Mewaspadai kejahatan siber bermodus SIM Swap | Pixabay

Inovasi

04 Sep 2020, 17:05 WIB

Kenali Seluk-Beluk SIM Swapping

Pelaku SIM Swapping tidak pernah menargetkan individu tertentu.

 

Modus kejahatan saat ini semakin banyak macamnya. Salah satu yang perlu diwaspadai adalah, kejahatan pertukaran SIM atau SIM swapping.

Kasus ini sempat dialami wartawan senior Ilham Bintang beberapa waktu lalu. Nomor kartu SIM Indosat miliknya dicuri dan uang ratusan juta rupiah di dalam rekening banknya dikuras pelaku pencurian nomor tersebut.

Kejahatan pertukaran SIM terjadi ketika penipu menggunakan teknik rekayasa sosial, mengambil kartu sim ponsel pengguna dengan menggunakan data pribadi yang dicuri. Pakar digital forensik, Ruby Alamsyah mengatakan, pelaku SIM swapping tidak pernah menargetkan individu tertentu. Jadi, korbannya bersifat acak.

Pelaku juga sudah mengetahui ada celah yang bisa digunakan untuk melakukan kejahatannya, yakni celah dari sisi operator telekomunikasi dan celah dari sisi perbankan.

Setelah mendapatkan calon korban, pelaku baru mengidentifikasi mereka. Pelaku mendapatkan data-data pribadi korban, seperti nama, tempat dan tanggal lahir, alamat, nomor ponsel, layanan bank sebagainya dari email phishing, voice phishing maupun SMS phishing.

Calon korban biasanya akan dikirimkan sebuah tautan melalui email oleh pelaku menjalankan email phishing. Sementara, voice phishing dilakukan melakukan panggilan telepon. Dalam SMS phishing, pelaku akan mengaku dari pihak tertentu di dalam pesan yang dikirimkan.

Jika sudah mendapatkan data pribadi lengkap, selanjutnya pelaku mencoba melakukan profiling lebih detail lagi. “Salah satu yang biasa pelaku coba penetrasi lagi adalah email. Kalau emailnya bisa di-hack atau bisa dilakukan phishing untuk mendapatkan password korban, pelaku akan coba lakukan itu,” ujar Ruby dalam webinar Mengenal dan Mencegah Tindak Kejahatan SIM Swap, Senin (31/8).

Ketika sudah berhasil, pelaku akan mendatangi gerai operator yang sesuai dengan kartu SIM. Pelaku juga membuat kartu tanda penduduk dan data-data yang diperlukan. “Biasanya dia cari gerai operator yang bukan daerah pusat, bukan daerah ramai. Dia mencoba ke gerai operator itu pada jam-jam akhir mau tutup gerai,” kata Ruby melanjutkan.

Hal ini dilakukan karena pelaku sudah mendeteksi pegawai customer care pada jam tersebut berada pada titik lemah. Artinya, mereka sudah lelah bekerja seharian dan tidak terlalu berkonsentrasi.

Sehingga meski menjalankan verifikasi data, mereka menganggap pelaku adalah pelanggan yang benar. Verifikasi pun dilakukan secara manual. “Nah inilah celah kenapa tidak ada proses verifikasi yang real time online dari operator maupun industri apapun kepada pihak pemerintah untuk menampilkan verifikasi sebuah identitas sesorang itu asli atau tidak,” ujarnya.

Setelah berhasil, pastinya pelaku akan mendapatkan kartu SIM. Kemudian, pelaku bisa melakukan apapun yang ia mau, salah satunya pembobolan rekening korban.

Ruby mengungkapkan, internet banking bank di Indonesia memberikan informasinya via email. Pelaku yang berhasil mengakses email korban itu tinggal mencari notifikasi terkait internet banking. Ketika pelaku sudah mendapatkan user name internet banking, ia bisa login ke layanan tersebut.

Pelaku juga bisa menyetel ulang kata sandi dengan klik forget password. Saat menyetel ulang, ternyata opsi yang disediakan oleh pihak bank adalah mengirimkan one time password.

Menurut Ruby, ini adalah titik krusial yang kedua, yaitu pelaku bisa mendapatkan username korban, lalu mereset kata sandi dan mendapatkan one time password (OTP) melalui SMS. Selanjutnya, pelaku bisa memindahkan uang korban ke rekening penampung atau melakukan pembayaran belanja dan lain-lain.

Otentikasi dua faktor (2FA) memang melibatkan OTP. Tetapi dalam konteks kasus ini, Ruby melihat, OTP tampak seperti otentikasi faktor tunggal (SFA).

Di sinilah titik kegagalannya, karena di fase SMS saja, pelaku bisa mendapatkan akses ke mana pun. Kemudian, ciri lain pelaku kejahatan pertukaran SIM adalah mereka sudah mengidentifikasi kemungkinan besar korban harus berada di lokasi yang cukup jauh dari pusat kota dengan koneksi operator telekomunikasi dan sinyal internet yang cukup sulit

Dari pola yang dianalisis oleh Ruby dari kasus-kasus serupa itu, sebenarnya pelaku hanya memiliki jendela waktu yang tidak terlalu banyak. Rata-rata pelaku memiliki waktu dua sampai empat jam, di mana korban masih kesulitan untuk menghubungi atau memastikan pada operator telekomunikasi bahwa nomor ponselnya telah digandakan secara ilegal dan memberitahukan siapa pemilik asli nomor itu.

Lapis Keamanan Tambahan

photo
Waspadai kejahatan SIM Swap yang mengincar akun perbankan korban. - (Pixabay)

Anggota Komite Regulasi Telekomunikasi-Badan Regulasi Telekomunikasi Indonesia (KRT-BRTI) I Ketut Prihadi Kresna Mukti mengatakan, kasus kejahatan pertukaran SIM menjadi salah satu alasan mengapa nomor telepon dipertimbangkan bukan sebagai yang terbaik untuk memvalidasi identitas. Karena sekarang ini banyak layanan berdiri di atas layanan seluler, misalnya  layanan yang berbasis aplikasi seperti perbankan, fintech, asuransi, belanja daring dan lain-lain.

Menurutnya, berbagai pihak harus coba memikirkan cara lain untuk bisa melakukan autentikasi data pribadi tanpa hanya menggunakan nomor ponsel. “Kerjasama regulator, operator seluler dan pihak terkait bank, fintech, aplikasi. Nah, regulator yang saya maksud di sini bisa Kominfo, BRTI, OJK, aparat penegak hukum dan sebagainya duduk bersama juga nanti,” kata Ketut.

Ia mengungkapkan agak tidak adil juga, apabila autentikasi hanya digantungkan pada nomor ponsel, sehingga apabila terjadi kerugian semuanya dibebankan pada seluler. “Padahal seluler itu hanya mengeluarkan nomor untuk layanan selulernya, bukan untuk layanan perbankan atau layanan lain-lain, seperti online shopping dan sebagainya. Mungkin ke depan kami dari BRTI, Kominfo nanti akan perlu melakukan diskusi dengan teman-teman dari OJK dan BI untuk membicarakan hal ini,” ia mengungkapkan.

Pencegahan dari Operator

Para operator telekomunikai memiliki peran pentingn dalam menjaga keamanan data pribadi pelanggan dari incara para penjahat. Direktur Eksekutif Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI), Sutrisman memaparkan hal-hal yang sudah dilakukan operator dalam rangka menanggulangi atau memberikan layanan terhadap kejadian kejahatan pertukaran SIM tersebut. Antara lain, masing-masing operator memiliki persyaratan yang berbeda.

Para operator umumnya menanyakan tentang alasan pergantian kartu SIM. Selanjutnya, melakukan validasi terhadap data, yang meliputi berbagai data pribadi. Kemudian menanyakan notifikasi yang berkaitan dengan penggunaan panggilan masuk dan panggilan keluar. “Ini saya harus memberikan catatan, beberapa operator dimensi waktunya bisa saja berbeda antara satu dengan yang lain, kemudian operator pun setelah terima pengaduan akan melakukan cek terhadap aktivitas atau apakah aktif, online terhadap SIM card, terhadap nomor handphone yang digunakan oleh pemiliknya,” ujar Sutrisman.

Staf operator kemudian, sekali lagi akan melakukan pengecekan mengenai lokasi di mana keberadaan ponsel tersebut pada saat dilaporkan. Customer service melakukan percobaan panggilan pada nomor tersebut.

Apabila tersambung bisa dilakukan komunikasi. Jika tidak tersambung tentu pihak operator akan kembali menanyakan nama dan data-data lain. Termasuk juga permintaan untuk melampirkan foto atau mengunggah foto apabila ada kesempatan.

 
Pelaku yang berhasil mengakses email korban, tinggal mencari notifikasi terkait internet banking. Kemudian mendapatkan user name internet banking, dan login ke layanan perbankan.
Ruby Alamsyah, Pakar digital forensik
 
 
';
×