola atau elemen dari password lama. Hal ini karena jika peretas mencoba kembali login, maka kemungkinan besar password masih dapat ditebak.
7. Aktifkan Two-Factor Authentication Jika Tersedia
2FA dapat menjadi benteng yang kuat untuk melindungi akun digital. Kalau peretas berhasil membobol lapisan autentikasi pertama dengan OTP, maka masih ada lapisan autentikasi kedua yang perlu ditembus.
Umumnya, akun rekening digital sudah memiliki fitur 2FA yang dapat diaktifkan, atau sudah otomatis aktif. Untuk aplikasi layanan digital lainnya, aktifkan fitur two-factor authentication jika memang tersedia di dalamnya.
Dengan mengaplikasi macam-macam cara pencegahan penipuan kode OTP ini, aktivitas digital akan menjadi lebih aman. Tidak ada salahnya untuk selalu waspada dengan penipuan-penipuan yang dapat merugikan diri sendiri.
