IPOT Ungkap Email-OTP Biang Kerok Pembobolan Akun Investor Pasar Modal

Suara.com - Kejahatan siber kini mulai menjamur di industri pasar modal. Modus yang paling banyak terjadi yakni, modus phishing, social engineering, hingga situs palsu.

Dalam banyak kasus, pelaku berhasil mengakses authentication credentials seperti username, password, PIN, bahkan OTP tanpa disadari pemilik akun.

Di balik maraknya pembobolan akun tersebut, tersimpan satu akar masalah yang jarang dibicarakan, penggunaan Email-OTP oleh sebagian besar perusahaan sekuritas di Indonesia. Metode autentikasi ini dinilai mudah diakses dari berbagai perangkat, rentan diretas, dan menjadi sasaran utama serangan phishing.

Banyak bank besar di Indonesia telah lama meninggalkan Email-OTP dan beralih ke SIM-OTP, yang dinilai lebih aman karena berbasis verifikasi fisik melalui SIM card. Namun, standar keamanan ini belum sepenuhnya diadopsi oleh pelaku industri sekuritas.

"Dalam kondisi penetrasi digital yang semakin tinggi, keamanan harus bergerak dari autentikasi berbasis email menuju autentikasi fisik dan device-based. Sistem IPOT dirancang untuk tetap aman bahkan ketika kredensial pengguna bocor. Kami siap mendukung regulator dalam menetapkan standar keamanan baru bagi seluruh pelaku industri,” ujar CEO PT Indo Premier Sekuritas, Moleonoto di Jakarta, Rabu (10/12/2025).

IPOT menegaskan, penggunaan Email-OTP memiliki berbagai kelemahan mendasar, seperti potensi phishing, password reuse, dan akses lintas perangkat tanpa disadari pemilik akun.

Karena itu, mereka mengajak investor memahami perbedaan mendasar antara Email-OTP dan SIM-OTP, terutama dalam konteks perlindungan aset.

Dalam sistemnya, IPOT menerapkan arsitektur keamanan tiga lapis, terdiri dari SIM-OTP sebagai two-factor authentication (2FA), ASDI (App-Scoped Device Identifier) untuk kunci perangkat, dan Add Device Approval sebagai kontrol eksplisit penambahan perangkat baru.

Struktur keamanan ini disebut setara bahkan lebih ketat dibandingkan standar perbankan nasional. Dengan kombinasi tiga lapis tersebut, proses peretasan menjadi jauh lebih sulit.

Baca Juga: Ribut Saham Gorengan, Insentif Pasar Modal untuk Apa?

Kata sandi yang bocor tidak cukup untuk membuka akun, OTP yang dicuri tidak serta-merta memberikan akses, dan penambahan perangkat harus melalui persetujuan sadar dari investor.

IPOT juga memperkuat sistemnya melalui fraud detection berlapis, pemantauan anomaly login, audit trail, enkripsi tingkat tinggi, hingga pembekuan otomatis bila terdeteksi aktivitas mencurigakan.

Menurut IPOT, industri pasar modal perlu bergerak mengikuti model keamanan modern berbasis physical possession, device binding, dan explicit user intent. Tanpa itu, risiko pembobolan akun dan hilangnya dana investor akan terus meningkat.

Melalui kampanye keamanan ini, IPOT berharap seluruh pelaku industri sekuritas dapat meningkatkan standar perlindungan konsumen, sekaligus mengurangi kerentanan sistemik akibat penggunaan Email-OTP yang sudah dianggap usang dan berbahaya.