Peningkatan Kasus Kejahatan Siber di Industri Jasa Keuangan dan Pasar Modal
Industri jasa keuangan dan pasar modal Indonesia menghadapi peningkatan signifikan dalam kasus kejahatan siber, terutama phishing, social engineering, dan situs palsu. Kejadian-kejadian ini menyebabkan kerugian finansial bagi nasabah dan investor. Dalam berbagai kasus tersebut, pelaku kejahatan berhasil memperoleh kredensial autentikasi seperti username, password, PIN, bahkan OTP tanpa disadari oleh korban.
Banyak yang tidak menyadari bahwa penyebab utama kerentanan adalah penggunaan Email-OTP, sebuah metode autentikasi yang mudah diakses dari berbagai perangkat, rentan diretas, dan menjadi sasaran utama phishing. Oleh karena itu, bank-bank besar di Indonesia mulai beralih ke sistem keamanan dengan SIM-OTP, bukan Email-OTP.
IPOT mengajak seluruh investor untuk memahami perbedaan antara Email-OTP dan SIM-OTP. Email-OTP, yang masih digunakan oleh sebagian besar sekuritas lain di Indonesia, rawan phishing, rentan pada password reuse, mudah diretas, dan tidak memiliki jejak audit telko. Berbeda dengan SIM-OTP, yang memiliki jejak audit dari operator seluler, tidak dapat di-forward, tidak dapat dicari di inbox, dan memaksa verifikasi fisik.
Sistem Keamanan Tiga Lapis IPOT
IPOT telah menerapkan sistem keamanan tiga lapis untuk melindungi aset investor. Sistem ini dirancang agar tetap aman bahkan ketika kredensial pengguna bocor. Ketiga mekanisme ini adalah:
-
SIM-OTP
IPOT secara konsisten menerapkan SIM-OTP (SMS One Time Password berbasis SIM card) sebagai bentuk autentikasi dua faktor. Sistem ini sejalan dengan praktik perbankan di Indonesia yang telah lama meninggalkan Email-OTP. SIM-OTP diakui sebagai gold standard karena mengandalkan kepemilikan fisik SIM card, berjalan pada jaringan operator seluler yang teregulasi, memiliki jejak audit telko, dan tidak dapat diteruskan, dicari, maupun diakses ulang lewat email atau cloud. Secara keamanan, sistem ini bermanfaat untuk melindungi proses otorisasi dengan verifikasi fisik dan mengikuti standar keamanan perbankan Indonesia. -
App-Scoper Device Identifier (ASDI)
IPOT juga menerapkan ASDI, yaitu mekanisme pembuatan identitas unik untuk setiap kombinasi aplikasi dan perangkat. Melalui ASDI, setiap akun IPOT hanya dapat diakses dari perangkat yang telah terdaftar. Kemudian, upaya login dari perangkat lain akan langsung ditolak dan identitas perangkat tidak dapat digandakan atau dipindahkan. Seluruh nasabah IPOT yang ada saat ini telah melalui proses registrasi perangkat menggunakan ASDI dengan validasi akhir melalui SIM-OTP. Dengan penerapan SIM-OTP, IPOT memastikan proses otorisasi menjadi sensitif, khususnya registrasi perangkat, mengikuti standar keamanan yang telah teruji dan diterapkan oleh industri perbankan nasional. Manfaat keamanan sistem ASDI adalah mengunci akses akun hanya pada perangkat tertentu dan mencegah login dari perangkat tidak dikenal. -
Add Device Approval
Sebagai lapisan perlindungan tambahan terhadap pencurian kredensial akibat phishing dan social engineering, IPOT memperkenalkan fitur Add Device Approval. Sistem ini berupa switch On/Off yang mengatur apakah penambahan perangkat baru diizinkan atau ditolak sepenuhnya, meskipun pelaku kejahatan telah mengetahui username, password, PIN, dan OTP. Secara default, Add Device Approval berada dalam posisi OFF. Penambahan perangkat baru hanya bisa dilakukan jika switch di perangkat terdaftar diubah ke ON secara manual. Setelah satu perangkat baru berhasil terdaftar, switch akan kembali ke posisi OFF. Dengan mekanisme ini, penambahan perangkat menjadi harus disadari sepenuhnya oleh pemilik akun, tidak dapat dilakukan secara diam-diam oleh pihak ketiga, dan memberikan sinyal jelas adanya niat (explicit intent) dari pengguna.
Komitmen IPOT dalam Meningkatkan Standar Keamanan
CEO Indo Premier Sekuritas (IPOT), Moleonoto The, menyatakan bahwa keamanan bukan sekadar fitur tambahan, melainkan fondasi kepercayaan investor. Melalui penerapan sistem keamanan tiga lapis ini, IPOT berharap dapat mendorong peningkatan standar keamanan di industri sekuritas Indonesia, sekaligus mengedukasi investor untuk lebih waspada terhadap ancaman siber.
