One Time Password (OTP) merupakan kode rahasia yang paling sering digunakan di internet, khususnya saat bertransaksi atau melakukan aktivitas online. Kode ini merupakan langkah keamanan untuk mengakses laman atau bertransaksi melalui autentikasi dua akun atau Two-Factor-Authentication (2FA). Namun, pakar keamanan Kaspersky menyatakan OTP kini tak lagi aman.
Olga Svistunova, pakar keamanan di Kaspersky, mengungkapkan evolusi canggih teknik phishing terbaru yang digunakan penjahat siber untuk melewati otentikasi dua faktor (2FA), sebuah langkah keamanan penting yang dirancang untuk melindungi akun online.
Fitur 2FA ini dimaksudkan untuk menambah lapisan keamanan ekstra guna melindungi akun pengguna meskipun kata sandi mereka disusupi. Namun, penjahat siber telah mengembangkan cara untuk mengelabui pengguna, sehingga mereka bisa melewati perlindungan 2FA.
Kaspersky juga menemukan bahwa para penipu ini mengelola bot OTP melalui panel online khusus atau platform pengiriman pesan seperti Telegram. Bot ini hadir dengan berbagai fitur dan paket berlangganan.
“Bot OTP adalah alat yang digunakan oleh penjahat siber untuk mencegat OTP melalui teknik rekayasa sosial. Biasanya, penyerang berusaha mendapatkan kredensial login pengguna melalui phishing atau kebocoran data,” katanya, Senin (10/6).
Penjahat siber akan login ke akun tersebut, sehingga memicu OTP untuk dikirimkan ke ponsel pengguna. Setelah itu, bot OTP akan menelepon pengguna, berpura-pura menjadi perwakilan dari organisasi tepercaya, dan membujuk korban agar membagikan OTP tersebut. Setelah penyerang menerima OTP melalui bot, mereka akan menggunakannya untuk mendapatkan akses ke akun korban.
Kaspersky juga menemukan bahwa para penjahat siber mengelola bot OTP melalui panel online khusus atau platform pengiriman pesan seperti Telegram. Bot ini hadir dengan berbagai fitur dan paket berlangganan.
Kaspersky mengungkapkan periode 1 Maret – 31 Mei 2024, perusahaan mencegah 653.088 upaya phishing dengan target sektor perbankan yang datanya sering digunakan dalam serangan dengan bot OTP. Kaspersky juga mendeteksi 4.721 halaman phising yang bertujuan melewati otentikasi dua faktor secara real-time. Bot OTP sebagai alat untuk mencegat OTP dengan teknik rekayasa sosial.
“Rekayasa sosial bisa menjadi sangat rumit, terutama dengan penggunaan bot OTP yang dapat meniru panggilan nyata dari representatif layanan atau organisasi yang sah,” tambah Olga. ■
ILustrasi: jasuindo.com