Kata sandi satu kali (OTP) mungkin tidak seaman kelihatannya karena meningkatnya jumlah bot OTP menimbulkan bayangan gelap pada fitur keamanan yang seharusnya penting. Mengingat betapa umum mereka, meningkatnya prevalensi bot OTP yang menargetkan sistem ini semakin memprihatinkan. Inilah semua yang perlu diketahui tentang mereka agar tetap aman dari ancaman ini.
Apa Itu Kata Sandi Sekali Pakai?
Untuk memahami bot OTP, kalian harus memahami OTP itu sendiri terlebih dahulu. Seperti namanya, kata sandi satu kali adalah kode login sementara yang didapatkan setelah memasukkan kredensial lain seperti alamat email dan kata sandi. Biasanya hanya berlangsung selama 30 hingga 60 detik sebelum tidak lagi memberikan akses ke akun.
Idenya di sini adalah untuk menghentikan orang-orang yang mungkin mencuri, menebak, atau memaksa kata sandi. Dengan mengirimkan kode satu kali melalui panggilan, SMS, atau aplikasi seluler khusus, layanan ini memastikan orang yang masuk juga memiliki akses ke perangkat tepercaya. Mencuri kata sandi relatif mudah, tetapi kemungkinan besar penjahat tidak mengetahui kata sandi dan ponsel.
Bagaimana Cara Kerja Bot OTP?
OTP telah menjadi sangat umum sehingga beberapa ponsel sekarang secara otomatis menghapus kode verifikasi ini dan mengosongkan kotak masuk. Meskipun hal ini berarti akun online lebih aman dari sebelumnya, hal ini menjadikan sistem OTP sendiri sebagai target penjahat dunia maya. Bot OTP menargetkan sistem ini dengan salah satu dari dua cara.
Cara kerja bot OTP yang pertama dan paling umum adalah dengan mengelabui pengguna agar mengungkapkan kode satu kali mereka. Untuk melakukan hal tersebut, mereka sering kali meniru layanan yang mereka coba masuki. Bayangkan penjahat dunia maya mencoba masuk ke akun perbankan online. Saat mereka memasukkan kredensial, bot akan mengirim SMS, email, atau menelepon, berpura-pura menjadi pihak bank yang meminta kode.
Karena bot langsung bertindak, permintaan tersebut harus datang bersamaan dengan pesan yang membawa kode sehingga tidak terlihat mencurigakan. Kalian kemudian dapat membalas dengan OTP, tanpa sengaja mengirimkannya ke peretas yang kemudian dapat menggunakannya untuk mengakses akun.
Cara lain bot OTP bekerja adalah dengan mencegat pesan OTP sebelum sampai kepada kalian. Jika berhasil, metode ini cenderung tidak menimbulkan kekhawatiran, namun lebih sulit untuk dilakukan. Ada alasan mengapa Laporan Investigasi Pelanggaran Data tahunan Verizon menemukan bahwa sebagian besar serangan melibatkan elemen kesalahan manusia, manusia seringkali menjadi pihak yang paling lemah.
Cara Bertahan Terhadap Bot OTP
Serangan bot OTP memang mengkhawatirkan tetapi dapat menghentikannya. Ingatlah untuk selalu memverifikasi sebelum memercayai apa pun dan melakukan kesalahan dengan tidak menanggapi permintaan yang tidak diminta.
Dalam konteks ini, ini berarti memeriksa bank atau layanan lain untuk mengetahui apakah mereka pernah menghubungi tentang OTP tanpa tindakan apa pun dari kalian. Kebanyakan tidak, jadi sebaiknya jangan menjawab permintaan OTP jika tidak mencoba masuk ke apa pun.
Jika tersedia, kalian harus mengaktifkan fitur MFA yang tahan terhadap phishing. MFA yang tahan phishing menghilangkan elemen manusia dari persamaan, sebagai gantinya menggunakan kriptografi dan autentikasi perangkat untuk memverifikasi upaya login. Dengan begitu, akan dapat mengetahui bahwa permintaan OTP apa pun adalah penipuan karena layanan sebenarnya tidak menggunakannya.
Meskipun MFA semacam itu tidak tersedia, mungkin dapat mengaktifkan faktor identifikasi selain OTP. Biometrik seperti pengenalan wajah atau pemindaian sidik jari adalah pilihan yang bagus. Meskipun autentikasi biometrik dapat dilewati, ini sangat teknis dan tidak umum seperti serangan yang berfokus pada kata sandi, sehingga faktor-faktor ini masih lebih aman dibandingkan OTP.
Terakhir, selalu waspada terhadap aktivitas mencurigakan. Jika mendapat pemberitahuan adanya upaya login yang tidak diingat atau diketahui, segera hubungi layanan yang bersangkutan. Demikian pula, ubah kata sandi dan hubungi perusahaan jika melihat aktivitas di akun apa pun yang tidak diingat. Bertindak cepat adalah kunci untuk menghentikan serangan sebelum menimbulkan banyak kerusakan.
Kesadaran Adalah Langkah Pertama Menuju Keamanan
Mempelajari bot OTP adalah langkah pertama untuk melindunginya. Ketika tahu apa yang harus diwaspadai, maka akan memahami cara tetap aman.
Ingatlah bahwa tidak ada sistem keamanan yang 100 persen dapat diandalkan. OTP dan metode MFA lainnya adalah bagian penting dari keamanan siber yang baik, namun keduanya tidak sempurna. Oleh karena itu harus selalu tetap melakukan pendekatan dengan hati-hati dan mewaspadai aktivitas mencurigakan.