REPUBLIKA.CO.ID, JAKARTA — Ancaman phising di pasar modal dinilai masih perlu diwaspadai karena menyasar investor melalui pengambilalihan data autentikasi. Modus yang kerap muncul adalah penipuan digital yang membuat korban tanpa sadar menyerahkan nama pengguna, kata sandi, PIN, hingga OTP. Setelah kredensial dikuasai, pelaku dapat mengakses akun investasi dan memindahkan dana secara tidak sah.
PT Indo Premier Sekuritas (IPOT) menilai penguatan keamanan digital perlu dilakukan agar perlindungan investor mengikuti perkembangan risiko di ruang siber. CEO PT Indo Premier Sekuritas, Moleonoto mengatakan, metode OTP melalui surel memiliki kerentanan ketika akun surel pengguna dibajak atau korban terperdaya tautan palsu, sehingga diperlukan pengamanan yang lebih kuat berbasis verifikasi fisik.
Ia menjelaskan, Email-OTP rawan karena bisa diteruskan, dicari ulang di inbox, serta rentan saat email korban dibajak atau password dipakai ulang. Sebaliknya, SIM-OTP punya jejak audit operator seluler, tidak dapat di-forward atau dicari di inbox, dan memaksa verifikasi fisik lewat kepemilikan kartu SIM. Sifat fisik ini dinilai membuat pembobolan jauh lebih sulit dilakukan pelaku.
Ia menegaskan keamanan digital harus naik kelas mengikuti lonjakan risiko. “Dalam kondisi penetrasi digital yang semakin tinggi, keamanan harus bergerak dari autentikasi berbasis email menuju autentikasi fisik dan device-based. Sistem IPOT dirancang untuk tetap aman bahkan ketika kredensial pengguna bocor. Kami siap mendukung regulator dalam menetapkan standar keamanan baru bagi seluruh pelaku industri,” kata dia dalam keterangan tertulis, Senin (8/12/2025).
Dia menjelaskan, IPOT saat ini menerapkan sistem keamanan tiga lapis yang tetap melindungi akun nasabah bahkan bila kredensial sudah diketahui pelaku. Pertama, SIM-OTP sebagai autentikasi dua faktor. Kedua, ASDI (App-Scoped Device Identifier) yang mengikat akses akun hanya pada perangkat terdaftar dan menolak login dari device lain. Ketiga, Add Device Approval yang membuat penambahan perangkat baru harus melalui persetujuan sadar dari pemilik akun.
IPOT menekankan, dengan kombinasi tiga lapis ini, password bocor tidak cukup untuk membobol akun, OTP yang diketahui pelaku belum otomatis memberi akses, dan penambahan perangkat selalu butuh persetujuan pengguna. Pendekatan ini disebut belum menjadi praktik umum di industri sekuritas nasional, padahal ancaman phishing terus meningkat.
Di luar itu, IPOT melengkapi pengamanan dengan deteksi fraud berlapis, pemantauan anomali login, audit trail menyeluruh, enkripsi tingkat tinggi, hingga pembekuan akun otomatis saat terdeteksi aktivitas tidak wajar. Penguatan ini diklaim selaras dengan mandat perlindungan konsumen pasar modal dan kebutuhan investor ritel akan keamanan setara perbankan di era digital.
Ikuti Whatsapp Channel Republika