Auto Copy, Fitur SMS yang Bikin Maia Estianty Ditipu Ojol
Contoh SMS kode OTP
Cyberthreat.id - Musisi dan selebritas Maia Estianty pada Jumat (27 Desember 2019) siang mengungkapkan kejadian peretasan melalui Instagram-nya terhadap akun GoPay miliknya.
Peretasan itu terjadi pada Kamis (26 Desember 2019) ketika Maia memesan makanan melalui layanan Go-Shop, fitur yang disediakan GoJek untuk transaksi makanan yang tidak tersedia di pelapak GoFood. Ia memesan makanan senilai Rp 800 ribu dan tercatat dengan nomor order SH-927217276.
Pelaku atas nama Yusdi Alamsyah mengabari Maia bahwa sepeda motornya mogok. Yusdi kemudian menelepon Maia untuk ganti driver, lalu ia menyarankan Maia mengklik nomor yang disarankan Yusdi. Dari situ, Maia langsung menerima pesan SMS berupa kode one-time password (OTP).
Pakar IT dari Vaksincom, Alfons Tanujaya mengatakan, kejadian yang dialami Maia merupakan penipuan yang pintar dan memanfaatkan sms dan call forward (meneruskan). Dampaknya juga sangat serius karena sms dan panggilan telepon digunakan untuk otentifikasi transaksi digital.
"Khusus kejadian ini, saya juga terkejut. Ini penipunya pintar dan ngerti banget bagaimana cara kerjanya, saya tidak terfikir untuk nyuri OTP melalui sms forward ini. Ternyata, sangat efektif," kata Alfons saat dihubungi Cyberthreat.id di Jakarta, Jumat (27 Desember 2019).
Sebagai informasi, provider seluler Telkomsel memiliki fitur untuk memaksimalkan fitur SMS penggunanya dengan menghubungi *500*22#. Fitur tersebut dinamakan SMS Pro, yang memiliki 5 fungsi diantaranya, "Auto Reply, Auto Copy, Auto Divert, Blacklist dan Whitelist".
Menurut Alfons, dalam kasus yang dialami Maia, si penipu menggunakan fitur Auto Copy atau Auto Divert. Fitur Auto Copy merupakan penyalinan dan mengirim SMS yang anda terima kepada nomor lain, sedangkan Auto Divert adalah fitur yang mengalihkan SMS yang diterima ke nomor lainnya.
“Dia minta gw klik *21* 082178912261# ... tau apa yg terjadi? ternyata itu code kita sedang me FORWARD Data telpon kita ke dia,” tulis Maia di akun Instagram-nya.
Maia juga menuturkan, pelaku juga sempat berusaha melakukan pembelian barang berupa ponsel seharga Rp 18 juta via akun Tokopedia dirinya. Pelaku berusaha menggunakan kartu kredit Maia dan mengarahkan pengiriman barang ke daerah di Sumatera Selatan.
Alfons menjelaskan, jika seseorang atau oknum berhasil masuk kedalam layanan SMS korbannya, bisa membuat para penjahat itu untuk mendapatkan kode One Time Password (OTP), yang saat ini digunakan otentifikasi transaksi secara umum.
"Karena OTP dikirimkan melalui SMS, si oknum itu juga mendapatkan semua SMS-nya. Otomatis saat pengguna berusaha login ke akun miliknya, oknum tersebut juga dapat kode OTP, itu masalahnya," tegas Alfons.
OTP ini merupakan metode otentikasi dan verifikasi transaksi dimana suatu perusahaan akan mengirimkan passcode kepada nasabah melalui SMS. Metode ini, menurut Alfons, dianggap tidak aman.
"OTP melalui telepon dan sms itu relatif lebih tidak aman dibandingkan OTP dari faktor lain seperti OTP melalui token dan aplikasi. Dengan kejadian yang dialami Maia membuktikan bahwa benar OTP melalui SMS dan telepon ini tidak aman."
Masyarakat Perlu Literasi
Secara teknis, penggunaan OTP melalui SMS merupakan cara paling umum yang digunakan pada masyarakat Indonesia. Terlebih, OTP yang menggunakan faktor lain dinilai terlalu kompleks. Padahal, kata Alfons, penggunaan OTP dari faktor lain ini lebih aman.
"OTP lewat token ini lebih ribet karena dia harus mengaktifkan dan menyalakan token hingga memasukkan password. Misalnya, orang tua diajarin OTP lewat token, ya pasti bingung dia. Kalau, SMS kan dia punya dan mengerti. Ya sebetulnya dilema juga," pungkas Alfons.
Permasalahan kode OTP yang dialami oleh GoPay juga bisa menimpa platform dompet digital lainnya seperti OVO, LinkAja, Dana, Jenius dan lainnya. Sebab, para pemain tersebut juga menggunakan OTP melalui sms dan telepon.
Untuk itu, Alfons menyarankan, agar tidak memberitahukan kode OTP-nya kepada orang yang tidak dikenal. Masyarakat Indonesia juga harus selalu waspada karena banyak penjahat yang memanfaatkan kebaikan seseorang untuk merugikan para korbannya.
"Kita jangan mau disuruh tolong klik ini itu apapun dari seseorang yang tidak dikenal agar terhindar dari kejadian seperti ini. Sebaiknya, juga jangan menyimpan nomor kartu kredit dan semacamnya kedalam aplikasi e-commerce," ujar Alfons.
"Jika kita menyimpan nomor kartu kredit di aplikasi e-commerce, lalu OTP berhasil diretas, sehingga membuat kriminal tersebut bisa akses ke akun kita akan sangat memungkinkan untuk kriminal itu mengetahui nomor kartu kredit kita."
Jika tidak terhindarkan, disarankan untuk memblokir segala layanan yang kemungkinan terjadi kebocoran. Hal itu, merupakan langkah yang paling tepat guna menyetop kerugian lainnya, seperti yang dilakukan Maia Estianty.
