Akhir tahun lalu, OJK (Otoritas Jasa Keuangan) menyebutkan besarnya kerugian yang dialami para konsumen sejumlah bank di Indonesia akibat penipuan adalah Rp2,5 triliun, plus sebagian besar dari penipuan tersebut memanfaatkan OTP (one-time password). Belum lama ini di Jakarta, VIDA (PT Indonesia Digital Identity) mengungkapkan kembali hal itu serta menawarkan Phone Token dan Face Token menggantikan OTP untuk autentikasi yang lebih aman. VIDA Phone Token dan VIDA Face Token diklaim lebih sulit untuk disalahgunakan.
Rentannya autentikasi memanfaatkan OTP yang umumnya dihantarkan via SMS (short message service) pun menjadi temuan studi terbaru VIDA. Studi terbaru perihal autentikasi yang dilakukan VIDA beberapa bulan terakhir di Jakarta dan melibatkan para responden, baik bisnis maupun consumer, dengan sejumlah latar belakang; menemukan banyak bisnis dan consumer mengalami cyber security incident terkait SMS OTP.
Adapun kerugian yang disampaikan OJK adalah berdasarkan laporan sepuluh bank di tanah air sejak tahun 2022 sampai kuartal pertama tahun 2024 yang diterimanya. Pemanfaatan OTP dalam penipuan yang dimaksud adalah oleh para penipu yang memperolehnya dari para korban. Pemberian OTP tersebut dilakukan oleh para korban sendiri, sewajarnya berkat social engineering alias rekayasa sosial yang dilakukan para penipu. Mendapatkan OTP, suatu penipu bisa mengambil alih akun seorang korban dan menguras dana yang tersimpan.
“Penipuan seperti ini semakin hari semakin banyak kita temukan korbannya. Penipuan memakai modus social engineering untuk mendapatkan informasi pribadi, password, KTP, dan nomor OTP, kemudian mengambil alih akun pribadi Anda,” ujar Niki Luhur (Founder dan Group CEO, VIDA). “Sistem keamanan seperti OTP, itu sudah berumur 30 tahun, 30 tahun…Bayangkan, musuhnya modern, tapi dilawan dengan senjata kuno. Itu makanya kejahatan online kita masih tinggi dan berkembang secara pesat.”
Penipuan pengambilalihan akun juga terus berlanjut sampai saat tahun 2025 ini. Populer dengan sebutan ATO (account takeover), OJK mengatakan mendapatkan banyak pengaduan terkait external fraud yang dialami para konsumen dan salah satu bentuk yang dominan adalah ATO. OJK Mencatat sebanyak 2.688 pengaduan terkait external fraud yang dialami sejumlah konsumen selama tahun 2024 plus bulan Januari tahun 2025.
OJK menyebutkan besarnya kerugian yang dialami para konsumen sejumlah bank di Indonesia akibat penipuan adalah Rp2,5 triliun dan sebagian besar dari penipuan itu memanfaatkan OTP.
“Selama tahun 2024 hingga Januari 2025, OJK mencatat total 2.688 pengaduan terkait external fraud yang dialami konsumen. Adapun, salah satu bentuk external fraud yang paling dominan dan sering diadukan oleh konsumen adalah Account Takeover (ATO). Data ini menunjukkan pentingnya kolaborasi seluruh pihak dalam memerangi penipuan digital,” kata Arwan Hasibuan (Deputi Direktur Pelayanan Konsumen dan Pemeriksaan Pengaduan Pasar Modal, Keuangan Derivatif, dan Bursa Karbon Otoritas Jasa Keuangan).
Secara lebih spesifik, terdapat empat temuan dari studi terbaru VIDA perihal autentikasi yang dikedepankan. Lebih lengkap mengenai studi terbaru VIDA yang dimaksud bisa dilihat pada white paper VIDA bertajuk “Where's The Fraud: The State of Authentication and Account Takeovers in Indonesia” yang bisa diperoleh di situsnya. White paper ini turut diluncurkan pada acara bertajuk “Where’s the Fraud: How to Face Account Takeovers and AI-Generated Fraud” ini. Adapun keempat temuan tersebut adalah seperti berikut:
- Sebanyak 67% consumer menyatakan terdapat transaksi yang unauthorized alias bukan mereka yang melakukan pada salah satu akun digitalnya.
- Sejumlah 84% bisnis melaporkan cyber security incident alias insiden keamanan siber yang terkait dengan SMS OTP, termasuk penukaran (kartu) SIM dan serangan phishing.
- Sebanyak 98% bisnis melaporkan mengalami aneka permasalahan autentikasi. Namun, hanya 9% bisnis yang telah menjajaki alternatif dari SMS OTP.
- Sejumlah 46% bisnis tidak memiliki pengetahuan tentang cara mengurangi risiko ATO.
Sementara VIDA Phone Token dan VIDA Face Token, sebenarnya sudah ditawarkan sejak beberapa waktu silam. Pada peluncuran VIDA Identity Stack yang diselenggarakan pada bulan September lalu, seperti yang InfoKomputer beritakan di sini, VIDA sudah mengedepankan Phone Token dan Face Token. Ditujukan untuk bisnis, khusus bagi organisasi-organisasi yang hadir pada pergelaran kali ini, VIDA menawarkan Phone Token dan Face Token secara gratis untuk 6 bulan pertama.
“Selama 30 tahun terakhir, SMS jadi andalan untuk autentikasi. Tapi di era digital fraud berbasis AI sekarang ini, sudah saatnya kita beralih ke sistem autentikasi yang lebih aman. VIDA akan menunjukkan betapa mudahnya, tetapi dengan tingkat keamanan yang jauh lebih tinggi,” sebut Niki mengenai VIDA Phone Token dan VIDA Face Token menggantikan OTP via SMS dan sejenisnya untuk autentikasi yang lebih aman.
“Di era digital ini, sistem pembayaran yang aman dan efisien sangat penting. Kami mengapresiasi langkah-langkah inovatif dalam autentikasi yang tidak hanya meningkatkan keamanan transaksi, tetapi juga memberikan kemudahan bagi pengguna dalam melakukan pembayaran digital,” ucap Djamin Edison Nainggolan (Direktur Eksekutif Asosiasi Sistem Pembayaran Indonesia).
VIDA Phone Token dan VIDA Face Token
VIDA Phone Token, seperti namanya, menggunakan smartphone/perangkat —smartphone/perangkat pengguna — sebagai token. Alhasil seorang pengguna hanya bisa masuk ke dalam suatu akun dan bertransaksi melalui smartphone/perangkat yang sesuai — smartphone/perangkat pengguna bersangkutan yang sudah dijadikan token — saja.
Saat seorang pengguna pertama kali membuat akun pada sebuah aplikasi yang menggunakan VIDA Phone Token misalnya, VIDA Phone Token akan membuat kunci kriptografi yang spesifik untuk smartphone/perangkat tempat aplikasi tersebut berada. Smartphone/perangkat yang berbeda akan memiliki kunci kriptografi yang berbeda. Kunci kriptografi ini diklaim pula sifatnya rahasia dan tidak bisa di-clone. Transaksi hanya akan diproses bila kunci kriptografinya sesuai — dilakukan dari smartphone/perangkat yang sesuai.
Adapun VIDA Face Token, juga seperti namanya, menggunakan wajah — wajah pengguna — sebagai token. Transaksi hanya akan diproses bila wajah yang sesuai yang ditangkap oleh suatu aplikasi melalui kamera. Namun, VIDA memastikan Face Token mengandung pula teknologi phone token. VIDA Face Token dilengkapi dengan pengenalan wajah tingkat lanjut dan liveness detection yang diklaim membuatnya sulit untuk ditipu, seperti dengan presentation attack — foto dan video. Seorang pengguna sebelumnya tentu perlu mendaftarkan wajahnya.
Dalam hal transaksi keuangan, VIDA Face Token contohnya bisa diwajibkan untuk digunakan sebagai autentikasi tatkala nilai transaksinya besar alias mencapai atau lebih dari nilai tertentu. Sementara VIDA Phone Token misalnya bisa diwajibkan untuk digunakan sebagai autentikasi saat nilai transaksinya kecil alias kurang dari nilai tertentu.
VIDA menegaskan bahwa autentikasi dengan Phone Token dan Face Token tidak hanya lebih aman dari autentikasi dengan OTP, melainkan juga lebih nyaman.
Dalam contoh ini, VIDA Face Token bisa menggantikan SMS OTP dan sejenisnya, sedangkan VIDA Phone Token bisa menggantikan PIN (personal identification number) dan sejenisnya maupun SMS OTP dan sejenisnya. Jadi, saat transaksi keuangannya bernilai kecil, VIDA Phone Token yang dipakai untuk autentikasi, bukan lagi PIN, SMS OTP, dan sejenisnya; sedangkan saat transaksi keuangannya bernilai besar, VIDA Face Token — mencakup VIDA Phone Token — yang dipakai untuk autentikasi, bukan lagi SMS OTP.
Begitu pula saat beralih ke smartphone/perangkat lain, seperti dari smartphone A yang biasa digunakan ke smartphone B yang baru dibeli: menginstal suatu aplikasi dan masuk ke dalam sebuah akunnya yang sudah digunakan sebelumnya di smartphone A pada smartphone B. VIDA Face Token misalnya bisa dimanfaatkan untuk autentikasi tatkala masuk ke suatu akun aplikasi, akun aplikasi yang telah digunakan sebelumnya, untuk pertama kalinya di sebuah smartphone/perangkat yang berbeda dari sebelumnya.
Dalam hal ini, VIDA Face Token bisa menggantikan SMS OTP. Jadi; saat masuk ke suatu akun aplikasi, akun aplikasi yang telah digunakan sebelumnya, untuk pertama kalinya di sebuah smartphone/perangkat yang berbeda dari sebelumnya; seorang pengguna memasukkan username, password, dan melakukan autentikasi wajah dengan VIDA Face Token; tidak lagi memasukkan username, password, dan OTP yang diperoleh via SMS dan sejenisnya.
Dibandingkan autentikasi yang memanfaatkan OTP via SMS dan sejenisnya, autentikasi yang menggunakan VIDA Phone Token maupun VIDA Face Token lebih aman, antara lain karena jauh lebih sulit untuk didapatkan oleh para penipu melalui social engineering. Suatu penipu sulit untuk mendapatkan kunci kriptografi yang seorang pengguna sendiri tidak tahu nilainya. Begitu pula dengan wajah. Suatu penipu sulit untuk mengambil swafoto seorang pengguna secara langsung ketika posisi keduanya tidak berdekatan.
Selain lebih aman, autentikasi memakai VIDA Phone Token dan VIDA Face Token yang masuk ke dalam VIDA Authentication Suite ini, juga lebih nyaman. Suatu pengguna tidak perlu menunggu SMS OTP dan sejenisnya hadir lalu memasukkannya untuk bertransaksi, melainkan bisa langsung bertransaksi ataupun melakukan swafoto untuk bertransaksi. Serupa halnya tatkala beralih ke smartphone/perangkat lain. Lagi pula SMS OTP dan sejenisnya kadang butuh waktu untuk diterima, bahkan kadang tidak hadir sama sekali.