Dengan evolusi dunia digital, kebutuhan untuk mengamankan identitas pelanggan juga berkembang. Pelanggan saat ini mengharapkan pengalaman yang aman dari organisasi. Meningkatnya pemanfaatan layanan berbasis cloud dan perangkat seluler juga telah meningkatkan risiko pelanggaran data. Tahukah Anda kerugian peretasan akun secara keseluruhan meningkat 61% menjadi $2,3 miliar dan insidennya meningkat hingga 31% dibandingkan tahun 2014?
One-Time Password berbasis SMS adalah teknologi yang diciptakan untuk menangani counter phishing dan risiko keamanan terkait otentikasi lainnya di dunia web. Secara umum, OTP berbasis SMS digunakan sebagai faktor kedua dalam solusi otentikasi dua faktor. Ini mengharuskan pengguna untuk mengirimkan OTP unik setelah memasukkan kredensial untuk memverifikasi diri mereka sendiri di situs web. 2FA telah menjadi cara yang efektif untuk mengurangi insiden peretasan dan mencegah penipuan identitas.
Namun sayangnya, OTP berbasis SMS tidak lagi aman saat ini. Ada dua alasan utama di balik ini:
Pertama, keamanan utama OTP berbasis SMS bergantung pada privasi pesan teks. Tetapi SMS ini bergantung pada keamanan jaringan seluler dan akhir-akhir ini, banyak jaringan GSM dan 3G menyiratkan bahwa privasi SMS ini pada dasarnya tidak dapat diberikan.
Kedua, peretas mencoba yang terbaik untuk mengganggu data pelanggan dan oleh karena itu telah mengembangkan banyak trojan ponsel khusus untuk masuk ke data pelanggan.
Mari kita bicara tentang mereka secara rinci!
Risiko utama yang terkait dengan OTP berbasis SMS:
Tujuan utama penyerang adalah untuk mendapatkan kata sandi satu kali ini dan untuk memungkinkannya, banyak opsi dikembangkan seperti Trojan ponsel, intersepsi nirkabel, serangan SIM Swap. Mari kita bahas secara detail:
1. Intersepsi Nirkabel:
Ada banyak faktor yang membuat teknologi GSM kurang aman seperti kurangnya otentikasi bersama, kurangnya algoritma enkripsi yang kuat, dll. Ditemukan juga bahwa komunikasi antara ponsel atau BTS dapat disadap dan dengan bantuan beberapa kelemahan protokol, dapat didekripsi juga. Selain itu, ditemukan bahwa dengan menyalahgunakan femtocell juga komunikasi 3G dapat disadap. Dalam serangan ini, firmware yang dimodifikasi diinstal pada femtocell. Firmware ini berisi kemampuan sniffing dan intersepsi. Juga perangkat ini dapat digunakan untuk memasang serangan terhadap ponsel.
2. otp murah :
Ancaman terbaru yang meningkat untuk perangkat seluler adalah malware ponsel, khususnya Trojan. Malware ini dirancang khusus untuk mencegat SMS yang berisi One Time Passwords. Tujuan utama di balik pembuatan malware semacam itu adalah untuk mendapatkan uang. Mari kita pahami berbagai jenis Trojan yang mampu mencuri OTP berbasis SMS.
Bagian pertama dari Trojan yang diketahui adalah ZITMO (Zeus In The Mobile) untuk Symbian OS. Trojan ini dikembangkan untuk mencegat mTAN. Trojan memiliki kemampuan untuk mendaftarkan dirinya ke OS Symbian sehingga ketika mereka SMS dapat disadap. Ini berisi lebih banyak fitur seperti penerusan pesan, penghapusan pesan, dll. Kemampuan penghapusan sepenuhnya menyembunyikan fakta bahwa pesan pernah tiba.
Jenis Trojan serupa untuk Windows Mobile diidentifikasi pada Februari 2011, bernama Trojan-Spy.WinCE.Zot.a Fitur Trojan ini mirip dengan yang di atas.
Trojan untuk Android dan RIM Black Berry juga ada. Semua Trojan yang diketahui ini adalah perangkat lunak yang diinstal pengguna, itulah sebabnya mereka tidak memanfaatkan kerentanan keamanan apa pun dari platform yang terpengaruh. Juga, mereka menggunakan rekayasa sosial untuk meyakinkan pengguna agar menginstal biner.
3. Wi-Fi publik gratis dan hotspot:
Saat ini tidak lagi sulit bagi peretas untuk menggunakan jaringan WiFi yang tidak aman untuk menyebarkan malware. Menanam perangkat lunak yang terinfeksi di perangkat seluler Anda bukan lagi tugas yang sulit jika Anda mengizinkan berbagi file di seluruh jaringan. Selain itu, beberapa penjahat juga memiliki kemampuan meretas titik koneksi. Jadi mereka menampilkan jendela pop-up selama proses koneksi yang meminta mereka untuk meng-upgrade beberapa perangkat lunak populer.
4. Enkripsi dan duplikasi SMS:
Transmisi SMS dari lembaga ke pelanggan terjadi dalam format teks biasa. Dan perlu saya katakan, itu melewati beberapa perantara seperti agregator SMS, vendor seluler, vendor manajemen aplikasi, dll. Dan setiap kolusi peretas dengan kontrol keamanan yang lemah dapat menimbulkan risiko besar. Selain itu sering kali, peretas mendapatkan SIM yang diblokir dengan memberikan bukti ID palsu dan memperoleh duplikat SIM dengan mengunjungi gerai ritel operator seluler. Sekarang peretas jika bebas mengakses semua OTP tiba di nomor itu.
5. Perangkat Lunak:
Madware adalah jenis iklan agresif yang membantu menyediakan iklan bertarget melalui data dan lokasi Smartphone dengan menyediakan aplikasi seluler gratis. Tetapi beberapa madware memiliki kemampuan untuk berfungsi seperti Spyware sehingga dapat menangkap data pribadi dan mentransfernya ke pemilik aplikasi.
Apa solusinya?
Mempekerjakan beberapa tindakan pencegahan adalah keharusan untuk memastikan keamanan terhadap kerentanan SMS berbasis One time password . Ada banyak solusi di sini seperti memperkenalkan token Perangkat Keras. Dalam pendekatan ini, saat melakukan transaksi, token akan menghasilkan kata sandi satu kali. Pilihan lain adalah menggunakan proses otentikasi satu sentuhan. Selain itu, aplikasi juga dapat diminta untuk diinstal di ponsel untuk menghasilkan OTP. Berikut adalah dua tips lagi untuk mengamankan OTP berbasis SMS:
1. Enkripsi ujung ke ujung SMS:
Dalam pendekatan ini, enkripsi ujung-ke-ujung untuk melindungi satu kali kata sandi sehingga menghilangkan kegunaannya jika SMS disadap. Itu menggunakan “penyimpanan pribadi aplikasi” yang tersedia di sebagian besar ponsel saat ini. Area penyimpanan permanen ini bersifat pribadi untuk setiap aplikasi. Data ini hanya dapat diakses oleh aplikasi yang menyimpan data tersebut. Dalam proses ini, langkah pertama berisi proses yang sama untuk menghasilkan OTP, tetapi pada langkah kedua OTP ini dienkripsi dengan kunci customer-centric dan OTP dikirim ke ponsel pelanggan. Di telepon penerima, aplikasi khusus menampilkan OTP ini setelah mendekripsinya. Ini berarti bahkan jika Trojan dapat mengakses SMS, ia tidak akan dapat mendekripsi OTP karena tidak adanya kunci yang diperlukan.
2. Saluran khusus virtual untuk seluler:
Karena Trojan telepon adalah ancaman terbesar bagi OTP berbasis SMS, karena melakukan serangan Trojan dalam skala besar tidak sulit lagi, proses ini memerlukan dukungan minimal dari OS dan dukungan minimal hingga tidak ada dari penyedia jaringan seluler. Dalam solusi ini, SMS tertentu dilindungi dari penyadapan dengan mengirimkannya hanya ke saluran atau aplikasi khusus. Prosesnya membutuhkan saluran virtual khusus di OS ponsel. Saluran ini mengalihkan beberapa pesan ke aplikasi OTP tertentu sehingga membuatnya aman dari penyadapan. Penggunaan penyimpanan pribadi aplikasi memastikan keamanan untuk perlindungan ini.