Kebocoran Data, Awal Mula Petaka SIM Swapping
Kartu SIM
Jakarta, Cyberthreat.id - Seseorang tidak memerlukan akses fisik ke telepon Anda untuk melakukan pertukaran SIM. Tenang, ini bukan pekerjaan dukun atau paranormal karena di era digital segala hal menjadi singkat dan mudah sehingga jarak dan waktu bukan masalah.
Kloning kartu SIM, SIM Swapping, pembajakan kartu SIM atau apa pun namanya semakin marak. Sekarang, pelaku kriminal dapat melakukan kejahatan dari jarak jauh, lintas negara dan lintas pulau, terlepas dari model dan model perangkat yang anda gunakan atau penyedia layanan Anda.
Cara termudah untuk memberi tahu Anda telah terkena serangan SIM Swapping adalah ketika Anda melihat perilaku aneh dari ponsel. Misalnya ponsel anda tidak bisa mengirim atau menerima SMS dan panggilan meskipun layanan tidak dimatikan.
Kemudian tiba-tiba saja Anda menerima pemberitahuan dari penyedia layanan ponsel bahwa nomor telepon atau kartu SIM Anda telah diaktifkan di tempat lain; atau tidak dapat masuk ke salah satu akun milik Anda.
Coba perhatikan cerita berikut ini:
"Pukul 23.30 malam, Senin 10 Juni 2019, anak perempuan saya membangunkan saya dari tidur lelap. Dia mengatakan tampaknya akun Twitter saya telah diretas. Dan, ternyata situasinya jauh lebih buruk.
"Setelah bangun dari tempat tidur, saya mengambil Apple iPhone XS dan melihat pesan teks yang berbunyi, “T-Mobile alert: Kartu SIM untuk xxx-xxx-xxxx telah diubah. Jika perubahan ini tidak diotorisasi, hubungi 611.
"Ya, mengingat bagaimana T-Mobile mengambil layanan seluler saya, saya tidak bisa menelepon 611 untuk meminta bantuan sehingga itu adalah pesan yang tidak berharga."
Kisah itu diambil dari sebuah artikel di Lifehacker.com yang menceritakan bagaimana seorang korban SIM Swapping di AS. Ada beberapa dugaan kenapa hal itu menimpa korban.
Berikut penyebabnya:
Phising
Langkah pertama dalam serangan SIM swap biasanya adalah phising (tetapi tidak selalu). Email yang tidak jelas dengan tautan jahat dan memang banyak bentuk penipuan phishing, tetapi mudah dikenali jika Anda tahu apa yang harus diwaspadai.
Jangan pernah klik tautan, unduh program, atau masuk ke situs web yang tidak Anda kenal. Jika penyerang mendapatkan data kunci yang cukup tentang Anda dari serangan ini, mereka akan memiliki apa yang mereka butuhkan untuk mencoba SIM Swapping.
Data Pribadi
Selain phising, metode Social engineering adalah tahapan awal terkena SIM Swapping. Pada dasarnya, mengumpulkan sebanyak mungkin data tentang Anda menjadi penyebab kenapa hacker jahat kemudian mengirimkan sesuatu melalui telepon atau email.
Untuk mencegah ini anda harus melakukan beberapa hal diantaranya; nomor telepon, tanggal lahir, alamat surat dan semua informasi pribadi lainnya jangan pernah bagikan informasi ini secara publik. Sebisa mungkin dihindari.
Beberapa data ini diperlukan untuk layanan tertentu, tetapi sebenarnya salah satu dari data itu bisa ditemukan di media sosial. Anda harus membatalkan dan menghapus akun yang tidak lagi digunakan. Ini sebagai bentuk tindakan pencegahan tambahan.
Lindungi akun dengan cara:
Banyak akun digital memiliki pengaturan seperti ini. Jika kendali akun anda diambil pihak lain, maka akun itu bisa diambil alih kembali, tapi dengan syarat harus diatur dengan benar dari awal.
Ada beberapa hal yang dapat dilakukan:
1. Membuat PIN untuk perubahan login dan password. Ini sangat penting diatur operator seluler Anda, karena ini merupakan pertahanan yang utama terhadap pembajakan SIM.
2. Metode keamanan dua faktor (2FA) yang cocok yang bergantung pada perangkat fisik, seperti Google Authenticator atau Authy, daripada verifikasi berbasis SMS untuk login.
Anda juga dapat menggunakan token perangkat keras untuk melindungi akun Anda jika Anda ingin lebih advanced.
3. Jawaban dari pertanyaan pemulihan keamanan tidak boleh hal-hal yang tidak terkait dengan informasi pribadi Anda.
Jangan pernah tampilkan nomor ponsel di akun medsos dan jika memungkinkan Anda dapat menggunakan nomor Google Voice gratis jika Anda diharuskan memilikinya untuk akun sensitif Anda.
4. Menggunakan kata sandi yang panjang, acak dan unik untuk setiap akun.
5. Gunakan pengelola kata sandi terenkripsi.
6. Jangan menggunakan layanan favorit Anda (Google, Facebook, dan lain-lain) untuk masuk ke layanan lain; semua yang dibutuhkan penyerang adalah membobolnya untuk memiliki akses lebih banyak ke kehidupan digital Anda.
Anda juga harus mencatat informasi penting terkait akun yang dapat digunakan untuk mengidentifikasi Anda sebagai pemegang akun yang sah, seperti:
1. Bulan dan tahun Anda membuat akun.
2. Nama layar sebelumnya pada akun.
3. Alamat fisik yang terkait dengan akun.
4. Nomor kartu kredit yang telah digunakan dengan rekening atau laporan bank yang dapat mengkonfirmasi Anda adalah orang yang melakukan pembelian.
5. Konten yang dibuat oleh akun, seperti nama karakter, jika akun itu untuk video game online.
