JAKARTA — Industri jasa keuangan dan pasar modal di Indonesia menghadapi peningkatan signifikan dalam kasus kejahatan siber dalam beberapa tahun terakhir. Pola serangan semakin beragam, termasuk phishing, social engineering, dan situs palsu yang menargetkan nasabah perbankan serta investor ritel. Dalam beberapa laporan, pelaku kejahatan berhasil memperoleh kredensial autentikasi seperti username, password, PIN, bahkan OTP tanpa disadari korban. Kerugian yang ditimbulkan mencapai puluhan miliar rupiah dari peretasan akun dan aksi phishing. Situasi ini memicu kekhawatiran publik dan pertanyaan tentang standar keamanan digital yang diterapkan oleh pelaku industri jasa keuangan.
Salah satu akar kerentanan yang sering tidak disadari pengguna adalah penggunaan Email-OTP sebagai metode autentikasi. E-mail yang dapat diakses dari berbagai perangkat rentan diretas dan menjadi sasaran utama phishing. Oleh karena itu, perbankan nasional sejak lama meninggalkan Email-OTP dan beralih ke autentikasi berbasis SIM card (SIM-OTP) yang dianggap lebih aman.
IPOT dorong investor memahami risiko Email-OTP
PT Indo Premier Sekuritas (IPOT) menilai literasi keamanan digital menjadi aspek penting di tengah meningkatnya ancaman siber. IPOT mengajak investor untuk memahami perbedaan mendasar antara Email-OTP dan SIM-OTP, karena sebagian perusahaan sekuritas di Indonesia masih menggunakan Email-OTP sebagai lapisan autentikasi. Email-OTP lebih rentan terhadap phishing, password reuse, pembajakan akun e-mail, serta akses lintas perangkat tanpa disadari pemilik akun. Tidak adanya jejak audit operator seluler membuat aktivitas peretasan sulit dilacak.
Sementara itu, SIM-OTP memiliki karakteristik berbeda: hanya bisa diakses melalui SIM card pengguna, memiliki jejak audit telko, tidak dapat di-forward, serta tidak muncul dalam inbox email atau layanan cloud. Menurut CEO PT Indo Premier Sekuritas Moleonoto, keamanan digital kini menjadi elemen kunci dalam stabilitas pasar modal. “Dalam kondisi penetrasi digital yang semakin tinggi, keamanan harus bergerak dari autentikasi berbasis email menuju autentikasi fisik dan device-based. Sistem IPOT dirancang untuk tetap aman bahkan ketika kredensial pengguna bocor. Kami siap mendukung regulator dalam menetapkan standar keamanan baru bagi seluruh pelaku industri,” ujarnya dalam siaran pers, Senin (8/12/2025).
Tiga lapis keamanan IPOT: SIM-OTP, ASDI, dan Add Device Approval
Sebagai respons terhadap eskalasi ancaman siber, IPOT menerapkan arsitektur keamanan tiga lapis yang dirancang untuk menjaga akun tetap aman bahkan ketika kredensial pengguna seperti password atau PIN dicuri melalui phishing.
- SIM-OTP sebagai autentikasi dua faktor
SIM-OTP digunakan sebagai standar autentikasi utama, mengikuti praktik perbankan Indonesia yang telah lama meninggalkan Email-OTP. SIM-OTP dianggap sebagai gold standard karena: - Mengandalkan kepemilikan fisik SIM card
- Berjalan pada jaringan operator seluler yang teregulasi
- Memiliki jejak audit telko
- Tidak dapat di-forward, dicari, atau diakses ulang melalui e-mail
Dengan berbasis kepemilikan fisik perangkat, proses otorisasi menjadi lebih sulit ditembus.
- ASDI: identitas unik untuk setiap perangkat
IPOT juga menerapkan ASDI (App-Scoped Device Identifier), yaitu identitas perangkat unik untuk setiap kombinasi aplikasi dan gawai. Mekanisme ini memungkinkan: - Akun hanya bisa diakses dari perangkat yang terdaftar
- Login dari perangkat lain otomatis ditolak
- Identitas perangkat tidak dapat digandakan
Seluruh nasabah IPOT telah melalui proses registrasi perangkat dengan validasi SIM-OTP sebagai langkah terakhir verifikasi. Sistem ini membuat aksi pembajakan akun melalui perangkat asing jauh lebih sulit dilakukan.
- Add Device Approval: persetujuan ekspilisit pengguna
Sebagai lapisan tambahan untuk menutup celah pencurian kredensial akibat phishing dan social engineering, IPOT memperkenalkan Add Device Approval. Fitur ini berupa tombol switch On/Off yang mengatur apakah penambahan perangkat baru diizinkan. Karena secara default berada pada posisi Off, penambahan perangkat hanya dapat dilakukan jika pengguna secara sadar mengubahnya menjadi On melalui perangkat yang sudah terdaftar. Setelah perangkat baru berhasil ditambahkan, status akan kembali otomatis menjadi Off. Dengan demikian, penambahan perangkat: - Harus dilakukan secara sadar
- Tidak dapat berlangsung diam-diam
- Menunjukkan niat eksplisit (explicit user intent) dari pemilik akun
Arsitektur kombinasi keamanan tiga lapis
Dengan menggabungkan ketiga mekanisme ini, IPOT menciptakan sistem keamanan di mana password bocor tidak cukup untuk membobol akun, OTP yang diketahui pihak lain tetap tidak memberikan akses otomatis, serta penambahan perangkat hanya bisa dilakukan dengan persetujuan sadar pemilik akun. Pendekatan berbasis physical possession, device binding, dan explicit user intent ini dinilai belum banyak diterapkan oleh industri sekuritas nasional.
Penguatan sistem keamanan lainnya
IPOT turut melengkapi sistemnya dengan deteksi penipuan (fraud detection) berlapis, anomaly login monitoring, audit trail menyeluruh, enkripsi tingkat tinggi, serta mekanisme pembekuan akun otomatis ketika terdeteksi aktivitas mencurigakan. Seluruh upaya ini diselaraskan dengan prinsip perlindungan konsumen pasar modal sebagaimana diamanatkan regulator, serta kebutuhan keamanan investor ritel di era digital yang semakin kompleks.
