Kata Sandi Satu Kali Berbasis SMS: Risiko dan Tip Menjaga

Kata Sandi Satu Kali Berbasis SMS: Risiko dan Tip Menjaga

Dengan evolusi dunia digital, kebutuhan untuk mengamankan identitas pelanggan juga berkembang. Pelanggan saat ini mengharapkan pengalaman yang aman dari organisasi. Peningkatan pemanfaatan layanan berbasis cloud dan perangkat seluler juga meningkatkan risiko pelanggaran data. Apakah Anda tahu kerugian peretasan akun secara keseluruhan meningkat 61% menjadi $ 2,3 miliar dan insiden meningkat hingga 31% dibandingkan to 2014?

One-Time Password berbasis SMS adalah teknologi yang diciptakan untuk menangani counter phishing dan risiko keamanan terkait otentikasi lainnya di dunia web. Secara umum, OTP berbasis SMS digunakan sebagai faktor kedua dalam solusi otentikasi dua faktor. Ini mengharuskan pengguna untuk mengirimkan OTP unik setelah memasukkan kredensial untuk diverifikasi di situs web. 2FA telah menjadi cara yang efektif untuk mengurangi insiden peretasan dan mencegah penipuan identitas.

Namun sayangnya, OTP berbasis SMS tidak lagi aman saat ini. Ada dua alasan utama di balik ini:

  • Pertama, keamanan utama OTP berbasis SMS bergantung pada privasi pesan teks. Tetapi SMS ini bergantung pada keamanan jaringan seluler dan akhir-akhir ini, banyak jaringan GSM dan 3G telah menyiratkan bahwa privasi SMS ini pada dasarnya tidak dapat disediakan.
  • Kedua, peretas adalah mencoba yang terbaik untuk mengganggu data pelanggan dan karena itu telah mengembangkan banyak trojan ponsel khusus untuk masuk ke data pelanggan.

Mari kita bicarakan mereka secara detail!

Risiko utama yang terkait dengan OTP berbasis SMS:

Tujuan utama penyerang adalah mendapatkan kata sandi satu kali ini dan untuk memungkinkan, banyak opsi dikembangkan seperti Trojan ponsel, intersepsi nirkabel, serangan SIM Swap. Mari kita bahas secara detail:

1. Wireless Interception:

Ada banyak faktor yang membuat teknologi GSM kurang aman seperti kurangnya otentikasi timbal balik, kurangnya algoritma enkripsi yang kuat, dll. Juga ditemukan bahwa komunikasi antara ponsel atau stasiun basis dapat disadap dan dengan bantuan beberapa kelemahan protokol, dapat didekripsi juga. Selain itu, ditemukan bahwa dengan menyalahgunakan femtocell juga komunikasi 3G dapat dicegat. Dalam serangan ini, firmware yang dimodifikasi dipasang pada femtocell. Firmware ini berisi kemampuan sniffing dan intersepsi. Juga perangkat ini dapat digunakan untuk memasang serangan terhadap ponsel.

2. Trojan ponsel:

Ancaman terbaru yang meningkat untuk perangkat seluler adalah malwares ponsel, khususnya Trojan. Malwares ini dirancang khusus untuk mencegat SMS yang berisi Kata Sandi Satu Kali. Tujuan utama di balik pembuatan malwares semacam itu adalah untuk mendapatkan uang. Mari kita pahami berbagai jenis Trojan yang mampu mencuri OTP berbasis SMS.

Bagian pertama dari Trojan yang diketahui adalah ZITMO (Zeus In The Mobile) untuk Symbian OS. Trojan ini dikembangkan untuk mencegat mTAN. Trojan memiliki kemampuan untuk mendaftarkan dirinya ke OS Symbian sehingga ketika mereka SMS dapat dicegat. Ini berisi lebih banyak fitur seperti penerusan pesan, penghapusan pesan, dll. Kemampuan penghapusan sepenuhnya menyembunyikan fakta bahwa pesan pernah sampai.

Jenis Trojan yang serupa untuk Windows Mobile diidentifikasi pada Feb 2011, dinamai Trojan-Spy.WinCE.Zot.a Fitur-fitur dari Trojan ini mirip dengan yang di atas.

Trojan untuk Android dan Black Berry dari RIM juga ada. Semua Trojan yang diketahui ini adalah perangkat lunak yang dipasang pengguna, itulah sebabnya mereka tidak memanfaatkan kerentanan keamanan apa pun dari platform yang terpengaruh. Selain itu, mereka menggunakan manipulasi psikologis untuk meyakinkan pengguna agar menginstal biner.

3. Wi-Fi publik gratis dan hotspot:

Saat ini, tidak lagi sulit bagi peretas untuk menggunakan jaringan WiFi yang tidak aman untuk mendistribusikan malware. Menanam perangkat lunak yang terinfeksi di perangkat seluler Anda bukan lagi tugas yang sulit jika Anda mengizinkan berbagi file di seluruh jaringan. Selain itu, beberapa penjahat juga mendapat kemampuan meretas titik koneksi. Jadi mereka menampilkan jendela pop-up selama proses koneksi yang meminta mereka untuk mengupgrade beberapa perangkat lunak populer.

4. Enkripsi dan duplikasi SMS:

Transmisi SMS dari lembaga ke pelanggan terjadi dalam format teks biasa. Dan perlu saya katakan, ini melewati beberapa perantara seperti agregator SMS, vendor seluler, vendor manajemen aplikasi, dll. Dan setiap kolusi peretas dengan kontrol keamanan yang lemah dapat menimbulkan risiko besar. Selain itu, beberapa kali, peretas mendapatkan SIM diblokir dengan memberikan bukti ID palsu dan memperoleh SIM duplikat dengan mengunjungi outlet ritel operator seluler. Sekarang peretas jika bebas untuk mengakses semua OTP tiba di nomor itu.

5. Madware:

Madware adalah jenis iklan agresif yang membantu menyediakan iklan bertarget melalui data dan lokasi Smartphone dengan menyediakan aplikasi seluler gratis. Tetapi beberapa madware memiliki kemampuan untuk berfungsi seperti Spyware sehingga mampu menangkap data pribadi dan mentransfernya ke pemilik aplikasi.

Apa solusinya?

Melakukan beberapa tindakan pencegahan harus dilakukan untuk memastikan keamanan terhadap kerentanan One time password berbasis SMS. Ada banyak solusi di sini seperti memperkenalkan token Perangkat Keras. Dalam pendekatan ini, saat melakukan transaksi, token akan menghasilkan kata sandi satu kali. Pilihan lainnya adalah menggunakan proses otentikasi satu sentuhan. Selain itu, aplikasi juga dapat diminta untuk diinstal pada ponsel untuk menghasilkan OTP. Berikut adalah dua tip lagi untuk mengamankan OTP berbasis SMS:

1. Enkripsi ujung ke ujung SMS:

Dalam pendekatan ini, enkripsi ujung ke ujung untuk melindungi sandi satu kali sehingga menghapus kegunaannya jika SMS disadap. Itu menggunakan “penyimpanan pribadi aplikasi” yang tersedia di sebagian besar ponsel saat ini. Area penyimpanan permanen ini bersifat pribadi untuk setiap aplikasi. Data ini hanya dapat diakses oleh aplikasi yang menyimpan data tersebut. Dalam proses ini, langkah pertama berisi proses yang sama untuk menghasilkan OTP, tetapi pada langkah kedua OTP ini dienkripsi dengan kunci yang berpusat pada pelanggan dan OTP dikirim ke ponsel pelanggan. Di telepon penerima, aplikasi khusus menampilkan OTP ini setelah mendekripsinya. Ini berarti meskipun Trojan dapat memperoleh akses ke SMS, ia tidak akan dapat mendekripsi OTP karena tidak adanya kunci yang diperlukan.

2. Saluran khusus virtual untuk seluler:

Karena Trojan telepon adalah ancaman terbesar bagi OTP berbasis SMS, karena melakukan serangan Trojan dalam skala besar tidak lagi sulit, proses ini memerlukan dukungan minimal dari OS dan dukungan minimal hingga tidak ada sama sekali dari penyedia jaringan seluler. Dalam solusi ini, SMS tertentu dilindungi dari penyadapan dengan mengirimkannya hanya ke saluran atau aplikasi khusus. Prosesnya membutuhkan saluran virtual khusus di OS ponsel. Saluran ini mengalihkan beberapa pesan ke aplikasi OTP tertentu sehingga membuatnya aman dari penyadapan. Penggunaan penyimpanan pribadi aplikasi memastikan keamanan untuk perlindungan ini.

Terakhir, apa pun proses yang Anda pilih, tidak ada teknologi yang dapat memastikan Anda 100% keamanan. Kuncinya di sini adalah memperhatikan dan memperbarui perubahan cepat yang terjadi dalam teknologi.