Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya

Liputandetik.com, Jakarta – Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya. Tidak bisa dipungkiri, Two Factor Authentication (2FA) telah jadi standard penyelamatan account penting serta transaksi finansial. Kunci penyelamatan 2FA ialah One Time Password (OTP) atau password sekali gunakan berbentuk angka acak yang akan diantar berdasar waktu, serta akan hangus setiap saat dipakai atau sudah melalui batasan waktu password yang sudah dipastikan (umumnya beberapa waktu).

Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya. OTP ini benar-benar efisien mencegah tindakan keylogger atau trojan yang berupaya mengambil kredensial yang diketikkan saat terhubung situs atau service penting. Prinsip fundamen pemakaian TFA-OTP ialah harus ada 2 unsur pengaman yang terpisah.

Bobolnya Rekening Bank, Ketika 2FA jadi 1FA Karena Terlalu Percaya. Pertama ialah apa yang Anda tahu (what you know), dalam soal ini ialah kredensial seperti username serta password. Ke-2 ialah apa yang Anda punya (what you have), dalam soal ini ialah token atau kalkulator PIN yang akan keluarkan angka acak OTP sekali gunakan.

Bila prinsip ini digerakkan dengan benar dan baik, harusnya penyelamatan TFA ini benar-benar handal serta susah ditembus. Berdasarkan catatan Vaksincom, salah satu langkah yang sukses tembus penyelamatan TFA yang digerakkan secara baik dengan eksperimen sosial dimana korban dikelabui untuk masuk ke situs palsu serta masukkan OTP yang selanjutnya dipakai kriminil untuk lakukan transaksi lain.

Tehnik ini susah, memerlukan timing yang pas, kemampuan programming situs serta tingkat kesuksesan relatif rendah walau sempat berlangsung seringkali di Indonesia. Perubahan yang berlangsung setelah itu malah mempermudah aktor kejahatan sebab berlangsung pelemahan TFA oleh aktor industri sendiri, dimana TFA atau OTP dipandang seperti fasilitas penyelamatan account yang paling aman.

Baca Juga : Fosil Dinosaurus Naga Menari Ditemukan di China

Serta cara TFA-OTP yang paling terkenal dipakai ialah penyelamatan memakai jaringan mobile (kartu SIM) lewat SMS, voice call atau pop up USSD kode. Faktanya sederhana, jaringan mobile penetrasinya tertinggi, serta biayanya termurah dibanding memakai kalkulator token. Pemakaiannya juga gampang, segampang membaca SMS atau pop up USSD.

Walau sebenarnya dengan tehnis, keamanan TFA-OTP memakai kartu SIM ini lebih lemah dibanding dengan kalkulator PIN atau aplikasi otentikasi seperti Google Authenticator. Penyebabnya ialah, sebab pengiriman OTP lewat kartu SIM ini menyertakan faksi ke-3, jaringan operator serta ada juga peluang penyadapan bila diketemukan sela keamanan dalam jaringan operator.

Celakanya , sebab perubahan tehnologi atau fakta praktis, aplikasi TFA yang semula dengan ketat memisahkan sumber info kredensial (username-password) dengan sumber info OTP, pelan-pelan bersatu ke pada sebuah piranti, smartphone Anda.

Jadi deskripsi, apa yang berlangsung bila Anda lupa password Gmail, Instagram atau dompet digital Anda? Jawabannya ialah sebagian besar pemakai akan memperoleh pengiriman reset password ke SMS.

Jadi, siapa saja yang dapat terhubung SMS nomor telephone yang tercatat bisa kuasai semua account Gmail, Instagram atau dompet digital. Bila Anda ialah kriminil, langkah untuk untuk terhubung SMS dapat dengan menyadap jaringan operator, baik dengan mengeksploitasi sela keamanan yang memerlukan piranti serta potensi tehnis yang oke, atau mungkin dengan langkah gampang menggantikan kartu SIM korban atau diketahui dengan arti SIM swap yang tidak memerlukan modal besar atau tehnik hebat.

Modus ini cuma memerlukan potensi menipu operator supaya memberi kartu SIM pada penipu. Dengan rasional, aktor prospek SIM swap ini banyaknya akan banyak dibanding dengan tehnik lain yang memerlukan kemampuan serta perlengkapan spesial seperti penyadapan.

Hingga ini butuh jadi perhatian penegak hukum. Serta ini bukan sekedar berlangsung di Indonesia, dan juga ramai berlangsung di negara maju dimana account Twitter punya CEO Twitter Jack Dorsey dihack memakai tehnik SIM swap di akhir tahun 2019. Pikirkan begitu malunya ia.

Lantas pertanyaan yang seringkali muncul, bagaimana SIM Swap ini dapat menggantikan account bank serta lakukan transaksi bank? Tidakkah untuk terhubung rekening bank memerlukan kredensial serta SIM swap cuma memberi akses OTP kesepakatan transaksi?

Jawabannya ialah keyakinan serta ketergantungan berlebihan pada pada jaringan mobile. Aktor kriminil tinggal lakukan forget password atau username untuk menyebabkan reset password atau pengiriman kredensial yang dilalaikan. Bila info kredensial diantar ke alamat e-mail, account e-mail dengan gampang bisa diambilalih sebab pengiriman password reset e-mail diantar ke SMS atau nomor telephone yang telah dikendalikan. Ditambah lagi jika diantar lewat SMS, ini memudahkan kerja kriminil tak perlu berusaha susah payah menggantikan account e-mail.

*) Alfons Tanujaya ialah pakar keamanan cyber dari Vaksincom. Ia aktif memberikan waktunya memberi info serta edukasi mengenai malware serta cyber security buat komune IT Indonesia.