Perlindungan OTP dan PIN Ibarat Amankan Tank dengan Mobil Jeep

Lalu apa yang akan dilakukan oleh keylogger ini? Ia akan merekam semua aktivitas Anda, situs apa saja yang Anda kunjungi, apa saja yang Anda ketikkan pada keyboard, dan pada beberapa kasus yang jarang mampu, mengaktifkan kamera dan mikrofon.

Jadi, seberapa rumitpun kata kunci yang Anda miliki, ketika Anda ketikkan tetap akan dapat diketahui. Semua akan terekam dengan baik dan dikirimkan kepada peretas yang siap menerima data dan langsung mengambil alih / mengeksploitasi akun Anda.

Karena itulah, praktisi sekuriti menyarankan Anda untuk melindungi semua perangkat digital anda dengan aplikasi antivirus seperti Webroot dengan teknologi Evasion Shield yang dapat mendeteksi aplikasi dan situs yang mengandung Trojan/Keylogger.

Jadi setelah mengetahui adanya program mata-mata yang bisa merekam serumit apapun kata kunci yang Anda miliki, menurut Anda analogi kata kunci sebagai mobil Jeep masih cocok? Atau Anda ingin mengusulkan kategori tambahan, mobil pick up misalnya?

Mengamankan tank dengan Jeep?

Ibarat dalam perang, tidak ada pakem yang harus dituruti dalam mengamankan kredensial. Tidak ada aturan kalau pengamanan akun harus menggunakan kredensial (username dan password) lalu diperkuat dengan OTP.

Hanya saja, pengamanan OTP ibarat pengamanan terbaik dan menjadi senjata andalan. Dan dalam teknik pengamanan two factor authentication (TFA) atau Multi Factor Authentication (MFA), teknik yang lazim digunakan adalah pengamanan awal menggunakan kredensial lalu diperkuat dengan pengamanan TFA yang dalam hal ini adalah menambahkan OTP.

Salah satu aplikasi populer yang langsung menggunakan OTP tanpa kredensial adalah WhatsApp. Ketika Anda menginstal WhatsApp, maka secara otomatis kredensial dalam bentuk OTP dikirimkan ke SMS nomor telepon yang bersangkutan dan tidak akan bisa diketahui oleh siapapun kecuali pemilik akun atau SMS nomor telepon yang bersangkutan.

Meskipun sudah menggunakan OTP yang merupakan pengamanan terbaik, buktinya masih bisa dieksploitasi dan banyak terjadi pengambilalihan akun WhatsApp. Sama halnya pertahanan darat menggunakan tank yang tadinya dianggap sebagai pertahanan terbaik karena tidak mempan di tembak peluru konvensional dan mampu menerabas dan meruntuhkan tembok rumah, namun akhirnya menjadi sasaran empuk RPG karena lamban dan penglihatannya terbatas.

Maka, pengamanan dengan OTP yang dilakukan oleh WhatsApp berhasil dieksploitasi terutama dengan rekayasa sosial di mana penipu berpura-pura sebagai pihak berwenang menghubungi pemilik akun dan dengan berbagai macam alasan yang sangat meyakinkan, berhasil mengelabui korbannya untuk memberikan kode akses atau mengklik tautan verifikasi yang dikirimkan ke SMS pemilik akun sehingga akun menjadi berpindah tangan.

Karena itulah, WhatsApp menambahkan lapisan pengamanan baru yaitu PIN 6 angka yang hanya diketahui oleh pemilik akun WhatsApp dan disebut sebagai TFA. Berbeda dengan TFA konvensional dimana OTP adalah lapisan pengamanan kedua yang mengamankan kredensial, di sini yang terjadi adalah terbalik dimana TFA WhatsApp adalah PIN yang mengamankan OTP.

Jadi secara teknis jika di perangkat tersebut terkandung trojan atau keylogger, maka PIN tersebut akan bisa diketahui. Dan lucunya, metode yang digunakan oleh WhatsApp ternyata diadopsi oleh penyedia sistem pembayaran online di Indonesia.

Apa risikonya, bagaimana kriminal akan berusaha mengeksploitasi sistem ini dan bagaimana implementasi yang ideal? Simak dalam tulisan selanjutnya.

*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.