Pentingnya e-KYC dalam Kasus SIM Swap Ilham Bintang
PerbesarKasus pembobolan rekening bank yang menimpa wartawan senior Ilham Bintang membuka mata publik bahwa transaksi digital tak seaman yang kita kira. SIM card Indosat milik Ilham dibajak oleh oknum tak bertanggung jawab lewat metode SIM Swap.
Nomornya itu kemudian dipakai untuk memverifikasi transaksi internet banking bernilai ratusan juta rupiah dari rekening Commonwealth Bank milik Ilham. Diketahui, proses verifikasi itu dilakukan lewat metode OTP (One Time Password).
Melihat kasus ini, Kementerian Komunikasi dan Informatika (Kominfo) berencana mendorong sertifikat digital untuk menjadi metode keamanan tambahan selain OTP. Kominfo menganggap OTP saja tidak cukup dan masih cukup lemah untuk mengamankan akun digital seseorang. Apalagi makin banyak oknum yang melakukan rekayasa sosial (social engineering).
Langkah yang diambil Kominfo itu disambut baik oleh pakar keamanan digital. Menurut Ruby Alamsyah, seorang ahli digital forensik, metode keamanan digital berlapis diperlukan guna menjaga keamanan akun digital pengguna.
Ruby menambahkan, sertifikat digital hanyalah salah satu jenis metode yang dapat diandalkan dalam transaksi digital. Menurutnya, industri layanan digital dapat menerapkan sertifikat digital kalau mereka sudah mampu mengimplementasikan teknologi tersebut. Namun, jika ternyata mereka belum mampu, industri tetap bisa menggunakan tambahan lapisan keamanan lainnya, seperti PIN atau token.
Senada dengan Ruby, Alfons Tanujaya, pakar keamanan siber dari Vaksincom, juga mengimbau sistem keamanan digital mesti dibuat berlapis.
"Prinsip dasar penggunaan TFA (Two Factors Authentification) dan OTP adalah harus ada dua faktor pengaman yang terpisah. Pertama adalah apa yang Anda ketahui (What you know) dalam hal ini adalah kredensial Username dan Password," jelas Alfons, dalam artikel yang dia unggah di situs web Vaksincom, Kamis (23/1).
"Kedua adalah apa yang anda miliki (What you have) dalam hal ini adalah token/kalkulator PIN yang akan mengeluarkan angka acak OTP Password sekali pakai. Jika prinsip ini dijalankan dengan baik dan benar harusnya pengamanan TFA ini sangat andal dan sulit ditembus," sambung Alfons.
Namun, Alfons punya pendapat berbeda dengan Ruby ketika menanggapi upaya Kominfo dalam mempromosikan sertifikat digital. Menurutnya, Kominfo kurang tepat ketika menganggap OTP sebagai sistem yang lemah untuk membendung hack.
Alfons menjelaskan, setiap kasus hack atau pembobolan akun harus dilihat kasus per kasus. Bobolnya sistem keamanan OTP dalam kasus Ilham Bintang, kata dia, lebih disebabkan oleh keberhasilan pelaku dalam mengambil data pribadi korban melalui rekayasa sosial berupa phishing.
"Celah keamanan transaksi itu harus dilihat celah keamanan yang mana. Jadi harus case by case, tidak bisa ada satu solusi untuk semua masalah," kata Alfons, ketika dihubungi kumparan, Kamis (23/1).
"Kalau celah keamanannya rekayasa sosial misalnya, itu sistem TFA-nya enggak bermasalah. Tapi, manusianya yang 'dikadalin', harus dipintarkan manusianya atau di-tune up sistemnya supaya sulit direkayasa," sambungnya.
Kasus Ilham Bintang bukan karena satu faktor
Adapun menurut Ruby, kasus pembobolan rekening Ilham Bintang memang bukan disebabkan oleh satu faktor permasalahan saja. Menurutnya, ini adalah kegagalan sistem keamanan digital yang sifatnya multi-faktor.
Bagi Ruby, pelaku memang bisa mendapatkan data pribadi korban melalui rekayasa sosial berupa phishing. Meski demikian, kata dia, dana yang ada di rekening korban mungkin tak akan bisa diambil jika operator dan bank punya sistem keamanan yang berlapis.
"Kejadian ini terjadi bukan karena single point of failure. Bukan karena di satu titik operator. Itu ada tahapannya," kata Ruby.
Sebelumnya, Ruby menjelaskan bahwa terdapat tiga langkah yang dipakai pelaku untuk membobol rekening Ilham Bintang. Ketiganya adalah phishing, SIM Swap, dan login akun bank.
Menurut analisis Ruby, pelaku tak akan dapat melakukan SIM Swap jika operator memiliki sistem know your customer (KYC) berbasis elektronik yang terhubung dengan data kependudukan (Dukcapil). Melalui sistem tersebut, KTP salinan yang dibuat pelaku melalui phishing dapat dideteksi karena tak sesuai dengan data yang dihimpun pemerintah.
Indosat Ooredoo, operator seluler yang digunakan oleh Ilham, memang telah mengaku lalai dalam memverifikasi pelaku. Sumber internal mereka juga menyebut bahwa pelaku datang dengan KTP palsu yang beridentitas Ilham, tapi menampilkan foto wajah pelaku.
Di sisi lain, Ruby juga mengevaluasi sistem keamanan transaksi di bank yang digunakan Ilham. Menurut analisisnya, pelaku dapat memindahkan dana milik Ilham karena bank terkait tak dilengkapi dengan sistem keamanan transaksi.
"Kalau kami analisis dari kasus ini, dan kasus serupa, keyword-nya adalah mobile banking application atau internet banking bank tertentu itu masih hanya menggunakan satu layer keamanan saja, yaitu OTP via SMS, baik untuk reset password maupun konfirmasi transaksi," kata Ruby.
Adapun Commonwealth Bank, bank tempat Ilham menaruh dana yang dibobol pelaku, menyatakan bahwa transaksi ratusan juta rupiah pada layanan mobile dan internet banking Ilham Bintang, dilakukan dengan user ID dan password yang benar. Bank asal Australia itu juga mengklaim selalu mengirimkan OTP untuk konfirmasi transaksi baik melalui mobile banking maupun internet banking sesuai dengan prosedur bank.
Pentingnya e-KYC dalam industri digital
Dari analisis Ruby tersebut, kita dapat menarik satu benang merah bahwa perusahaan perlu mengetahui pelanggannya secara pasti sebelum melakukan perubahan apapun.
Bagi operator, mereka perlu mengetahui bahwa permintaan pergantian SIM card memang dilakukan oleh konsumen yang sebenarnya. Sedangkan untuk bank, mereka perlu mengetahui bahwa transaksi yang ada memang dilakukan oleh nasabah yang asli.
Sistem untuk mengetahui pelanggan sebenarnya telah diupayakan oleh perusahaan melalui prinsip Know Your Customer (KYC). Namun, sistem ini bisa dibilang masih manual dan belum benar-benar menggunakan teknologi yang lebih maju.
Menurut Meidy Fitranto, CEO dan Co-Founder perusahaan kecerdasan buatan Nodeflux, sistem KYC mesti berevolusi menjadi e-KYC (Electronic Know Your Customer). Melalui e-KYC ini, oknum tak bertanggungjawab dapat diketahui secara langsung karena verifikasi dilakukan oleh teknologi.
Sistem e-KYC dapat terhubung ke database KTP di Dukcapil, sehingga perusahaan yang menerapkan teknologi tersebut, dapat melakukan verifikasi identitas yang ada di KTP, sekaligus menyamakan foto orang yang datang ke customer service dengan KTP yang resmi terdaftar.
"E-KYC sangat penting, dalam konteks bahasan ini, memang salah satu manfaatnya adalah mengurangi peluang fraud activities," kata Meidy, ketika dihubungi kumparanTECH.
"Dengan mekanisme digital kita bisa membuat hanya hasilnya saja yang dikeluarkan, bukan data aslinya. Selain itu, proses dilakukan sebagian besar oleh mesin/teknologi yang digunakan, dan mengurangi kemungkinan adanya kesalahan dari manusia/human error," pungkasnya.
Pemerintah sendiri sedang menggenjot verifikasi pengguna berbasis elektronik. Selain menyosialisasikan sertifikat digital, Kominfo berencana untuk mewajibkan registrasi kartu SIM melalui data biometrik, termasuk sensor sidik jari dan retina mata.
Harapannya, dengan registrasi SIM berbasis biometrik ini, kasus semacam Ilham tak akan terjadi lagi.
