- • NIST Amerika Serikat mengklasifikasikan OTP berbasis SMS sebagai metode autentikasi terbatas dan tidak aman.
- • Data BSSN dan whitepaper VIDA menunjukkan mayoritas kasus fraud dan phishing di Indonesia melibatkan OTP.
- • Tapi, Regulasi OJK masih mengizinkan SMS OTP meski bertentangan dengan rekomendasi standar keamanan global.
INFORMASI.COM, Jakarta - Autentikasi dua faktor melalui pesan singkat atau One-Time Password berbasis short message service (SMS) tidak lagi direkomendasikan oleh National Institute of Standards and Technology (NIST) Amerika Serikat. Pasalnya, SMS OTP makin berisiko secara keamanan data, terlebih maraknya kejahatan siber berbasis OTP.
Lonjakan fraud dan phishing terutama terjadi terkait keuangan digital di perbankan. Banyak pelaku kejahatan yang menggunakan sistem itu untuk menipu para nasabah dengan menggarong uangnya di rekening atau menggunakannya untuk transaksi tertentu.
Dalam banyak kasus, pelaku kejahatan digital akan menyebarkan sebanyak mungkin SMS dengan dengan alibi berasal dari nomor kontak resmi. Sejauh ini, para pelaku akan menggunakan 'topeng' perusahaan resmi, padahal palsu, untuk mengelabui calon korban.
Dalam publikasi NIST Special Publication 800-63 tentang panduan identitas digital, OTP berbasis SMS diklasifikasikan sebagai “Restricted Authenticator” karena dinilai tidak memadai untuk melindungi data sensitif. Klasifikasi ini menandai perubahan signifikan dalam standar keamanan autentikasi digital global.
Indonesia Banjir Kasus Kejahatan Digital Lewat OTP
Situasi tersebut menjadi sorotan di Indonesia. Laporan perusahaan identitas digital VIDA mencatat bahwa 84 persen kasus fraud di Indonesia melibatkan serangan berbasis OTP.
Laporan tersebut menyebutkan salah satu faktor utama kerentanan SMS OTP adalah penggunaan teknologi ilegal fake Base Transceiver Station (fake BTS), yang memungkinkan pelaku kejahatan menyamar sebagai jaringan seluler resmi dan mencegat pesan OTP sebelum diterima pengguna.
Ancaman siber di Indonesia juga ditunjukkan oleh data Badan Siber dan Sandi Negara (BSSN) yang dikutip dari indoesecsummit. BSSN mencatat tingkat serangan phishing di Indonesia meningkat 70 persen dibandingkan tahun sebelumnya.
Dalam periode awal 2024, BSSN mencatat lebih dari 315.000 kredensial digital milik warga Indonesia telah dikompromikan, dengan rata-rata kehilangan sekitar 60 kredensial setiap jam.
Berdasarkan pola serangan, BSSN mengidentifikasi beberapa metode phishing yang paling banyak digunakan, yakni:
- •Reward-giving phishing sebanyak 36,9 persen.
- •Penyebaran malware sebanyak 33,8 persen.
- •Penipuan krisis keluarga sebanyak 26,5 persen.
Alasan Autentifikasi Dua Faktor Pakai SMS Tak layak Lagi
Peningkatan serangan tersebut berkorelasi dengan masih luasnya penggunaan autentikasi dua faktor berbasis SMS oleh berbagai layanan digital. NIST dalam panduannya menjelaskan sejumlah alasan mengapa metode ini tidak lagi direkomendasikan.
- 1.SMS OTP rentan terhadap SIM swapping attack. Dalam skema ini, pelaku kejahatan mengambil alih nomor telepon korban dengan memanipulasi proses penggantian kartu SIM di operator seluler. Ketika nomor berhasil dikuasai, seluruh OTP yang dikirim melalui SMS dapat diterima oleh pelaku.
- 2.OTP berbasis SMS tidak bersifat phishing-resistant. Kode OTP dapat dengan mudah diminta atau diperdaya melalui situs palsu atau komunikasi sosial yang meniru layanan resmi, sehingga korban secara tidak sadar menyerahkan kode autentikasi kepada pelaku.
- 3.Transmisi SMS tidak menggunakan enkripsi end-to-end dan masih bergantung pada protokol telekomunikasi lama seperti Signaling System 7 (SS7). Kerentanan pada protokol ini memungkinkan intersepsi pesan, termasuk OTP, oleh pihak yang memiliki akses ilegal ke jaringan.
- 4.Dalam klasifikasi NIST, OTP SMS hanya memenuhi standar Authentication Assurance Level 1 (AAL1), yang merupakan tingkat autentikasi terendah. Untuk perlindungan data sensitif dan transaksi bernilai tinggi, NIST mensyaratkan penggunaan autentikasi minimal AAL2 atau AAL3.
- 5.OTP SMS juga rentan terhadap authentication fatigue attack, yakni kondisi ketika pengguna dibombardir permintaan autentikasi secara berulang hingga akhirnya menyetujui permintaan tanpa verifikasi menyeluruh.
OJK Benahi Aturan
Di Indonesia, regulasi yang mengatur autentikasi digital perbankan tertuang dalam Peraturan Otoritas Jasa Keuangan Nomor 21 Tahun 2023 tentang layanan digital perbankan. Aturan ini mewajibkan bank menerapkan minimal dua faktor autentikasi dalam verifikasi transaksi keuangan nasabah.
Namun, peraturan tersebut tidak secara eksplisit melarang penggunaan SMS OTP sebagai metode autentikasi. Dengan demikian, bank masih diperbolehkan menggunakan OTP berbasis SMS untuk memenuhi kewajiban dua faktor autentikasi.
Kondisi ini memunculkan sorotan karena berbeda dengan arah kebijakan keamanan global. NIST sebagai badan standar teknologi Amerika Serikat secara tegas tidak lagi merekomendasikan OTP SMS untuk perlindungan tingkat tinggi.
Sejumlah pendekatan alternatif telah diidentifikasi sebagai langkah mitigasi risiko. Salah satunya adalah penggunaan aplikasi autentikator atau OTP yang dihasilkan langsung di dalam aplikasi layanan, sehingga tidak dikirim melalui jaringan SMS.
Pendekatan lain adalah penerapan autentikasi yang tahan terhadap phishing, serta peningkatan edukasi kepada pengguna. Kewajiban edukasi ini juga telah diatur dalam Peraturan OJK Nomor 21 Tahun 2023, yang mengamanatkan bank untuk memberikan pemahaman kepada nasabah terkait faktor autentikasi yang memadai.
Selain itu, penguatan standar teknis dan kolaborasi lintas sektor menjadi perhatian. Upaya penanggulangan fake BTS dan praktik SIM swapping memerlukan kerja sama antara otoritas terkait, operator telekomunikasi, dan pemerintah untuk memperketat pengawasan serta prosedur keamanan jaringan.