Belajar dari WhatsApp, Sudah Pakai OTP Kok Masih Sering Dibobol Hacker?

(Logo WhatsApp/Unsplash)

Uzone.id -- One-Time Password (OTP) kerap dianggap sebagai metode pengamanan digital yang paling praktis dan berada di kasta tertinggi karena sifatnya yang sekali pakai langsung hangus. Tapi, aplikasi populer seperti WhatsApp yang sudah menerapkan OTP kok masih saja sering terkena kasus pembobolan?

Dari paparan Alfons Tanujaya selaku pakar keamanan siber dari Vaksincom, pada dasarnya tidak ada pakem atau aturan saklek dalam mengamankan kredensial digital. Apakah akun kita harus menggunakan kredensial seperti username dan password lalu diperkuat dengan OTP, atau pilih salah satunya saja, semuanya tidak tercantum di dalam aturan mana-mana.

Namun, menurut Alfons, pengamanan OTP ibaratnya pengamanan terbaik dan menjadi senjata andalan. Dalam teknik pengamanan TFA (Two-Factor Authentication) atau MFA (Multi Factor Authentication) yang lazim yang digunakan adalah pengamanan awal menggunakan kredensial, lalu diperkuat dengan TFA -- dalam hal ini, menambahkan OTP sekali pakai.

“Salah satu aplikasi populer yang langsung menggunakan OTP tanpa kredensial adalah WhatsApp. Saat kita menginstall WhatsApp, secara otomatis kredensial dalam bentuk OTP dikirimkan melalui SMS ke nomor telepon dan tidak bisa diketahui oleh siapapun kecuali pemilik akun,” kata Alfons.

Dia melanjutkan, “meski sudah menggunakan OTP, buktinya masih bisa dieksploitasi dan banyak terjadi pengambilalihan akun WhatsApp.”

Baca juga: Lapisi OTP dengan PIN Bagai Lindungi Tank Pakai Jeep

Alfons mengibaratkan hal tersebut sama seperti pertahanan darat menggunakan tank yang dianggap sebagai pertahanan terbaik karena tidak mempan ditembak peluru konvensional, namun akhirnya menjadi sasaran empuk RPG dan bom molotov karena lamban dan penglihatan yang terbatas.

“Maka pengamanan OTP yang dilakukan WhatsApp bisa dieksploitasi, terutama dengan rekayasa sosial [social engineering] di mana penipu berpura-pura sebagai pihak berwenang yang menghubungi si pemilik akun dengan berbagai macam tipu daya agar bisa mengelabui korban untuk memberikan kode akses tersebut, sehingga akun berpindah tangan,” papar Alfons.

Dari situ, WhatsApp akhirnya menambahkan lapisan pengamanan baru, yakni PIN 6 angka yang disebut sebagai Two-Step Verification. Berbeda dengan TFA konvensional di mana OTP adalah lapisan pengamanan kedua yang mengamankan kredensial, Two-Step Verification pada WhatsApp adalah PIN yang mengamankan OTP.

Jadi, secara teknis jika kebetulan ponsel pengguna sudah terjangkit trojan atau keylogger (program mata-mata), maka PIN bisa akan diketahui. Trojan atau keylogger ini bisa disebar dalam berbagai cara, seperti diselipkan saat kita menonton film streaming gratisan dan pop-up iklan.

Bahaya keylogger ini dapat merekam semua aktivitas pengguna, mulai dari situs yang kita kunjungi, apa saja yang diketikan pada keyboard, sampai kemungkinan mengaktifkan kamera dan mikrofon ponsel.

Dengan kata lain, mau serumit apapun kata kunci yang kita bikin, saat kita mengetikkan PIN atau password tersebut tetap dapat diketahui.

“Lucunya, metode yang dipakai WhatsApp ternyata diadopsi oleh penyedia sistem pembayaran online di Indonesia. Alasannya mungkin karena dianggap sebagai panutan dalam menerapkan pengamanan,” imbuh Alfons.

Apa yang harus dilakukan agar tetap aman?
Kendati PIN dianggap sebagai kasta terendah dari penerapan keamanan ketimbang OTP, Alfons tetap membagikan beberapa tips agar penggunaan PIN tetap bisa terlindungi dan aman.

Yang jelas, Alfons mengingatkan, hindari penggunaan PIN yang berulang-ulang untuk transaksi seperti PIN mobile banking, kartu kredit, e-wallet, dan internet banking yang lebih rentan bocor dan mudah disadap.

Baca juga: Tips Cegah Penipuan dan Peretasan OTP, Catat Ya!

“Ada baiknya pertimbangkan untuk memiliki minimal dua jenis PIN. pertama, PIN yang jarang dipakai, tapi sifatnya strategis dan digunakan untuk melindungi akun penting seperti Two-Step Verification pada WhatsApp dan PIN khusus untuk melindungi SIM Swap seperti yang diterapkan oleh Verizon,” kata Alfons.

Lalu jenis PIN kedua adalah PIN yang sering dipakai seperti PIN tarik tunai ATM, e-wallet, mobile banking, dan internet banking.

Menurut Alfons, jika penyedia layanan seluler mengimplementasi PIN untuk pengamanan SIM Swap, pemerintah tidak perlu mengeluarkan banyak usaha dan biaya penerapan pengamanan biometrik yang dikenal butuh anggaran besar -- sementara pada kenyataannya, jika tidak disimpan dan diamankan dengan baik, malah menjadi sumber kebocoran data baru seperti kasus database e-KTP.

“Pertimbangkan untuk membedakan PIN transaksi yang sering digunakan dengan PIN berupa password untuk meminimalisir risiko. Jika ada layanan yang kalian tidak yakin soal keamanannya, bisa diminimalisir risikonya dengan menyimpan dana terbatas saja, sehingga kalian tetap bisa menikmati layanan yang disediakan, tapi risiko finansial yang diderita akan dapat dibatasi jika ada peretasan,” tutup Alfons.