REPUBLIKA.CO.ID, JAKARTA -- Pengguna layanan transaksi elektronik diserukan untuk tak memberikan kata sandi yang berlaku sekali pakai (one-time password, OTP) kepada pihak lain. Berbekal kata sandi tersebut, peretas bisa mengacak-acak akun pengguna untuk keuntungan finansialnya.
Kasus teranyar pembobolan akun terkait OTP melibatkan penyanyi Maia Estianty. Pelaku yang menipu Maia mengatasnamakan ojek daring pada akhir Desember 2019.
Maia melalui media sosial menceritakan bahwa peretas yang menyamar menjadi pengemudi ojek mengambil pesanan layanan pengantaran makanan. Pelaku mengaku mengalami kendala dan meminta Maia mengirim OTP agar bisa menyelesaikan pesanan.
CEO NTT Ltd Indonesia, perusahaan yang bergerak di keamanan siber, Hendra Lesmana, menilai posisi OTP ibarat kunci tambahan untuk mengamankan rumah di dunia nyata. Dengan kata lain, kunci tersebut tak boleh diketahui sembarang orang.
"Perlakukan seperti itu," kata Hendra ketika memberikan pemahaman soal OTP.
OTP merupakan perlindungan ekstra, multifactor authentication, untuk sebuah platform. Hendra menjelaskan, OTP biasanya diberikan melalui SMS atau surel.
Pengguna diminta memasukkan OTP untuk login meski pun sudah memasukkan kata kunci sebagai tambahan keamanan. Umumnya, menurut Hendra, OTP hanya berlaku dalam batas waktu tertentu, misalnya lima menit.
Setelah lewat batas waktu, pengguna bisa meminta OTP yang baru kepada penyelenggara platform. Dalam kasus Maia, dia tidak memberikan OTP yang diminta, namun mengikuti permintaan si penipu untuk mengklik kode berawalan *21*, yang merupakan fitur untuk meneruskan panggilan atau call forward.
Peretas mendapatkan akses ke panggilan dan SMS dari ponsel korban, termasuk kode OTP yang diterima Maia saat penipu akan masuk ke akun ojek daringnya. Saldo GoPay Maia dikuras sang penipu, meski kemudian dipulihkan oleh Gojek.