JAKARTA, KOMPAS–Hingga kini belum ada regulasi yang dapat melindungi masyarakat dari ulah penipu yang mengincar OTP (one time password) untuk mencuri akun aplikasi. Dampak kejahatan ini cukup serius karena selain menguras saldo dompet digital, pelaku menggunakan akun korban sebagai sarana untuk kembali melancarkan kejahatannya.
AA Wahyu Supriadin, sopir ojek daring ini contohnya tak hanya dirugikan karena akun Gojek miliknya dicuri pelaku, dan saldo hasil kerjanya mengojek sebesar Rp 51.000 yang tersimpan di akun itu dikuras pelaku. Namun, akun miliknya sebagai mitra Gojek yang memuat data pribadinya, meliputi nama lengkap dan nomor ponsel, digunakan pelaku untuk mencuri akun pelanggan Gojek. Akibat kejadian ini, Wahyu diputus mitra oleh pihak Gojek pada 31 Januari lalu.
Nana, karyawati perusahaan media di Jakarta ini pun tak hanya merugi hingga Rp 1,7 juta karena 3 akun aplikasi miliknya dicuri pelaku. Namun pelaku pun berupaya menggunakan akun Tokopedia milik Nana yang memuat nama dan nomor ponselnya untuk mendirikan toko di pasar daring itu. Diduga toko itu pun akan digunakan pelaku untuk kembali menipu pelanggan di Tokopedia.
Sejauh ini hanya Undang-Undang Informasi dan Transaksi Elektronik yang diandalkan kepolisian untuk menjerat pelaku setelah terjadinya pencurian akun aplikasi maupun nomor ponsel. Sementara regulasi yang dapat melindungi pengguna dari jangkauan pencuri akun aplikasi, ini belum tersedia.
Padahal hampir semua akun aplikasi kini hanya dapat dipergunakan jika penggunanya mendaftarkan diri dengan nomor ponsel. Melalui nomor ponsel yang didaftarkan di aplikasi itu pula pengelola aplikasi mengirimkan kode OTP. Hal ini pun belum ada regulasi yang mengaturnya. Sementara menurut Kasubdit I Direktorat Tindak Pidana Siber, Bareskrim Polri, Komisaris Besar Reinhard Hutagaol, masih ditemukan OTP yang dikirim tanpa dilengkapi dengan peringatan agar kode itu tidak dibagikan kepada siapa pun.
Baca juga: Akses Ilegal Data Pribadi Berujung Terkurasnya Rp 300 Juta dari Rekening Ilham Bintang
Di tengah kekurangan regulasi, masyarakat mulai mengandalkan segala kemudahan yang disediakan berbagai aplikasi di ponselnya. Bahkan menurut App Annie, wadah yang menyediakan analisis aplikasi dan data pasar aplikasi, Indonesia merupakan negara ketiga yang paling banyak mengunduh aplikasi setelah India dan China.
Di dunia setidaknya ada 204 miliar aplikasi diunduh, dan selama 2016-2019 pertumbuhan pengunduhan aplikasi di dunia sebesar 45 persen. Selama tiga tahun itu, pertumbuhan pengunduhan aplikasi di India sebesar 190 persen, China 80 persen, dan Indonesia 70 persen.
Sementara belakangan ini OTP yang diincar pelaku kejahatan tak hanya aplikasi transportasi daring dan aplikasi percakapan Whatsapp. Pelaku juga mengincar OTP untuk bertransaksi di aplikasi mobile banking.
Untuk membobol tabungan dengan aplikasi mobile banking, pelaku tak lagi meminta OTP dengan tipu daya. Sebaliknya pelaku mencuri nomor ponsel korbannya, seperti yang dialami wartawan senior Ilham Bintang. Akibatnya, uang tabungan sebesar Rp 300 juta dari rekening bank milik Ilham dikuras pelaku. Pencurian ini terjadi setelah pelaku dapat menguasai nomor ponsel Ilham dengan cara meminta penggantian kartu sim di gerai Indosat.
Baca juga : Modus Pencurian Kode OTP
Dengan dikuasainya nomor ponsel Ilham, pelaku dapat leluasa melakukan penarikan saldo rekening Ilham di Bank Commonwealth lewat mobile-banking. Setiap aktivitas di aplikasi perbankan itu menggunakan konfirmasi OTP yang dikirim ke nomor ponsel.
Ilham yang ditemui akhir Januari lalu mengungkapkan, padahal ada 8 informasi terkait data pribadi yang harus diisi untuk mengaktifkan aplikasi mobile-banking Commonwealth. Jika ingin melakukan transfer, ia baru memperoleh OTP dari sistem bank. OTP itu yang digunakan untuk mengonfirmasi setiap transfer uang yang dilakukan.
Berdasarkan hasil pemeriksaan Polda Metro Jaya, diketahui pelaku bisa memperoleh data pribadi Ilham dari jual-beli data pribadi yang melibatkan salah satu pekerja bank. Pelaku pun menguras tabungan Ilham lewat aplikasi mobile banking.
Ilham menduga, pelaku mencuri nomor ponselnya agar bisa memperoleh OTP dengan lebih mudah. Dengan demikian, pelaku bisa lebih lancar mentransfer saldo di tabungannya lewat mobile-banking ke rekening milik pelaku. “Itu faktanya,” ucapnya. Sementara pihak Bank Commonwealth tak merespons permintaan konfirmasi yang diajukan Kompas.
Baca juga : Teperdaya Akibat Kurang Waspada
Belum Ada Mekanisme
Agung Harsoyo, ahli teknologi telekomunikasi Institut Teknologi Bandung dan juga Komisioner Badan Regulasi Telekomunikasi Indonesia menyampaikan, masih adanya kelemahan di manusia menimbulkan kerentanan pada OTP. Oleh karena itu dibutuhkan adanya mekanisme untuk merespons kejadian, yakni mitigasi untuk meminimalkan dampaknya. Satu lagi adalah forensik untuk mencari kelemahan sistem dan mengungkap pelakunya.
“Di kita ini biasanya di sisi forensik itu tidak cukup (masih sedikit). Misalkan, AA Wahyu Supriadin, dia melapor (akunnya dicuri), maka biasanya hanya diblok (akun Gojek miliknya), sebagai langkah mitigasi. Setelah itu selesai. Padahal soalnya adalah bagaimana penjahatnya itu tertangkap. Kita memang belum ada mekanisme baku (untuk mengungkap kejahatan semacam ini),” jelasnya.
Agung mengatakan, selain mengungkap pelaku, langkah forensik dibutuhkan untuk mengungkapkan sumber masalah. Salah satunya untuk mencari tahu kelemahan pada sistem aplikasi, apakah aplikasi itu sudah melaksanakan pengamanan akun dengan menerapkan pengamanan dua sampai tiga lapis. “Ini berguna untuk mencari kelemahan sistem. Misalkan two factor authentification (dua lapis otentifikasi) yang diterapkan aplikasi itu kurang. Semestinya itu ada dua atau tiga (lapis pengamanan),” jelasnya.
Demikian pula pada pencurian nomor ponsel yang dialami Ilham Bintang. Menurut Agung, setelah dilakukan penyidikan diketahui bahwa penggantian kartu itu dijalankan dengan tidak mematuhi standar operasional prosedur. Pekerja operator menyodorkan formulir penggantian kartu SIM kepada seorang pria yang diduga pelaku, dan hanya memintanya menandatangani formulir itu. Padahal ada serangkaian langkah yang harus dilakukan pemohon untuk memperoleh penggantian kartu SIM, seperti menyebutkan tiga nomor ponsel yang kerap dihubungi.
Sebagai langkah antisipasi ke depan, Agung mengatakan, BRTI tengah merancang mekanisme registrasi nomor ponsel sehingga nomor ponsel tidak mudah dicuri. Opsinya adalah selain mendaftar dengan nomor induk kependudukan dan kartu keluarga yang telah dijalankan sekarang, tetapi juga dilengkapi dengan pengenalan wajah.
“Teknologi pengenalan wajah ini sudah cukup mapan. Ini tentunya mudah dilakukan pada ponsel pintar. Sebaliknya bagi pengguna ponsel fitur yang hanya dapat digunakan untuk telepon dan SMS, maka akan dirancang agar penggunanya dapat melakukan pengenalan wajah di operator (nomor ponsel). Hal ini sedang dikaji. Kita akan melihat kemungkinan untuk diterapkan, supaya nanti di masyarakat tidak timbul gejolak,” jelasnya.
UU PDP Dibutuhkan
Melihat pencurian akun aplikasi yang masih terus terjadi hingga saat ini, kriminolog Universitas Indonesia dan juga anggota Ombudsman RI Adrianus Meliala menyampaikan, selain ada kelemahan di sisi manusia, kejahatan ini tumbuh subur juga akibat masih kurangnya regulasi dalam memberikan perlindungan terhadap pengguna aplikasi. Sementara Undang-Undang Informasi dan Transaksi Elektronik, menurutnya, masih belum memadai untuk menjerat kejahatan di ruang siber.
Pencurian akun aplikasi, menurutnya, pun dapat dikategorikan sebagai pencurian data pribadi karena di akun itu memuat nama pemilik akun dan nomor ponselnya. Hingga kini pasal terkait pencurian data pribadi itu baru diakomodasi di Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang kini masih dibahas di DPR.
“Saya berpikir, selama ini kita masih dalam situasi lawless. Perusahaan bank, contohnya, menganggap mengambil data pribadi itu sesuatu hal free, wajar. Maka dengan datangnya UU PDP akan membuat hal itu (pengambilan data pribadi) menjadi sesuatu yang tidak wajar dan bahkan terlarang. Itu saja sudah lompatan besar,” jelas Adrianus.
Baca juga: Data Pribadi Dijual Bebas
Direktur Jenderal Aplikasi Informatika, Kementerian Komunikasi dan Informatika, Semuel Abrijani Pangerapan menyampaikan, di era digital ini pada dasarnya kita harus membangun kepercayaan dalam berinteraksi di ruang digital. Jika ada orang memanfaatkan celah kepercayaan yang dibangun ini, maka itulah adanya undang-undang seperti UU ITE.
Jika nanti RUU PDP disahkan menjadi undang-undang, lanjut Semuel, setiap pencurian data pribadi yang tujuannya data itu digunakan untuk kejahatan maka dapat dijerat dengan ancaman pidana 10 tahun penjara. “Kejahatan (pencurian data pribadi) ini hukumannya cukup berat. Dalam pikiran saya, itu pembunuhan di ruang digital. Makanya dikasih hukuman 10 tahun,” jelasnya.
Namun Semuel mengingatkan, UU PDP ini baru sebagai dasar perlindungan. Masih tetap dibutuhkan aturan tambahan sehingga perlu ada otoriti yang akan membuatnya direktif sehingga UU ini menjadi UU yang hidup. “UU yang hidup itu harus ada direktif yang selalu dikeluarkan. Kalau ini bagaimana, kalau itu bagaimana, harus ada panduan yang terus berkembang,” jelasnya.
Kalau mau melakukan literasi digital, kita harus pikirkan satu-dua langkah ke depan sebelum kejahatan itu terjadi.
Ketua Pengurus Harian Yayasan Lembaga Konsumen Indonesia, Tulus Abadi menyampaikan, masalah perlindungan pada konsumen di era digital itu ada pada perlindungan data pribadi. Karena jika kita bicara konsumen di siber, maka itu meliputi semua identitas milik konsumen mulai dari nomor ponsel, alamat surat elektronik, alamat rumah, kartu kredit, termasuk rekening bank.
“Dari semua transaksi (di siber), ending-nya (akhirannya) adalah soal perlindungan data pribadi milik konsumen. Ini yang kita masih sangat lemah karena belum memiliki Undang-Undang PDP,” jelasnya.
Sejauh ini, menurut Tulus, perlindungan bagi pengguna aplikasi baru sebatas dilakukan oleh pengelola aplikasi. Namun, menurut penilaiannya, perlindungan itu belum dijalankan secara komprehensif. “Saya kira ini memang perlu dilembagakan oleh pemerintah, Kementerian Kominfo, sehingga di satu sisi self of conduct (perlindungan langsung dari pengelola aplikasi) itu penting, tetapi harus dilembagakan sehingga menjadi mandatori. Harus ada perbaikan sistem juga di sana,” jelasnya.
Literasi Digital
Selain itu, kata Tulus, literasi digital di masyarakat juga harus ditingkatkan. Untuk mengendalikan kejahatan di ruang digital ini perlu peran serta dari semua pihak. Korban menyerahkan kode OTP kepada pencuri akun aplikasi, contohnya, itu bisa terjadi karena kelemahannya ada pada pengguna aplikasi yang mudah terjerat tipu daya pelaku.
“Sebagus apa pun sistemnya, kalau (penggunanya) masih bisa diakali maka akan ada titik lemahnya. Justru antisipasinya secara holistik, salah satunya harus tingkatkan literasi digital itu,” jelasnya.
Baca juga : Saling Berbagi Modus Pencuri Akun Aplikasi
Namun jika melihat dari segi kejiwaan, seperti diungkapkan psikolog Ratih Ibrahim, siapa pun bisa terjerat tipu daya, tanpa memandang tingkat pendidikan dan kelas sosial apa pun. Satu-satunya yang dapat mencegah tipu daya adalah tingkat kewasdapaan seseorang.
Oleh karena itu, menurut Ratih, literasi digital yang diberikan pun harus memperhatikan modus-modus kejahatan yang kemungkinan terjadi di kemudian hari. Sebab, kejahatan yang terjadi saat ini pun mengikuti kemajuan teknologi.
“Kalau mau melakukan literasi digital, kita harus pikirkan satu-dua langkah ke depan sebelum kejahatan itu terjadi. Mengantisipasi. Jadi literasi digitalnya adalah promosi penggunaan kewaspadaan dari kejahatan siber. Sebab, saat kita sibuk promosi (kewaspadaan), kejahatan tetap berjalan. Akhirnya kita seperti kejar-kejaran dengan kriminal,” jelas Ratih. (BKY/DVD)
KOMPAS, 04032020 Hal. 1.
