Dilema SMS Notifikasi, Antara Soal Keamanan dan Transaksi Senyap

Short Message Service (SMS) masih jadi primadona untuk pengamanan transaksi keuangan berbasis online, meski ada sisi gelapnya. (Foto: Istockphoto/Sadi Maria)

PARBOABOA, Jakarta - Pengamanan otentikasi dua faktor alias Two Factor Authentication (TFA) menjadi primadona untuk pengamanan transaksi keuangan berbasis online. Tapi mengapa harus melalui Short Message Service (SMS)? 

Pakar Keamanan Teknologi Informasi, Alfons Tanujaya menyampaikan bahwa TFA memiliki keunggulan di mana passwordnya hanya bisa dipakai satu kali, alias One Time Password (OTP).

Maka jika password akun berhasil dicuri baik dengan keylogger, trojan atau bocor karena kecerobohan pengelola aplikasi, akun tersebut tetap akan aman sebab diproteksi dengan OTP yang hanya diketahui oleh pemilik akun.

Alfons menuturkan, TFA memiliki sejumlah alternatif pengiriman seperti kalkulator token yang digunakan internet banking, aplikasi authenticator seperti Google Authenticator atau Authy, USSD atau SMS. 

"Karena pertimbangan jangkauan, biaya dan kemudahan penggunaan SMS merupakan sarana yang paling banyak digunakan untuk mengirimkan OTP karena layanan SMS sudah termasuk kedalam paket operator," papar Alfons melalui keterangan tertulisnya kepada PARBOABOA, Kamis (14/12/2023). 

Selain itu, kelebihan lainnya adalah tanpa perlu lagi tambahan biaya saat menerima SMS. Membuka SMS juga tidak membutuhkan keahlian khusus seperti membuka aplikasi authenticator atau repot membawa-bawa kalkulator token.

Sisi Gelap SMS

Namun begitu, kata Alfons, SMS merupakan sarana pengiriman informasi yang kurang aman karena tidak dienkripsi. Apalagi jika dibandingkan pengiriman pesan modern seperti Whatsapp, Telegram, Signal, hingga Palapa buatan anak bangsa.

Kurangnya keamanan tersebut ditandai dengan eksploitasi SMS menggunakan APK palsu di Android dalam bentuk aplikasi palsu yang menjelma sebagai undangan pernikahan, kurir online, hingga surat tilang. 

"Yang jika dibuka akan mencuri SMS ponsel Android korbannya termasuk SMS OTP yang tidak terenkripsi sehingga banyak akun m-Banking yang bobol karena mengandalkan SMS sebagai OTP," paparnya. 

OTP SMS Premium sebagai OTP yang Tidak Efisien

Selain kelemahan tidak yang terenkripsi, implementasi SMS sebagai OTP juga inefisiensi. Jika pengiriman SMS antar operator berkisar di angka Rp50 per SMS, namun SMS OTP tidak termasuk ke dalam layanan SMS Premium.

Biaya SMS Premium diketahui cukup mahal mencapai Rp1.500 per SMS. Apalagi ditambah kebijakan operator yang otomatis membebankan biaya SMS OTP kepada penerima SMS tanpa ada peringatan terlebih dahulu. 

Sebenarnya, operator memiliki fitur pemberitahuan kepada penerima SMS Person to Person (P2P), di mana jika ada kiriman SMS dikenakan biaya dibebankan kepada penerima SMS. 

Namun untuk Application to Person (A2P), operator sama sekali tidak memberitahukan kepada penerima SMS OTP. Dengan ini, penerima harus merelakan biaya setiap kali ada SMS OTP dan tidak ada pilihan untuk menolak.

QRIS dan Penarikan Biaya SMS Senyap

Alfon menuturkan, praktek hal itu diperburuk aksi bank yang memanfaatkan SMS Premium sebagai sarana mengirimkan pemberitahuan transaksi seperti adanya transaksi transfer keluar, melakukan transaksi QRIS.

Kondisi itu mengharuskan pemilik rekening dikenakan biaya SMS Premium untuk setiap SMS yang diterimanya. 

"Misalnya, melakukan transaksi QRIS Rp10.000 dan menerima pemberitahuan transaksi QRIS pulsa otomatis dipotong Rp1.500, maka bottom line-nya biaya yang harus anda tanggung atas transaksi tersebut adalah 15 persen," tutur dia. 

Jika setiap hari satu bank mengirimkan ratusan ribu pemberitahuan transaksi ke SMS, maka nasabah dikenakan Rp1.500. Sehingga biaya SMS yang muncul bisa mencapai Rp150 juta per hari dari per satu bank. 

"Satu bulan biaya yang dibebankan oleh bank kepada nasabah adalah Rp4,5 milyar," ujarnya.

Ia melanjutkan, seiring berjalannya waktu, semestinya biaya pembuatan aplikasi makin. Sehingga tidak perlu lagi adanya biaya SMS Premium untuk pemberitahuan transaksi. 

Berdasarkan catatan Vaksincom, Per 3 Januari 2022, penerimaan SMS dengan pemberitahuan adanya transfer masuk ke rekening bank melalui SMS, pihak operator mengambil kocek SMS Rp690. 

Kemudian per 2 Juni 2023, salah satu bank pemerintah mengenakan biaya Rp875. Adapun salah satu bank swasta nasional, untuk transaksi QRIS sebesar Rp20.000, harus dikenakan biaya SMS sebesar Rp1500

Bank, kata dia, bisa memberikan opsi menonaktifkan pilihan pengiriman SMS. Sayangnya, dalam menu setting notifikasi, tidak ada menu yang bisa dipilih untuk itu. Pihak provider dan penyedia layanan telekomunikasi juga tidak memberikan pilihan. 

Alfons berharap, sejatinya bank dapat adil dalam hal ini. Termasuk BI dan OJK dapat mengawasi praktek pengenaan biaya SMS premium yang tinggi ini.

Ia juga berharap adanya informasi jelas pada menu digital bank jika nasabah dikenakan biaya tambahan. Selain itu, pengaktifan maupun sebaliknya pengiriman SMS Premium seharusnya bisa diatur dalam regulasi yang jelas. 

"Mereka harus diberikan pilihan untuk menolak biaya ini," tandasnya.

Editor: Aprilia Rahapit
TAG :
Baca Juga
LIPUTAN KHUSUS