SMS OTP Banking Kerap Disadap, Pengamat Minta Pengguna Ponsel Berhati-hati

JAKARTA, REQnews - Pengamat dan Konsultan Keamanan Siber Vaksincom, Alfons Tanujaya mengingatkan kepada masyarakat pengguna ponsel yang memanfaatkan internet/ponsel/SMS banking agar lebih berhati-hati terhadap penggunaan kata kunci sekali pakai (one-time password/OTP) yang kini mudah disadap dan disalahgunakan. 

“Hati-hati, SMS OTP bank disadap 'BTS (base transceiver station) palsu'. Pengguna ponsel dan mobile banking harap ekstra hati-hati menerima SMS yang datang dari nomor 'asli bank' dan mengarahkan ke situs palsu guna mencuri kredensial,” kata Alfons dikutip pada Rabu 5 Maret 2025. 

Alfons juga mengatakan bahwa SMS OTP perbankan yang masuk ke ponsel korban bisa disadap dan diubah oleh penipu. Lalu, OTP sadapan akan disebarkan untuk menjerat para korban untuk meraup keuntungan. 

Ia pun meminta kepada Kementerian Komunikasi dan Digital (Kemkomdigi), operator telekomunikasi seluler, dan pihak yang berwenang untuk segera melakukan tindakan pencegahan. 

Menurutnya, serangan 'fake BTS' yang mencegat (intercept) SMS OTP yang sekarang tengah marak terutama terjadi pada 2 'bank biru' terbesar di Indonesia. 

“Masalahnya, ini sebenarnya kelemahan di provider ya. Jadi, celakanya, penipu bisa memasukkan nomor pengirim sama dengan nomor pengirim-nya, yang sebelumnya tidak mungkin bisa dilakukan,” kata dia. 

Ia menyebut bahwa hal itu bisa terjadi karena pelaku teknik 'BTS palsu' memanfaatkan kelemahan sinyal telekomunikasi dari operator ke ponsel untuk menyusup. 

Selain itu, para penipu juga bisa melakukan serangan di tengah atau masuk dengan menyusup (main in the middle attack) ketika pengiriman SMS OTP sedang berlangsung. 

Selanjutnya, pelaku menyadap proses antara operasional BTS sebagai penyedia jaringan sinyal seluler dengan pengguna ponsel, sehingga SMS OTP yang masuk/lewat di dalamnya bisa disadap oleh penipu. 

Selanjutnya, SMS OTP juga bisa diedit dan dikirimkan ke para korban dan apabila korban tidak menyadari, SMS OTP yang dikirim dari nomor yang salah dan dipalsukan akan diarahkan ke situs web yang sangat mirip aslinya untuk menjebak korbannya dan mencuri data akunnya 

Alfons pun mengingatkan masyarakat untuk berhati-hati jangan pernah klik link yang diberikan, walaupun dikirimkan oleh seolah dari bank yang bersangkutan.