Beberapa ecommerce mewajibkan penggunaan kode one time password (OTP) saat bertransaksi.

OTP tersebut ada yang dikirimkan lewat SMS, namun ada juga yang dikirimkan lewat platform seperti Telegram, Line, ataupun WhatsApp.

Mana yang lebih aman?

OTP dipergunakan untuk menjaga pemilik akun dari masalah, misalnya pencurian dan penyalahgunaan atas akun tersebut.

Umumnya kode OTP tersebut dikirim melalui SMS kepada nomor yang didaftarkan pemilik akun.

Namun kini beberapa ecommerce dan perbankan mulai mengalihkan pengiriman kode OTP tersebut lewat platform over the top (OTT) seperti Telegram, Line, dan WhatsApp.

Menurut Ruby Alamsyah, pakar keamanan cyber, seharusnya peralihan ini perlu dijelaskan alasannya.

Jika alasannya adalah keamanan, seharusnya hal ini bisa dipertanyakan.

Pasalnya, jika alasan keamanan jadi alasan, terkesan bahwa platform SMS yang disediakan oleh operator telekomunikasi ini tidak aman.

Kaitannya dengan sejumlah kejahatan dengan modus SIM swap yang terjadi beberapa waktu
lalu.

Padahal, menurut Ruby, pengiriman pesan lewat OTT pun bisa dibajak atau diambil alih oleh orang tak bertanggung jawab.

Jadi peralihan dari SMS ke platform pesan ini untuk alasan keamanan bukanlah hal yang tepat.

"Jika alasannya bank tidak percaya kepada pihak ketiga karena ada isu SIM SWAP kemarin, maka alasan keamanan belum tentu sesuai untuk melakukan migrasi pengiriman OTP dari SMS ke OTT pesan instan.

Sebab platform pesan instan tersebut disediakan oleh pihak ke tiga," ujar Ruby.

"Perpindahan itu tak efektif dan tidak optimal untuk isu keamanan. Menguasai aplikasi OTT pesan instan jauh lebih mudah ketimbang menguasai SMS.

Jadi salah besar jika alasan keamanan menjadi pilihan bank atau e-commerce mengalihkan pengiriman OTP dari SMS ke OTT pesan instan," tambahnya.

Jika alasan migrasi pengiriman OTP dari SMS ke OTT pesan instan karena alasan efisiensi dan harga yang sangat murah atau lebih cepat, menurut Ruby itu relatif.

Namun yang harus diperhatikan adalah masyarakat pengguna e-commerce dan perbankan berhak untuk mendapatkan keamanan yang maksimal.

"Jadi sah aja jika alasannya untuk efisiensi.

Namun yang harus diingat adalah peraturan bank Indonesia menyebutkan dengan jelas bahwa dalam mengirimkan OTP atau melakukan transaksi melalui channel elektronik, perbankan harus bisa memastikan seluruh jaringan yang dipergunakan aman.

Sehingga tak memberikan kerugian bagi masyarakat. Karena itu tanggung jawab bank," terang Ruby.

Ruby berharap pihak-pihak perbankan maupun e-commerce dapat mengutamakan faktor keamanan pelanggan di atas faktor lainnya.

Sehingga jangan sampai masyarakat dirugikan.

Dan juga jangan sampai nantinya perbankan menyalahkan masyarakat jika ada pembobolan rekening nasabah akibat OTP yang dikirimkan melalui OTT pesan instan.

"Jangan sampai di kemudian hari nantinya perbankan dan e-commerce menyalahkan pelanggan yang tidak mengamankan aplikasi OTT pesan instan," tutup Ruby.
Learn more »

Setiap hari, kita mendengar tentang cara 'inovatif' terbaru yang digunakan peretas untuk menyusup ke perangkat dan menyuntikkan ransomware atau mencuri data yang tak ternilai harganya.

Tetapi para peretas juga menggunakan manipulasi data untuk melakukan modifikasi halus terhadap sekumpulan data.

Hal ini sangat berbahaya dan berpotensi memiliki efek yang bisa lebih melumpuhkan terhadap perusahaan dibandingkan pembobolan data.

Tahun lalu, sekelompok peneliti keamanan data di Israel mengungkapkan keberhasilan mereka dalam mengelabui dokter sehingga membuatnya salah mendiagnosis penyakit pasien.

Caranya adalah dengan meretas dan mengubah hasil pindaian (scan) mesin sinar-X di rumah sakit.

Jenis manipulasi data seperti ini dapat menyebabkan kesalahan diagnosis dan menyebabkan pasien tidak mengetahui kondisi kesehatan mereka yang sebenarnya.

Namun dalam konteks yang berbeda, konsekuensinya bisa lebih besar lagi.

 

Motivasi di Balik Manipulasi Data

Prinsip 'Triad CIA' yakni kerahasiaan, integritas, dan ketersediaan adalah tiga prinsip yang sangat terkenal sebagai fondasi infrastruktur keamanan badan intelijen Amerika Serikat tersebut.

Melalui manipulasi data, peretas kini dapat meluncurkan serangan yang membuat integritas data bisa dipertanyakan.

Dalam konteks pemilihan umum (pemilu), misalnya, manipulasi data dapat merendahkan atau melemahkan institusi demokrasi dan merampas keinginan para pemilih.

Tak hanya mampu mengubah arah politik seluruh bangsa, manipulasi data seperti itu juga berdampak pada hubungan politik regional dan global.

Di ranah e-Commerce, peretas juga dapat mengganggu transaksi bisnis selama momen-momen ritel besar seperti Hari Belanja Online Nasional (Harbolnas) yang biasanya jatuh pada tanggal kembar seperti 10 Oktober (10.10), 11 November (11.11 atau biasa dikenal 'singles day'), dan 12 Desember (12.12).

Hacker akan mengincar situs e-commerce di momen-momen belanja dengan cara meningkatkan trafik di bagian-bagian yang biasanya tidak aktif dengan cara mengubah algoritma situs tersebut sehingga sumber dayanya dialihkan ke bagian-bagian yang tidak penting.

Hal ini secara tidak langsung berpotensi menyebabkan kerugian finansial bagi platform e-Commerce tersebut dan para vendornya.

Serangan manipulasi data semacam ini dapat lebih disederhanakan melalui penggunaan teknologi bot, sehingga semakin memudahkan peretas untuk meluncurkan serangan manipulasi data.

Contohnya, sudah ada beberapa kejadian ketika peretas menggunakan metadata untuk membuat bot-bot 'disinformasi' yang sangat mahir meniru perilaku manusia dan meluncurkan kampanye 'disinformasi' di platform media sosial.

Dengan segudang bot yang mereka miliki, peretas dapat dengan mudah mengutik dan menyusupkan bot 'disinformasi' ini ke dalam sistem mana pun dan memainkan data untuk keuntungan mereka.

Ini hanya beberapa cara serangan manipulasi data yang dapat diluncurkan terhadap individu, perusahaan, dan bahkan negara.

Namun, vektor serangan semacam itu bukan satu-satunya penyebab manipulasi data.

Fakta menunjukkan, kesalahan manusia yang tidak disengaja dapat menjadi salah satu penyebab utamanya.

Penyebab lain di antaranya transfer data yang tidak disengaja atau bahkan hardware yang telah dibobol sehingga datanya rusak.

 

Melawan Serangan Manipulasi Data


Sangat penting bagi perusahaan-perusahaan untuk memahami bahwa integritas data perlu dilindungi dan tidak boleh mengalami pembobolan saat digunakan, saat sedang ditransfer antar individu, atau saat disimpan di perangkat atau di cloud.

Selain itu, penting juga untuk memahami cara data dihasilkan dan menilai integritas sumber data.

Perusahaan-perusahaan harus memiliki sistem yang jelas untuk mengklasifikasikan dan merekam data.

Catatan ini akan berguna bagi tim TI saat mereka menyusun strategi dan mengimplementasikan langkah-langkah penanggulangan dan menentukan hak akses untuk berbagai kumpulan data.

Langkah-langkah penanggulangan yang dapat diterapkan perusahaan untuk mencapai proteksi end-to-end di sepanjang perjalanan data tidak hanya mencakup enkripsi data, tetapi juga audit data.

Audit data membantu membuat profil data perusahaan Anda dan menilai dampaknya terhadap kinerja dan laba untuk menentukan tingkat langkah keamanan yang harus diterapkan.

Perusahaan-perusahaan juga harus memperkenalkan sistem deteksi intrusi untuk mengidentifikasi ancaman eksternal yang menyasar data mereka.

Dari sudut pandang akses pengguna, penting bagi perusahaan untuk memperkenalkan mekanisme otentikasi dan kontrol akses yang kuat untuk memastikan agar hanya pengguna berhak yang memiliki akses.

Penting juga untuk menerapkan kontrol versi data di seluruh sistem untuk bisa lebih mengetahui siapa saja yang membuat perubahan terhadap data, serta data apa saja yang diubah.

Tanda tangan digital pada email juga dapat membantu memastikan integritas data dengan menjamin bahwa tidak ada penyangkalan dari pengirim atau penerima ketika terjadi pemindahan sekumpulan data.

Data merupakan sumber daya paling berharga saat ini yang mendorong perekonomian kita.

Data bisa menjadi target utama peretas yang memiliki niat buruk untuk memanipulasi data tersebut demi keuntungan pribadi mereka.

Ketika dunia semakin terkoneksi dengan munculnya jaringan 5G dan penyebarluasan perangkat IoT, data yang dihasilkan akan tumbuh dengan pesat.

Hal ini berarti bahwa serangan manipulasi data dapat berdampak serius terhadap inisiatif transformasi digital atau smart city.

Oleh karena itu, sangat penting bagi perusahaan-perusahaan untuk bersiap menghadapi serangan jenis baru ini selagi penggunaan serangan manipulasi data masih dalam tahap awal. Learn more »

Siapa yang tak tertarik membeli iPhone 5S 64 GB cuma dengan harga Rp 3,9 juta? Mereka yang sudah gelap mata pasti langsung buru-buru membayar. Padahal ini merupakan aksi penipuan!

Para penjahat cyber memang seakan tak pernah kehabisan akal untuk menipu calon korban. Dari cara konvensional membajak akun Facebook dan membuat ratusan situs online palsu abal-abal dengan iming-iming harga ponsel dan elektronik yang sangat murah, kini mereka punya trik baru lagi sedang digerilyakan. 

Sama seperti dunia nyata dimana ada komunitas Saber dan Semut Oranye yang berjuang melawan penyebar ranjau paku, banyak pula netter yang aktif memerangi aksi penipuan di internet dengan memberikan informasi situs-situs belanja online palsu. Mereka adalah bankhitam.com, batamwatch.com, datapenipu.com dan polisionline.com yang aktif memberikan informasi tentang aksi penipuan supaya tidak berjatuhan korban baru. 

Mungkin karena desakan yang cukup tinggi ini terlihat beberapa penipu online mulai mencari cara alternatif yang lebih fokus seperti mengirimkan SMS broadcast ke calon korbannya dengan iming-iming harga murah yang menuntun ke situs yang telah dipersiapkan. 

Selain SMS broadcast, banyak juga penipu yang mulai memanfaatkan PIN Blackberry Messenger (BBM) sebagai sarana untuk mencari korban baru.

Salah satu contoh adalah yang dilakukan oleh pengirim yang melakukan broadcast dengan iming-iming iPhone 5S 64 GB yang diturunkan harganya dari Rp 12,7 juta menjadi Rp 3,9 juta dan menuntun calon korbannya ke situs online abal-abal www.bigsale-electro.com. (lihat gambar a)


Gambar a: SMS yang dikirimkan memberikan iming-iming iPhone murah.

Jika korbannya tertarik dan mengunjungi situs yang telah dipersiapkan oleh pengirim SMS ini. Ia akan mendapatkan lebih banyak lagi penawaran gadget dan elektronik dengan harga yang menggiurkan. (lihat gambar b)


Gambar b: Situs abal-abal yang telah dipersiapkan oleh penipu.

Hebatnya lagi, situs yang satu ini sama sekali tidak memberikan informasi nomor akun bank atau nomor telepon yang bisa dihubungi jika pengunjungnya tertarik untuk membeli barangnya. 

Rupanya situs ini menggunakan modul onlineshop ready made yang diambil dari pijaronline.com dan jika Anda berminat untuk membeli dari toko ini, Anda harus membuka akun dan memasukkan akun email yang valid untuk melanjutkan proses pembelian. Jadi untuk toko ini, supaya ditipu saja pengunjungnya harus usaha :).

Mencantumkan Nomor Telepon SLJJ

Jika Anda mencari informasi tokonya, Big Sale Electro mengklaim beralamat di Jl. Gatot Subroto – Denpasar-Bali dan hebatnya ia berani mencantumkan nomor telepon SLJJ (0361) 3700777 yang ketika dihubungi oleh Vaksincom tidak diangkat dan diforwardkan ke telepon lain. (lihat gambar c) 

Kemungkinan pemasangan nomor SLJJ ini dilakukan guna meningkatkan kepercayaan korbannya bahwa toko ini memang berdomisili sesuai dengan yang tertulis di websitenya.


Gambar c: Bigsale-electro.com mencantumkan nomor telepon SLJJ untuk meyakinkan calon korban.

Ketika Vaksincom mencoba untuk berbelanja beberapa barang karena harganya memang menggiurkan dan bisa membuat toko komputer yang ingin bersaing dengan counting stars karena menjual di bawah harga modal, Vaksincom baru mendapatkan nomor telepon 082313361333 yang harus dihubungi untuk mendapatkan nomor akun Bank. (lihat gambar d)


Gambar d: Keranjang belanja mempersilahkan korbannya untuk menghubungi nomor telepon tertentu untuk melakukan belanja.

Menurut database Vaksincom, nomor 082313361333 adalah milik provider Telkomsel yang dikeluarkan di Jakarta.

Licin Seperti Belut

Lain halnya dengan toko Sinar Shop atau Sinar Elektronik yang bisa dikatakan penipu veteran karena berkali-kali diblok dan dilaporkan oleh situs pengawas toko online, namun setiap kali diblok ia akan membuat domain baru dengan nama yang sedikit berbeda. 

Beberapa situs Sinar Elektronik abal-abal yang masih aktif sampai saat artikel ini dibuat adalah http://www.sinar-shop.tk/ dan http://sinarelektronik.tk/.

Menurut pengamatan Vaksincom pembuat situs ini bahkan sudah memanfaatkan frame dalam memindahkan situsnya dimana situs masternya ditaruh di blogspot seperti http://sinarshop86.blogspot.com/ dan http://sinarshop86.blogspot.no/ yang sudah dinonaktifkan oleh Google.

Namun, seperti biasanya pemilik situs abal-abal ini langsung menggantikan dengan membuat akun blogspot baru yang beralamat di http://www.sinargadget.blogspot.com/ dan semua domain yang sudah dipersiapkan akan langsung diarahkan ke situs blogpsot baru setiap kali situs blogspot lamanya diblokir.

Seperti bigsale-electro.com, sinar elektronik abal-abal juga memanfaatkan SMS broadcast guna menargetkan korbannya lebih spesifik dan menghindari pelacakan aksinya secara online. (lihat gambar e)


Gambar e: Sinar-shop.tk memanfaatkan SMS broadcast untuk mencapai korbannya.

Jika mengira penipu ini hanya memanfaatkan SMS Broadcast, Anda akan terkejut melihat pantauan Vaksincom, dimana rupanya kegiatan penipuan ini memang dilakukan dengan penuh dedikasi dan memanfaatkan berbagai sarana kemunikasi dan perkembangan terkini. 

Selain SMS Broadcast, penipu juga menggunakan BBM. Penggunaan layanan pesan instan populer ini dipilih kemungkinan besar karena alasan keamanan penipunya dimana database pengguna BBM hanya dimiliki oleh BlackBerry dan relatif sulit melacak keberadaan penipu kecuali pihak berwajib bekerjasama dengan BlackBerry dan operator telekomunikasi. (lihat gambar f)


Gambar f: Penipu juga memanfaatkan BBM untuk menjalankan aksinya.

Menurut pantauan Vaksincom, setiap hari secara rutin pemilik PIN yang nomor telepon penipunya menggunakan provider Tri yang berasal dari Bandung ini (089655389800) secara teratur melakukan broadcast penawaran gadget dengan harga murah kepada semua kontak yang menambahkan PIN BBM yang dimuat di websitenya. (lihat gambar g)


Gambar g: Penipu memanfaatkan BBM untuk broadcast penawaran gadget murah setiap hari.

Jika Anda terkejut akan luasnya alternatif sarana dan media yang digunakan oleh penipu online ini, tunggu sampai Anda masuk ke situs berniaga.com dan tokobagus.com dan lagi-lagi Anda akan menemui aksi penipuan yang dilakukan oleh orang yang sama (lihat gambar h). 


Gambar h: Aksi penipuan ini juga memanfaatkan portal belanja online yang sedang berkembang pesat di Indonesia, berniaga.com dan tokobagus.com.

Sebenarnya komunitas internet juga tidak tinggal diam dan selalu siap memberikan bantuan bagi pengguna jasa onlineshop. Jika Anda ragu-ragu atas integritas toko online yang digunakan, Anda bisa mengecek data informasi penipu online secara gratis. Adapun beberapa situs informasi penipu online yang siap memberikan informasi secara gratis adalah:

www.bankhitam.com
www.batamwatch.com
www.datapenipu.com
www.polisionline.com

Selain itu, menurut pengetesan Vaksincom, dalam beberapa kasus, Nawala Indonesia juga ikut aktif berusaha melakukan bloking terhadap akses situs onlineshop abal-abal tersebut (lihat gambar i dan j). Namun hal ini memang membutuhkan stamina yang kuat dimana situs penipu online ini memang sangat aktif mengubah alamatnya setiap kali diblokir.


Gambar i: Nawala juga aktif memerangi onlineshop abal-abal

Reaksi komunitas terhadap aksi penipu ini beragam, dari yang cuek saja sampai terketuk hatinya untuk membuat daftar penipu online. Rupanya ada juga hacker yang gemas dengan aksi onlineshop abal-abal, saking tidak tahannya toko tersebut di-deface. (lihat gambar j)


Gambar j: Aksi hacker gemas dengan aksi penipuan sehingga meretas situs online shop abal-abal keretaelektronik.com Learn more »