Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya

Kolom Telematika

Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya

Alfons Tanujaya - detikInet
Kamis, 23 Jan 2020 20:30 WIB
Ilustrasi TFA di smartphone. Foto: Tomohiro Ohsumi/Getty Images
Jakarta -

Tak dapat disangkal, Two Factor Authentication (2FA) sudah menjadi standar pengamanan akun penting dan transaksi finansial. Kunci pengamanan 2FA adalah One Time Password (OTP) atau password sekali pakai berupa angka acak yang akan dikirimkan berdasarkan waktu, dan akan hangus setiap kali digunakan atau telah melewati batas waktu password yang telah ditentukan (biasanya beberapa menit).

OTP ini sangat efektif menangkal aksi keylogger atau trojan yang berusaha mencuri kredensial yang diketikkan ketika mengakses situs atau layanan penting. Prinsip dasar penggunaan TFA-OTP adalah harus ada 2 faktor pengaman yang terpisah.

Pertama adalah apa yang Anda ketahui (what you know), dalam hal ini adalah kredensial seperti username dan password. Kedua adalah apa yang Anda miliki (what you have), dalam hal ini adalah token atau kalkulator PIN yang akan mengeluarkan angka acak OTP sekali pakai.

Jika prinsip ini dijalankan dengan baik dan benar, harusnya pengamanan TFA ini sangat andal dan sulit ditembus. Menurut catatan Vaksincom, satu-satunya cara yang berhasil menembus pengamanan TFA yang dijalankan dengan baik adalah dengan rekayasa sosial di mana korban dikelabui untuk masuk ke situs palsu dan memasukkan OTP yang kemudian digunakan kriminal untuk melakukan transaksi lain.

Teknik ini rumit, membutuhkan timing yang tepat, skill programming web dan tingkat keberhasilan relatif rendah meskipun sempat terjadi beberapa kali di Indonesia. Perkembangan yang terjadi selanjutnya justru memudahkan pelaku kejahatan karena terjadi pelemahan TFA oleh pelaku industri sendiri, di mana TFA atau OTP dianggap sebagai sarana pengamanan akun yang paling aman.

Dan metode TFA-OTP yang paling populer digunakan adalah pengamanan menggunakan jaringan seluler (kartu SIM) via SMS, voice call atau pop up USSD code. Alasannya simpel, jaringan seluler penetrasinya paling tinggi, dan biayanya paling murah dibandingkan menggunakan kalkulator token. Penggunaannya pun mudah, semudah membaca SMS atau pop up USSD.

Padahal secara teknis, keamanan TFA-OTP menggunakan kartu SIM ini lebih lemah dibandingkan dengan kalkulator PIN atau aplikasi otentikasi seperti Google Authenticator. Sebabnya adalah, karena pengiriman OTP melalui kartu SIM ini melibatkan pihak ketiga, jaringan operator dan juga ada kemungkinan penyadapan jika ditemukan celah keamanan dalam jaringan operator.

Celakanya lagi, karena perkembangan teknologi atau alasan praktis, penerapan TFA yang tadinya dengan ketat memisahkan sumber informasi kredensial (username-password) dengan sumber informasi OTP, pelan-pelan menyatu ke dalam satu perangkat, smartphone Anda.

Sebagai gambaran, apa yang terjadi jika Anda lupa password Gmail, Instagram atau dompet digital Anda? Jawabannya adalah mayoritas pengguna akan mendapatkan pengiriman reset password ke SMS.

Jadi, siapapun yang bisa mengakses SMS nomor telepon yang terdaftar akan bisa menguasai semua akun Gmail, Instagram atau dompet digital. Jika Anda adalah kriminal, cara untuk untuk mengakses SMS bisa dengan menyadap jaringan operator, baik dengan mengeksploitasi celah keamanan yang membutuhkan perangkat dan kemampuan teknis yang mumpuni, atau dengan cara mudah mengambil alih kartu SIM korban atau dikenal dengan istilah SIM swap yang tidak membutuhkan modal besar atau teknik canggih.

Modus ini hanya membutuhkan kemampuan mengelabui operator agar memberikan kartu SIM kepada penipu. Secara logis, pelaku potensial SIM swap ini jumlahnya akan sangat banyak dibandingkan dengan teknik lain yang membutuhkan skill dan peralatan khusus seperti penyadapan.

Sehingga hal ini perlu menjadi perhatian penegak hukum. Dan hal ini tidak hanya terjadi di Indonesia, tetapi juga marak terjadi di negara maju di mana akun Twitter milik CEO Twitter Jack Dorsey dihack menggunakan teknik SIM swap pada akhir tahun 2019. Bayangkan betapa malunya dia.

Lalu pertanyaan yang sering timbul, bagaimana SIM Swap ini bisa mengambil alih akun bank dan melakukan transaksi bank? Bukankah untuk mengakses rekening bank membutuhkan kredensial dan SIM swap hanya memberikan akses OTP persetujuan transaksi?

Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya

Jawabannya adalah kepercayaan dan ketergantungan berlebih pada pada jaringan seluler. Pelaku kriminal tinggal melakukan forget password atau username untuk memicu reset password atau pengiriman kredensial yang dilupakan. Jika informasi kredensial dikirimkan ke alamat email, akun email juga dengan mudah dapat diambilalih karena pengiriman password reset email dikirimkan ke SMS atau nomor telepon yang sudah dikuasai. Apalagi kalau dikirimkan melalui SMS, hal ini mempermudah kerja kriminal tidak usah bersusah payah mengambil alih akun email.

*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.

Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya


Simak Video "Tanda SOS dan Kecurigaan Ilham Bintang Sebelum Rekening Terkuras"
[Gambas:Video 20detik]
(rns/rns)