Jakarta -
Pada awal layanan internet banking diluncurkan, pengamanan yang dilakukan hanya mengandalkan USER ID, PIN dan Password (PIPa), yang dalam jangka pendek hal ini bisa mengamankan akun internet banking tersebut.
Namun seiring dengan perkembangan ancaman dimana adanya trojan dan keylogger yang bisa mencuri ketukan keyboard, maka pengamanan PIPa ini menjadi tidak terjamin. Industri finansial akhirnya mendapatkan pengamanan yang optimal dan berhasil mengalahkan ancaman keylogger. Pahlawannya adalah OTP One Time Password (password sekali pakai) yang merupakan bagian dari sistem TFA Two Factor Authentication (pengamanan dua faktor).
Jadi sekalipun keylogger sudah berhasil mencuri PIPa, namun pelaku kriminal tidak akan bisa melakukan transaksi karena akan diminta OTP yang hanya dikirimkan ke perangkat pemilik akun. Kanal komunikasi yang dimanfaatkan adalah token, email, SMS, USSD atau WhatsApp.
SCROLL TO CONTINUE WITH CONTENT
Sampai saat ini pengamanan TFA/OTP menjadi andalan industri finansial mengamankan transaksi seperti yang digunakan oleh Visa dan Mastercard untuk verifikasi transaksi memanfaatkan jalur USSD dan SMS setiap kali pemilik kartu melakukan transaksi belanja daring.
Kalangan perbankan juga memanfaatkan OTP dimana penggunaan Token / kalkulator PIN menjadi standar emas atau perlindungan wajib untuk mengamankan transaksi internet banking perbankan yang nominal transaksinya cukup besar mencapai ratusan juta setiap kali transaksi.
Pernah ada usaha untuk mengeksploitasi pengamanan OTP yang diproteksi dengan token ini dengan aksi phishing yang memalsukan situs perbankan yang diincar dan secara realtime mengelabui korban pengakses internet banking ini memasukkan datanya ke situs palsu dimana data yang dimasukkan kemudian langsung digunakan untuk melakukan transaksi di situs bank yang asli untuk mencuri dananya.
Namun hal ini secara efektif dapat dihentikan karena bank kemudian melakukan pengamanan tambahan OTP yang mengikat nomor rekening tujuan transfer sehingga tidak mungkin menggunakan OTP tersebut untuk melakukan transfer ke rekening lain.
Kondisi ideal ini sudah berjalan cukup lama sampai datangnya ancaman dari e-wallet dan bank digital yang berlomba-lomba memberikan produk yang lebih mudah, lebih cepat dan praktis bagi penggunanya.
Sebenarnya produk e-wallet berbeda dengan produk bank konvensional dimana pendekatan produk e-wallet lebih mengutamakan kemudahan dan kenyamanan, sedangkan bank konvensional, yang diikat dan diawasi oleh lembaga pengawas perbankan ketat, harus mengutamakan keamanan di atas kemudahan dan kenyamanan.
Halaman selanjutnya: Bank digital >>>
Pada awalnya terbentuk dua pasar yang berbeda dan tidak saling beririsan dimana e-wallet karena mengutamakan kemudahan umumnya hanya digunakan untuk transaksi keseharian dalam nominal kecil seperti order transportasi daring, membayar delivery makanan, belanja keseharian dalam nominal kecil dan pengiriman dana dalam jumlah relatif kecil dengan saldo e-wallet rata-rata 2 juta dan maksimal 10 juta dengan prosedur khusus.
Pengamanan transaksi e-wallet hanya berbasiskan PIN dan tidak sampai harus menggunakan kalkulator token untuk persetujuan transaksi. Hal ini dapat dimengerti karena tentu akan cukup merepotkan dan memakan waktu jika harus menerapkan OTP dalam transaksi dengan nominal kecil ini.
Industri perbankan sendiri juga memiliki produk sejenis dan bahkan lebih praktis dari e-wallet dimana hanya menggunakan kartu e-money yang cukup di tap dan bahkan tidak perlu melakukan verifikasi PIN sudah bisa melakukan transaksi dan sangat umum dilakukan untuk membayar transaksi dalam jumlah kecil namun rutin seperti membayar parkir atau tol.
Namun sekali lagi karena mengutamakan kenyamanan dan kemudahan maka pengamanan atas e-money ini sangat lemah dan secara teknis siapapun yang menguasai fisik kartu e-money tersebut akan bisa tap melakukan transaksi menggunakan kartu e-money tersebut. Karena resiko ini maka nominal saldo e-money juga dibatasi maksimal 2 juta rupiah per kartu.
Namun, karena pesatnya penambahan bank digital baru yang mengakibatkan tingginya persaingan dalam memperebutkan pasar pengguna baru khususnya di platform Mobile Banking yang notabene jumlah penggunanya jauh lebih besar dari pengguna Internet Banking.
Perlahan pasar tradisional perbankan yang gemuk ini mulai dilirik oleh bank digital dan produk bank digital yang menyasar pengguna Mobile Banking mulai menyasar nasabah bank konvensional dengan berbagai kemudahan. Hal ini ternyata disadari oleh bank konvensional yang juga berlomba menelurkan produk baru yang tidak kalah mudah dan menariknya demi mempertahankan pangsa pasarnya dan menambah pasar baru dari unbank community.
Sebenarnya proses pematangan dalam pengamanan transaksi Mobile Banking ini cukup terjal dimana salah satu bank swasta nasional KBMI 3 (Kelompok Bank Berdasarkan Modal Inti) yang termasuk pelopor dalam memberikan layanan jasa perbankan digital skala penuh dalam aplikasi Mobile Banking ternyata berhasil mendapatkan tanggapan yang cukup baik dan berhasil memanfaatkan kelebihan internet yang bisa menjangkau lebih banyak nasabah baru tanpa perlu membuka cabang fisik yang banyak sehingga menghemat biaya operasional. Namun, diduga karena mengutamakan kemudahan di atas keamanan, produk ini menjadi sasaran serangan kriminal keuangan.
Berbagai usaha dilakukan oleh lembaga finansial untuk mengamankan perbankan digital dengan senjata utama OTP One Time Password yang terbukti sangat ampuh melindungi Internet Banking.
Namun, ibarat senjata Javelin yang hanya ampuh jika dioperasikan dengan benar oleh prajurit Ukraina yang terlatih dan berhasil menghentikan serangan tank Rusia dengan efektif, pemanfaatan OTP ini juga harus disertai dengan pengertian yang mendalam tentang sistem dan prosedur perbankan dan terkadang harus out of the box jika ingin mendapatkan metode pengamanan Mobile Banking yang tepat dan efektif.
Terlalu ketat mengatur sisdur, nasabah menjadi tidak nyaman dan memilih produk kompetitor. Terlalu longgar mengatur sisdur, maka aksi peretasan akan mudah terjadi dan nasabah akan kehilangan kepercayaan terhadap keamanan layanan perbankan. Sampai tahun 2021 produk Mobile Banking KBMI 3 tersebut masih menjadi sasaran pembobolan dan tercatat nasabah yang mengalami pembobolan lebih dari 500 juta.
Besarnya resiko kerugian aksi peretasan ternyata tidak menyurutkan minat industri perbankan untuk masuk ke pasar Mobile Banking, bank papan atas KBMI 4 perlahan tapi pasti mulai memberikan layanan perbankan digital penuh memanfaatkan kanal digital dan berlomba-lomba masuk ke mobile banking guna mempertahankan pangsa pasar yang ada dan merebut pengguna baru.
Namun, meskipun memiliki limit nominal transaksi yang sangat besar mencapai Rp. 500 juta per hari, pengamanan standar yang diterapkan pada mobile banking oleh mayoritas bank hanya mengandalkan pengamanan PIPa atau kata kunci saja seperti User ID, Password login dan PIN otorisasi transaksi. Berbeda dengan saudaranya Internet Banking yang setiap transaksinya dilindungi dengan OTP yang secara teknis lebih aman.
Apakah ini keputusan yang tepat?
Mungkin anda sudah mengetahui jawabannya.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.
.webp)
