Kata sandi sekali pakai melalui pesan singkat (SMS OTP) adalah metode autentikasi yang dinilai rentan terhadap eksploitasi keamanan. Kelemahan sistem ini terletak pada proses distribusi kode dan potensi manipulasi saluran komunikasi oleh pihak ketiga.
Kerentanan infrastruktur telekomunikasi
Pelaku kejahatan menggunakan stasiun pemancar pangkalan (BTS) tidak resmi yang dioperasikan secara seluler dari dalam kendaraan. Telepon konsumen secara otomatis akan terhubung ke pemancar terdekat, yang memungkinkan pelaku mengambil alih identitas saluran komunikasi. Melalui pemancar ini, pelaku mengirimkan tautan penipuan dengan identitas pengirim yang menyerupai saluran bank resmi. Pesan tersebut muncul dalam utas pesan yang sama dengan komunikasi asli bank sebelumnya, sehingga menyulitkan proses identifikasi visual oleh konsumen. Institusi keuangan tidak memiliki kemampuan teknis untuk mencegah pemancar tidak resmi mencegat dan mengirimkan pesan ke telepon konsumen.
Rekayasa sosial dan kelemahan manual
Proses pembuatan sandi di dalam sistem server bersifat aman. Eksploitasi terjadi saat kode tersebut didistribusikan kepada konsumen. Metode SMS OTP mewajibkan konsumen untuk membaca dan memasukkan angka secara manual. Hal ini mengakibatkan konsumen mengetahui wujud informasi rahasia tersebut dan memungkinkan pelaku menggunakan rekayasa sosial untuk meminta kode itu. Pelaku sering kali menyamar sebagai perwakilan institusi dan memanipulasi konsumen agar menyerahkan kodenya. Jika autentikasi berjalan secara otomatis tanpa intervensi manual, konsumen tidak dapat memberikan akses tersebut kepada pihak luar.
Respons regulasi
Penipuan menggunakan tautan manipulatif (phishing) untuk mencuri kode SMS OTP merupakan metode serangan utama dalam pencurian akun. Merespons tingkat ancaman ini, Bank Negara Malaysia melarang penggunaan SMS OTP untuk autentikasi sistem keuangan. Otoritas Moneter Singapura juga menerapkan kebijakan serupa. Regulator menetapkan standar baru yang mewajibkan institusi menggunakan teknologi pengenalan biometrik atau kriptografi.