Evolusi Perbankan Digital: Yang Aman (Mungkin) Tidak Nyaman

Alfons Tanujaya

Praktisi sekuriti komputer sejak tahun 2000. Pengamat finansial, pengusaha dan mantan bankir. Dosen tidak tetap di Prasetiya Mulya Business School.

social media, closeup of hands holding smartphone in cafe, banking online, businessman with mobile internet — Foto: Getty Images/iStockphoto/anyaberkut

Jakarta -

Pada awal layanan internet banking diluncurkan, pengamanan yang dilakukan hanya mengandalkan USER ID, PIN dan Password (PIPa), yang dalam jangka pendek hal ini bisa mengamankan akun internet banking tersebut.

Namun seiring dengan perkembangan ancaman dimana adanya trojan dan keylogger yang bisa mencuri ketukan keyboard, maka pengamanan PIPa ini menjadi tidak terjamin. Industri finansial akhirnya mendapatkan pengamanan yang optimal dan berhasil mengalahkan ancaman keylogger. Pahlawannya adalah OTP One Time Password (password sekali pakai) yang merupakan bagian dari sistem TFA Two Factor Authentication (pengamanan dua faktor).

Jadi sekalipun keylogger sudah berhasil mencuri PIPa, namun pelaku kriminal tidak akan bisa melakukan transaksi karena akan diminta OTP yang hanya dikirimkan ke perangkat pemilik akun. Kanal komunikasi yang dimanfaatkan adalah token, email, SMS, USSD atau WhatsApp.

Sampai saat ini pengamanan TFA/OTP menjadi andalan industri finansial mengamankan transaksi seperti yang digunakan oleh Visa dan Mastercard untuk verifikasi transaksi memanfaatkan jalur USSD dan SMS setiap kali pemilik kartu melakukan transaksi belanja daring.

Kalangan perbankan juga memanfaatkan OTP dimana penggunaan Token / kalkulator PIN menjadi standar emas atau perlindungan wajib untuk mengamankan transaksi internet banking perbankan yang nominal transaksinya cukup besar mencapai ratusan juta setiap kali transaksi.

Pernah ada usaha untuk mengeksploitasi pengamanan OTP yang diproteksi dengan token ini dengan aksi phishing yang memalsukan situs perbankan yang diincar dan secara realtime mengelabui korban pengakses internet banking ini memasukkan datanya ke situs palsu dimana data yang dimasukkan kemudian langsung digunakan untuk melakukan transaksi di situs bank yang asli untuk mencuri dananya.

Namun hal ini secara efektif dapat dihentikan karena bank kemudian melakukan pengamanan tambahan OTP yang mengikat nomor rekening tujuan transfer sehingga tidak mungkin menggunakan OTP tersebut untuk melakukan transfer ke rekening lain.

Kondisi ideal ini sudah berjalan cukup lama sampai datangnya ancaman dari e-wallet dan bank digital yang berlomba-lomba memberikan produk yang lebih mudah, lebih cepat dan praktis bagi penggunanya.

Sebenarnya produk e-wallet berbeda dengan produk bank konvensional dimana pendekatan produk e-wallet lebih mengutamakan kemudahan dan kenyamanan, sedangkan bank konvensional, yang diikat dan diawasi oleh lembaga pengawas perbankan ketat, harus mengutamakan keamanan di atas kemudahan dan kenyamanan.