Penguasa Kewangan Singapura (MAS) telah mengumumkan keperluan baharu yang memberi kesan kepada semua bank runcit utama di negara itu apabila mereka mengumumkan akan menghentikan penggunaan kata laluan sekali sahaja (One-Time Passwords atau singkatannya OTP) secara berperingkat dalam tempoh tiga bulan akan datang.
Inisiatif ini telah dipersetujui antara kerajaan dan Persatuan Bank-Bank di Singapura (ABS) untuk melindungi pengguna daripada pancingan data dan penipuan lain.
“Penggunaan OTP telah diperkenalkan pada tahun 2000-an sebagai pilihan pengesahan pelbagai faktor untuk mengukuhkan keselamatan dalam talian, Walau bagaimanapun, perkembangan teknologi dan taktik kejuruteraan sosial yang lebih canggih telah membolehkan penipu untuk lebih mudah memalsukan OTP pelanggan, contohnya melalui penyediaan tapak web bank palsu yang hampir menyerupai tapak web tulen.” Monetary Authority of Singapore (MAS).
Selain tapak pancingan data, OTP telah menjadi sasaran perisian hasad Android selama bertahun-tahun, membantu pengendali mereka memintas perlindungan pengesahan dua faktor pada akaun sasaran.
Ini telah mendorong Google untuk mengambil tindakan yang lebih agresif terhadap penyalahgunaan kebenaran ‘RECEIVE_SMS,’ ‘READ_SMS‘ dan ‘BIND_Notifications‘ tahun ini, dengan Singapura menjadi antara negara pertama yang menerima perlindungan baharu.
Selain itu, OTP boleh dipintas oleh serangan pihak di tengah, dan jika ia berasaskan SMS, ia boleh dipintas oleh aktor ancaman yang melakukan serangan pertukaran SIM.
Pelanggan bank Singapura kini akan menggunakan token digital dan bukannya OTP, yang mesti mereka aktifkan pada peranti mudah alih mereka.
Menurut ABS, token digital telah pun diaktifkan untuk 60% hingga 90% daripada pelanggan tiga bank utama negara, DBS, OCBC, dan UOB.
“Token digital akan mengesahkan log masuk pelanggan tanpa memerlukan OTP yang boleh dicuri oleh penipu, atau menipu pelanggan untuk mendedahkannya,” jelas MAS.
Mereka yang belum mengaktifkan token digital mereka amat digalakkan untuk berbuat demikian tidak lama lagi untuk mendapat manfaat daripada keselamatan yang lebih baik terhadap pelaku pancingan data dan penipu. Sementara yang tidak berbuat demikian, akan terus menerima OTP.
Di Malaysia, kita tidak lagi menggunakan pengesahan OTP yang mana ia berisiko bahaya. Sebaliknya, pengguna tempatan perlu mengesahkan sebarang transaksi dengan menggunakan aplikasi perbankan itu sendiri.
{suggest}
Sumber: Monetary Authority of Singapore