Bisnis.com, JAKARTA – Kode one-time password atau OTP yang selama ini dijadikan pertahanan terbaik oleh pengguna internet dalam mengantisipasi serangan siber, sekarang tak lagi aman. Sistem proteksi OTP sudah diakali oleh penjahat siber.
Berdasarkan penelitian Kaspersky dari 1 Maret - 31 Mei 2024, perusahaan mencegah 653.088 upaya phishing dengan target sektor perbankan yang datanya sering digunakan dalam serangan dengan bot OTP.
Kaspersky juga mendeteksi 4.721 halaman phising yang bertujuan melewati otentikasi dua faktor secara real-time.
Menurut Pakar keamanan di Kaspersky Olga Svistunova, penipu menggunakan bot OTP sebagai alat untuk mencegat OTP dengan teknik rekayasa sosial.
Caranya, yakni enyerang berusaha mendapatkan kredensial login pengguna melalui phishing atau kebocoran data, kemudian login ke akun tersebut, sehingga memicu OTP untuk dikirimkan ke ponsel pengguna.
Setelah itu, bot OTP akan menelepon pengguna dengan berpura-pura menjadi perwakilan dari organisasi tepercaya, serta menggunakan dialog yang telah ditentukan untuk membujuk korban agar membagikan OTP tersebut.
Baca Juga
Terakhir, penyerang menerima OTP melalui bot dan menggunakannya untuk mendapatkan akses ke akun korban.
“Rekayasa sosial bisa menjadi sangat rumit, terutama dengan penggunaan bot OTP yang dapat meniru panggilan nyata dari representatif layanan atau organisasi yang sah. Penting untuk tetap waspada dan mengikuti praktik keamanan terbaik,” kata Svistunova dalam keterangan resmi, dikutip Senin (10/6/2024).
Perlu diketahui, penipu mengelola bot OTP melalui panel daring khusus atau platform pengiriman pesan seperti Telegram. Bot ini hadir dengan berbagai fitur dan paket berlangganan dan dapat disesuaikan untuk meniru organisasi yang berbeda, menggunakan berbagai bahasa, dan bahkan memilih antara suara laki-laki dan perempuan.
Opsi lanjutan dari bot tersebut mencakup spoofing nomor telepon, yang membuat ID penelepon tampak seolah-olah berasal dari organisasi yang sah. Sebelum menggunakan bot OTP, penipu harus mencuri kredensial korban.
Mereka sering menggunakan situs phishing yang terlihat seperti halaman login resmi bank, layanan email, atau akun online lainnya. Saat korban memasukkan nama pengguna dan kata sandinya, penipu menangkap informasi ini secara real-time.
Dengan demikian, meskipun 2FA merupakan langkah keamanan yang penting, tetapi hal ini tidak selalu mudah. Untuk melindungi diri dari penipuan canggih ini, Kaspersky merekomendasikan 3 langkah antisipasi.
Pertama, hindari membuka tautan diterima dalam pesan email mencurigakan. Jika perlu masuk ke akun, ketikkan alamat secara manual atau gunakan bookmark.
Kedua, pastikan alamat situs web benar dan tidak ada kesalahan ketik sebelum memasukkan kredensial. Gunakan Whois untuk memeriksa situsnya. jika baru saja didaftarkan, kemungkinan besar ini adalah situs penipuan.
Ketiga, jangan mengucapkan atau memasukkan kode satu kali saat sedang menelepon, tidak peduli seberapa meyakinkannya suara penelepon. Bank sungguhan dan perusahaan lain tidak pernah menggunakan metode ini untuk memverifikasi identitas klien mereka.
