Sign in Subscribe
Penting

Penting! Baca Ini, Setidaknya Sekali di Dalam Hidup Anda

Saya tahu anda sibuk. Maka saya akan menulis singkat saja. Tolong dibaca sampai habis, minimal sekali di dalam hidup anda.

Mawan A. Nugroho

7 min read
Penting! Baca Ini, Setidaknya Sekali di Dalam Hidup Anda
Dengan memahami artikel di bawah ini, anda dapat terhindar dari penipuan dengan modus menanyakan OTP.

Bila terjadi seperti ini:

  1. Seseorang menghubungi anda (melalui telepon atau melalui pesan teks),
  2. Meminta anda menyebutkan angka / kode yang muncul di ponsel.

Maka jangan lakukan, walau pun dia berargumen:

  1. Dia mengaku pegawai bank yang mengabari ada transaksi mencurigakan yang dapat membuat saldo tabungan anda menjadi nol, atau biaya administrasi bulanan akan naik dan dia dapat membantu anda;
  2. Dia mengaku petugas pajak yang mengancam anda dapat masuk penjara karena laporan SPT salah;
  3. Dia mengaku pegawai Taspen yang membutuhkan angka itu agar dana pensiun dapat ditransfer;
  4. Dia mengaku petugas Dukcapil yang mengabarkan NIK anda bermasalah atau menawarkan update data kependudukan, sambil menyebutkan nama lengkap anda, tempat tanggal lahir anda, dan data lain untuk meyakinkan anda bahwa dia adalah benar-benar petugas Dukcapil;
  5. Dia mengaku bendahara kementrian agar tunjangan dapat segera cair;
  6. Dia mengaku Mark Zuckerberg, mengaku Polisi, mengaku Presiden Trump;
  7. Dia mengaku Tuhan semesta alam;
  8. Atau apa pun itu.

Di sela-sela perbincangan, penipu meminta anda mengunduh aplikasi di Google Play dan mulai memandu anda untuk mengisi formulir di aplikasi itu. Dia mungkin berkata, "Sekarang silakan isi PIN. Supaya tidak lupa, pakai saja PIN yang biasa dipakai di ATM."
Atau mungkin bertanya, "Apakah ada SMS masuk? Silakan ketik kode di SMS itu pada formulir yang sedang terlihat."

đź’ˇ
Pokoknya: KODE / ANGKA yang dikirim ke ponsel, JANGAN DISEBUTKAN ke orang yang menghubungi anda, baik secara suara maupun teks (diketik).

Menyebutkan angka yang muncul di ponsel dapat berisiko:

  1. Akun WhatsApp anda dibajak (hacked);
  2. Akun Telegram anda dibajak;
  3. Uang di Bank dikuras habis;
  4. Facebook dihack, Instagram diisi foto-foto orang nungging;
  5. Anda diminta mentransfer uang agar rahasia dari akun yang diretas tidak dibocorkan ke publik.
Patokannya adalah:
JANGAN BERURUSAN BISNIS DENGAN ORANG YANG MENGHUBUNGI TERLEBIH DULU.
Ada ungkapan terkenal yang berbunyi, "Don't talk to strangers".

⚠️ Awas hipnotis.
Jangan sendirian ketika sedang ditelepon. Segera mencari orang lain yang dapat mendampingi anda. Ke penjual pulsa di pinggir jalan raya adalah ide bagus. Mereka biasanya telah kebal terhadap segala jenis penipuan dan hipnotis sehingga mampu menyadarkan anda ketika anda berhasil dipengaruhi.

Kalau anda berpikir bahwa apa yang diucapkan oleh orang itu adalah masuk akal dan anda merasa orang itu bukan penipu, anda tetap tidak boleh menyebutkan OTP. Tidak boleh! Pokoknya tidak boleh. Titik. Tidak ada tapi-tapian. Kalau anda Bambang, eh, bimbang, anda harus datang sendiri ke kantor bank / pajak / Taspen dan bertemu dengan petugas di sana secara tatap muka. Ini satu-satunya cara yang aman. Yang lain tidak aman.

Sangat tidak masuk akal, hil yang mustahal, bila pegawai bank tidak dapat menyelesaikan pekerjaannya sendiri dan meminta anda menyebutkan OTP yang seharusnya tidak boleh diketahui oleh siapa pun kecuali satu orang yaitu anda. Sistem mereka telah canggih. Mereka tidak perlu OTP. Yang perlu OTP hanya anda dan penipu.

BLOK SMS DAN PANGGILAN GSM

Dalam melakukan aksinya, penipu sering menggunakan SMS atau panggilan GSM (panggilan yang memotong pulsa, bukan panggilan WhatsApp yang memakai kuota internet). Saya memblok SMS dan panggilan GSM dari nomor asing yang belum disimpan, karena dari pengalaman, zaman sekarang yang sering dipakai oleh teman-teman saya atau pegawai yang bukan penipu adalah panggilan WhatsApp. Namun demikian, bukan berarti di WhatsApp tidak ada penipu. Tetap harus hati-hati.

AWAS WEB PHISHING

Tidak selamanya penipu menghubungi anda (melalui telepon atau pesan teks). Mereka juga kadang membuat jebakan Badman berupa website Bantuan Sosial atau pemberian hadiah (giveaway). Anda akan menerima tautan yang dikirim oleh nomor WhatsApp / Telegram milik teman anda yang telah dibajak. Bila anda mengklik tautan itu, anda diminta mengisi data misalkan nomor HP. Setelah itu anda diminta mengetik kode yang dikirim ke WhatsApp atau Telegram.

Sekali lagi, ini pun jebakan! Jangan tuliskan kode yang muncul di HP ke website yang sedang dibuka. Sekali anda menuliskan, maka akun WhatsApp / Telegram anda akan dikuasai penipu.

đź’ˇ
Kalau kita ingin akun lebih aman, sebaiknya beralih ke passwordless (sistem autentikasi modern yang tidak memerlukan password), karena password sebenarnya merupakan metode autentikasi kuno yang telah digunakan sejak tahun 1960-an.

REKAYASA SOSIAL

Menurut NCOA dan FBI, para penipu juga sering mengincar orang yang telah berusia lanjut / pensiunan.
Sekedar saran:

  • Sebaiknya orang lanjut usia atau pensiunan tidak menggunakan layanan SMS Banking atau Mobile Banking. Satu-satunya cara mengambil uang dari bank —khusus untuk lansia— adalah melalui mesin ATM atau langsung ke teller. Sudah banyak kasus di mana lansia justru dengan mudah mentransfer uang kepada penipu melalui mobile banking. Ketika diingatkan bahwa mereka sedang tertipu, tidak jarang mereka malah memarahi orang yang mencoba membantu menyadarkan.
  • Untuk keperluan belanja harian menggunakan QRIS, sebaiknya gunakan dompet digital seperti GoPay, OVO, atau Dana. Isi saldo secukupnya saja, misalnya antara Rp1 juta hingga Rp3 juta.
  • Jika memiliki dana lebih, disarankan untuk menggunakan iPhone. Alasannya, penipu sering mengelabui korban agar menginstal malware yang dikirim melalui WhatsApp atau situs web palsu. Sistem Android masih memungkinkan instalasi aplikasi dari luar Play Store, sedangkan iOS (iPhone) secara default hanya mengizinkan instalasi aplikasi dari App Store. Aplikasi di App Store pun diperiksa secara manual oleh tim Apple. Meskipun iPhone tetap bisa dipasangi aplikasi dari luar App Store, prosesnya rumit (misalnya lewat jailbreak), dan hal ini umumnya sulit dilakukan oleh lansia. Penipu pun akan kehabisan kesabaran ketika harus menuntun lansia melakukan jailbreak.

Penipu sering membuat aplikasi Android tapi sangat jarang membuat aplikasi iOS (iPhone). Ini alasannya:

  • Biaya pendaftaran developer di Google Play (Android) sangat murah. Hanya USD 25 dan berlaku seumur hidup. Aplikasi yang diunggah ke Google Play cenderung lebih cepat disetujui dan malah sering kali otomatis. Hanya pada aplikasi yang dicurigai saja yang diperiksa manual. Pengguna Android di Indonesia juga banyak, sekitar 89,49%.
  • Biaya pendaftaran developer di App Store (iOS atau istilah awamnya adalah iPhone) USD 99 pertahun! Setiap aplikasi diperiksa oleh tim manusia. Pengguna iOS di Indonesia hanya 10,41%.

Ini sebabnya, penipuan yang menggunakan aplikasi jahat lebih banyak terjadi di Android dari pada di iOS.

Terakhir, jangan mudah termakan rayuan mendapatkan uang dengan mudah hanya dengan me-like atau mem-follow video di Instagram / Tik-Tok. Awalnya penipu akan memberi tugas mudah, dan benar-benar memberi hadiah misalkan pulsa Rp 20.000. Ini untuk membangun kepercayaan. Setelah itu tugas makin menantang tapi dengan iming-iming hadiah yang lebih besar. Makin lama makin meningkat hadiahnya. Setelah korban benar-benar percaya, penipu akan meminta korban melakukan "upgrade paket keanggotaan". Kadang disebut juga "deposit". Di sinilah aksi penipuannya. Penipu tiba-tiba menghilang, dan nomor WhatsApp tidak dapat dihubungi.

UNTUK PENGEMBANG APLIKASI

Please, saya mohon:

  1. Tinggalkan sistem yang memakai username + password + OTP. OTP pada dasarnya masih sama dengan password, hanya lebih mempersulit proses peretasan, tapi masih dapat diatasi oleh penipu dengan cara merayu korbannya.
  2. Tinggalkan aturan yang mengharuskan pengguna mengganti password tiap 1 bulan sekali, atau password harus sepanjang rangkaian kereta api mudik Lebaran dan harus mengandung angka, simbol, karakter kapital (huruf besar), dan karakter non Kapital (huruf kecil). Ini justru menyulitkan pengguna.

Kombinasi username + password + OTP yang disertai aturan kompleks (seperti pergantian password rutin dan syarat komposisi yang rumit) sering menimbulkan "friction" atau kesulitan bagi pengguna. Penelitian menunjukkan bahwa kebijakan ini bisa kontraproduktif:

  • Pergantian password paksa sering mendorong pengguna membuat password yang mudah ditebak atau menuliskannya di kertas, di laptop, atau malah di penyimpanan daring. Pergantian password juga memperbesar peluang kejadian lupa password.
  • Password kompleks sulit diingat, sehingga pengguna sering menggunakan pola yang sama atau menyimpannya dengan cara tidak aman.
đź’ˇ
Sebaiknya gunakan Passwordless misalkan secure keys, biometrik, atau WebAuthn. Passwordless lebih kuat dari pada kombinasi username + password + OTP.

Penipu dapat merayu korbannya agar menyebutkan OTP yang terlihat di ponsel, tapi bila sistem anda memakai secure keys atau biometrik, pengguna akan bingung bagaimana cara mengirimkan UbiKey, sidik jarinya, atau wajahnya ke si penipu?

Memang tidak semua pengguna telah siap dengan metode autentikasi passwordless. Jadi solusinya adalah:

  1. Untuk pengguna yang belum siap dengan passwordless, gunakan 2FA misalkan OTP/TOTP. Tapi dorong terus agar pengguna beralih memakai passwordless;
  2. Untuk pengguna yang telah siap dengan passwordless, maka matikan fitur masuk ke sistem memakai username + password. Artinya, begitu pengguna telah mengaktifkan passwordless, maka jangan izinkan pengguna masuk memakai username + password. Bila ada masalah dengan passwordless-nya, silakan datang ke kantor atau ikuti prosedur pemulihan akun.
    Contoh yang telah menerapkan cara ini adalah Microsoft Account. Pengguna dapat memilih untuk menghapus cara login memakai password sehingga satu-satunya cara login adalah memakai passwordless.

Semoga tulisan singkat ini berguna bagi kita semua, karena sampai hari ini pun saya masih menemui teman-teman saya atau orang lain yang akunnya dibajak. Kita (para programmer komputer) tidak dapat cuci tangan dan menimpakan semua kesalahan itu kepada pengguna. Mereka orang awam, kurang paham keamanan komputer. Kitalah yang wajib membimbing mereka ke "tempat" yang lebih aman. Keamanan tidak selamanya berbanding lurus dengan kerumitan.

Sila bagikan URL artikel ini ke saudara dan teman-teman anda. Satu-satunya hal yang diperlukan agar kejahatan menang adalah orang-orang baik tidak melakukan apa-apa.

Catatan:

  • Sidik jari dan pengenalan wajah adalah metode biometrik, sementara UbiKey adalah contoh physical secure key, dan WebAuthn adalah standar protokol yang memungkinkan keduanya digunakan sebagai bentuk implementasi passwordless, berbeda dengan OTP yang masih menggunakan pendekatan berbasis password meskipun bersifat sementara.
  • OTP bukan bagian dari passwordless.
  • Passwordless Authentication (Autentikasi Tanpa Kata Sandi) adalah metode autentikasi yang memungkinkan pengguna mengakses aplikasi atau sistem TI tanpa harus memasukkan kata sandi atau menjawab pertanyaan keamanan. Sebagai gantinya, pengguna memberikan bentuk bukti lain, seperti sidik jari, kartu identitas jarak dekat (proximity badge), atau kode dari token perangkat keras.
  • Passwordless Authentication sering digunakan bersamaan dengan Multi-Factor Authentication (MFA) dan solusi Single Sign-On (SSO) untuk meningkatkan pengalaman pengguna, memperkuat keamanan, serta mengurangi biaya dan kompleksitas operasional TI.
  • Menggunakan metode login alternatif seperti kunci keamanan fisik dan biometrik lebih aman daripada kata sandi tradisional yang dapat dicuri, diretas, atau ditebak. 
  • Contoh WebAuthn dapat dicoba / dipraktikkan di mawan.net/contoh-webauthn. Untuk dapat mempraktikkan login memakai WebAuthn, di perangkat anda harus telah terpasang peramban (browser) yang mendukung WebAuthn.
  • Login memakai akun Google / akun Belajar.id, akun Facebook, atau akun lainnya, tidak benar-benar masuk ke kategori passwordless murni. Dari perspektif pengguna, "Login with Google" bisa terasa seperti passwordless karena mereka tidak perlu membuat dan mengingat password baru untuk setiap layanan. Namun secara teknis, ini lebih tepat disebut sebagai "Single Sign-On" (SSO) atau "federated identity", di mana password masih ada di belakang layar (untuk masuk ke akun Google).
  • Bila physical secure key (misalkan UbiKey) dianggap mahal, anda dapat menggunakan software gratis misalkan Bitwarden. Menggunakan Windows Hello di laptop, smartphone dengan biometrik, Apple Touch ID dan Apple Face ID untuk passwordless juga ide yang bagus. Pastikan HP atau laptop anda tidak rusak atau hilang. Kalau mau yang lebih awet memang physical secure key adalah pilihan terbaik.
  • Alternatif UbiKey adalah Titan Security Key dari Google, NitroKey, Solo Key, Kensington VeriMark, Thetis FIDO U2F Security Key, dan Feitian Security Keys.
  • Agar secure key (misalnya UbiKey) tidak bisa digunakan secara diam-diam oleh orang lain, secure key tersebut dapat dipasangi PIN. Untuk mengatur PIN, secure key harus dicolokkan ke laptop. Jika pemilik lupa PIN, PIN tersebut bisa di-reset. Namun, risikonya adalah secure key tersebut tidak akan dikenali lagi oleh layanan-layanan yang sebelumnya terdaftar, seolah-olah anda telah kehilangan secure key kemudian membeli secure key baru. Anda harus mendaftarkan ulang secure key itu, misalnya di Google atau PayPal.

Mawan A. Nugroho, M.Kom.
Praktisi IT dan pemerhati keamanan komputer.