Jakarta-Bacaini.ID. Beberapa hari ini, publik kembali dihebohkan kasus penyadapan SMS OTP yang digunakan untuk membobol rekening mobile banking. Atas kejadian ini, banyak masyarakat menyampaikan keluhan dan pengaduan ke Kementerian Komdigi. Dalam era digital, keamanan informasi menjadi isu kritis yang menyangkut privasi dan keamanan finansial individu. Salah satu metode kejahatan siber yang berkembang adalah penyadapan One-Time Password (OTP) melalui SMS, yang sering digunakan untuk verifikasi transaksi keuangan dan akses ke layanan online. Penyadapan ini dilakukan menggunakan berbagai alat canggih dan tanpa seizin korban, mengundang pelanggaran hukum dan kerugian finansial.
Alat dan Modus Operandi
Salah satu alat yang digunakan dalam penyadapan SMS adalah IMEI/IMSI Catcher. Alat ini berfungsi sebagai fake Base Transceiver Station (BTS) yang meniru sinyal tower seluler. Dengan berpura-pura sebagai tower seluler yang sah, IMEI/IMSI Catcher dapat mengelabui ponsel korban untuk terhubung ke alat tersebut, memungkinkan penyerang untuk mengintersepsi komunikasi suara (voice), termasuk SMS yang berisi OTP dan mengaktifkan microphone handphone korban sebagai alat untuk mendengarkan suara disekitar handphone seolah-olah handphone korban menerima panggilan telpon (seperti handphone kepencet) tanpa disadari dan terlihat di layar handphone, fitur ini disebut ambience system.
Selain itu modus lain yang digunakan untuk membobol SMS OTP, kelemahan dalam jaringan Signalling System No. 7 (SS7) milik penyelenggara jaringan telekomunikasi, protokol yang digunakan untuk menghubungkan jaringan telekomunikasi, juga bisa dimanfaatkan untuk menyadap SMS. Para penyerang yang memiliki akses ke SS7 dapat mengintai dan mencuri data dari jaringan tanpa diketahui oleh korban atau operator. Protokol ini berdasarkan rekomendasi dari ETSI (European Telecommunication Standard Institute) sudah dilarang untuk digunakan oleh penyelenggara jasa telekomunikasi dan meningkatkan enkripsi pada jaringan BTS tidak lagi menggunakan algoritma enkripsi A5.1 yang sudah dapat didekripsi tetapi menggunakan algoritma enkripsi A5.3
Masyarakat menurut Dr.Ir. Mohammad Ridwan Effendi, dari ITB harus waspada jika tidak merasa meminta SMS OTP dan tidak menerima SMS OTP di handphonenya tiba-tiba, akun email, akun Whatsapp terdapat notifikasi permintaan SMS OTP. Atau tiba-tiba mendapat SMS seolah olah dari nomor SMS Center dari Bank yang berisi link yang harus diklik yang ternyata itu berisi trojan atau modus phising. Ridwan menambahkan bahwa seharusnya peredaran dan penggunaan alat-alat IMEI/IMSI Cather atau Fake BTS ini tidak bisa dimiliki oleh sembarangan orang atau untuk umum. Peralatan IMEI/IMSI Catcher ini sebenarnya alat yang digunakan oleh aparat penegak hukum dan pada saat pembelian memerlukan ijin export license. Alat ini biasakan dimiliki oleh lembaga penegak hukum dan lembaga intelijen.
Umumnya alat penyadapan atau kontra intelijen digunakan secara legal, misalnya oleh penegak hukum dengan perintah pengadilan yang sah sesuai undang-undang. Alat IMEI/IMSI Catcher memang masuk kategori unlawful interception (alat penyadapan yang tidak sah). Dengan kejadian maraknya pembobolan SMS OTP menimpa masyarakat, aktivis, mahasiswa, maka Komdigi harus mulai melakukan standar pengawasan, audit penggunaan teknologi intersepsi yang sah secara ketat sesuai dengan prosedur hukum untuk memastikan bahwa privasi dan hak asasi manusia tidak dilanggar.
Kasus Penyadapan SMS dan OTP Saat Ini Bukan Pertama Kali
Beberapa kali kejadian di Indonesia mengalami beberapa insiden penyadapan SMS yang menimpa figur publik dan masyarakat umum. Salah satunya adalah kasus yang menimpa Antasari Azhar, mantan Ketua Komisi Pemberantasan Korupsi (KPK), di mana ponselnya diduga disadap selama periode menjelang penangkapan dirinya pada tahun 2009 dan seolah-olah mengirimkan SMS ke nomor ponsel Nazaruddin yang meninggal ditembak. Saksi ahli waktu itu Dr. Ir Agung Harsoyo dari ITB membuktikan dipengadilan bahwa dari beberapa nomor ponsel milik antarasi berdasarkan catatan dari Call Detail Records (CDR) dari operator jasa telekomunikasi seperti Mobile8, Telkomsel, Smartfren tidak terbukti adanya SMS dari ponsel Antasari ke Nazarudin.
Kasus lain yang menghebohkan melibatkan jurnalis dari Narasi.Com dimana akun Whatsapp mereka diambil alih oleh pihak tidak bertanggung jawab, beberapa aktivis mahasiswa juga mengalami hal yang sama dan masyarakat yang mengalami pembobolan rekening bank setelah menerima SMS palsu yang mengandung OTP seolah-olah dari nomor resmi bank.
Penyadapan ilegal SMS OTP tidak hanya berpotensi mengakibatkan kerugian finansial, tetapi juga melanggar privasi pribadi (UU PDP). Dalam konteks hukum, pelaku penyadapan tanpa izin dapat dijerat dengan pelanggaran terhadap undang-undang keamanan siber dan privasi. Penggunaan alat-alat seperti IMEI/IMSI Catcher dan eksploitasi SS7 tanpa wewenang jelas bertentangan dengan prinsip-prinsip perlindungan data dan privasi yang diatur dalam regulasi nasional maupun internasional dan pihak regulator dalam hal ini Komdigi harus melakukan audit, pendataan dan aturan ketat impor peralatan IMEI/IMSI Catcher atau Fake BTS dan meminta penyelenggara jasa telekomunikasi menerapkan penggunaan algoritma A5.3 pada jaringan BTS mereka.
Pencegahan dan Solusi
Untuk melindungi diri dari serangan seperti penyadapan SMS OTP, masyarakat dan institusi harus meningkatkan keamanan informasi mereka dan tidak mudah menklik link yang tidak jelas melalui SMS atau Whatsapp. Penggunaan otentikasi dua faktor (double authentification) yang menggabungkan SMS dengan metode lain seperti aplikasi otentikator atau notifikasi email dapat mengurangi risiko keamanan. Selain itu, edukasi mengenai keamanan siber harus ditingkatkan untuk memperkuat kesadaran publik tentang risiko dan tindakan pencegahan yang bisa diambil. Masyarakat menurut Ridwan juga harus sering melakukan update software operating system pada ponselnya secara rutin, karena versi lama menjadi celah phising, trojan/intrusion.
Penulis : Danny Wibisono
Editor : Hari Tri Wasono
