“Jangan pernah memberikan informasi nomor telepon pribadi sembarangan termasuk di media sosial terutama apabila nomor telepon tersebut dipergunakan untuk keperluan perbankan”, begitu kira-kira pesan yang sering saya berikan kepada keluarga maupun teman dekat, ataupun dalam tulisan beberapa waktu lalu.

Jaman sekarang semua serba OTP (One-Time Password), lupa password social media perlu OTP, mau login akun GMail supaya aman gunakan 2-step verification. Sepengetahuan saya otentikasi menggunakan OTP ini awalnya diperkenalkan oleh aktivis keamanan internet yang kemudian dipopulerkan oleh penyedia jasa internet seperti Google beberapa tahun silam. Ceritanya jaman dulu banyak pribadi maupun perusahaan yang akun emailnya kena hack, data-datanya bocor keluar. Masalah utamanya satu: karena password emailnya lemah sehingga bisa dijebol orang. Untuk mengatasi hal tersebut dibutuhkan istilah kerennya 2-step verification, jadi apabila mau login ke email setelah memasukan password kita menunggu si penyedia email kirim kode melalui SMS. Asumsinya adalah yang pegang handphone pasti pemilik asli, jadi apabila passwordnya bocor maka sang hacker akan gigit jari karena dia tidak punya akses ke handphone target (kecuali hape-nya sudah dicuri juga).

Model yang sama digunakan oleh berbagai aplikasi internet saat ini, termasuk juga aplikasi internet banking. Ada yang ketika login sudah butuh OTP, ada juga yang butuh OTP untuk verifikasi transaksi. Intinya sama, sebagai proses otentikasi tambahan untuk membuktikan bahwa yang melakukan transaksi adalah sang pemilik akun yang benar.

Beberapa waktu yang lalu seorang rekan sesama engineer di Qatar mengirimkan berita pada group WA tentang akun nasabah digasak dan berdasarkan informasi yang dibeberkan bahwa nomor handphone-nya digandakan oleh orang lain. Sebagai engineer telekomunikasi terutama yang pegang mesin penyimpan database subscriber (HLR) saya bisa segera menebak dari berita tersebut besar kemungkinan kejahatan memanfaatkan fitur SIM SWAP. Tentunya suatu berita kejahatan tidak boleh secara terang-terangan dibeberkan secara detail dengan tujuan agar modus kejahatan tersebut tidak mudah diduplikasi oleh orang lain. Namun baru-baru ini saya mendapatkan email dari salah satu bank mengenai kejahatan menggunakan tehnik SIM Swap sebagai peringatan agar nasabah lebih berhati-hati. Berikut ini cuplikan pesannya,

123

Untuk engineer ataupun orang yang paham teknis tentunya informasi peringatan mengenai SIM SWAP tersebut cukup jelas. Namun bagi pengguna biasa mungkin masih mempertanyakan, SIM SWAP itu apa?

Nah, SIM SWAP itu loh yang apabila SIM card kita hilang maka kita bisa datang ke customer service minta ganti kartu lain tapi dengan data-data yang sama seperti nomor sebelumnya, fasilitasnya (call forwarding, 3G/4G), pra-bayar / pasca bayar, pokoknya semua sama, cuma kartunya aja yang beda. Apabila ganti kartu maka kartu yang lama otomatis tidak bisa digunakan lagi untuk nomor yang sama. Secara teknis, customer service tinggal klak-klik doang, dia akan memasukan data simcard baru terus minta pada sistem untuk tuker (swap) simcard lama dengan simcard baru, otomatis simcard baru akan mendapatkan data-data simcard lama dan pelanggan bisa menggunakan simcard baru untuk menerima panggilan telepon, OTP, dsb.

Dibelakang layar perintah customer service tersebut akan di eksekusi oleh mesin-mesin tertentu. Untuk mesin yang saya handle misalnya, tinggal jalanin satu command saja maka bisa mengganti simcard siapapun dengan simcard apapun.

Informasi gambar peringatan diatas sudah menyebutkan bagaimana SIM Swap bisa dilakukan oleh pelaku pemalsuan. Penjahat itu kreativitasnya tidak terbatas apalagi pada era keterbukaan dimana privasi kita dengan mudahnya tergadaikan dengan berbagai macam alasan. Ambil contoh paling mudah saja, apabila nomor telepon pribadi yang kita gunakan untuk aktivitas perbankan juga digunakan untuk WA, telegram, dimana kadang pada group chating tersebut terdapat orang-orang yang sama sekali tidak kenal, ataupun memberikan informasi telepon pribadi tersebut beserta KTP saat ada promo di salah satu mall, maka sudah berpotensi menjadi target serangan pemalsuan.

Potensi diatas bertambah besar apabila kita mempertimbangkan faktor ‘orang dalam’ yang dapat membantu proses eksekusi. Belum lagi apabila terdapat suatu celah keamanan pada perusahaan telekomunikasi dan hacker dapat masuk kesalah satu mesin untuk eksekusi SIM Swap. Khususnya di Indonesia, dimana pelaku tinggal beli nomor simcard di warung depan rumah, cek data simcard tersebut, lakukan simswap. Tidak ada proses verifikasi siapa yang membeli simcard pada warung tersebut sehingga Indonesia menjadi surga bagi para hacker. Oleh sebab itu perusahaan telekomunikasi tidak boleh menganggap enteng celah keamanan dan selayaknya memiliki arsitektur yang baik serta monitoring secara kontinyu terhadap adanya kemungkinan terjadi security breach pada networknya. Resiko SIM Swap sebenarnya sudah lama dan sempat saya bahas bersama rekan yang kebetulan sama-sama hobi IT security sekaligus paham dunia telekomunikasi. Ada beberapa lagi resiko dari dunia telekomunikasi yang bisa dimanfaatkan untuk kejahatan serupa terutama apabila ada celah keamanan pada operator telekomunikasi maupun keterlibatan orang dalam, mudah-mudahan saja operator telekomunikasi di Indonesia sudah lebih aware akan pentingnya menjaga keamanan tersebut ya.

Untuk masyarakat umum sesuai dengan pesan dari bank diatas maka coba cari cara agar nomor telepon yang digunakan untuk keperluan media sosial diusahakan agar tidak sama dengan yang dipergunakan untuk OTP baik untuk OTP email ataupun OTP perbankan. Bisa dengan membeli / langganan nomor baru, ataupun memanfaatkan fasilitas VoIP. Jaman sekarang sudah canggih, kita bisa kok punya lebih dari satu nomor namun tetap menggunakan satu handphone.

Waspadalah!

Advertisements

One thought on “Lindungi Diri Anda Dari Kejahatan SIM Swap

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s