Ini Bahayanya Jika Kartu SIM Anda Dibajak
Ilustrasi. | ZDNet.com
Cyberthreat.id – Jagalah SIM Anda baik-baik terutama pengamanannya, tentu yang paling utama adalah para operator seluler yang harus menjamin keamanan pelanggannya.
Bagaimanapun, penjahat cyber akan menggunakan segala cara untuk menjebol dan mengendalikan kartu SIM, kemudian mereset kata sandi dan mendapatkan akses ke akun online yang sensitif, seperti kotak masuk email, portal e-banking, atau sistem perdagangan cryptocurrency.
Persoalan seperti ini, jangankan bisa di Indonesia bahkan negara sekelas Amerika Serikat saja bisa terjadi. Ini dibuktikan oleh sebuah studi akademik Universitas Princeton yang dirilis ZDNet.com, pada Sabtu (11 Januari 2020). Ditemukan lima operator nirkabel prabayar utama AS rentan terhadap serangan pertukaran SIM.
Pertukaran SIM adalah ketika seorang penyerang memanggil penyedia layanan seluler dan menipu staf perusahaan telekomunikasi untuk mengubah nomor telepon korban menjadi kartu SIM yang dikendalikan oleh para penyerang.
Sepanjang tahun lalu, para akademisi Princeton menghabiskan waktu menguji lima penyedia layanan telekomunikasi utama AS untuk melihat apakah mereka bisa menipu karyawan call center untuk mengubah nomor telepon pengguna menjadi SIM lain tanpa memberikan kredensial yang tepat.
Menurut tim peneliti, AT&T, T-Mobile, Tracfone, US Mobile, dan Verizon Wireless ditemukan menggunakan prosedur yang rentan dengan pusat dukungan pelanggan mereka, prosedur yang dapat digunakan penyerang untuk melakukan serangan pertukaran SIM.
Selain itu, tim peneliti juga melihat 140 layanan dan situs web online dan menganalisis penyerang mana yang dapat menggunakan pertukaran SIM untuk membajak akun pengguna. Menurut tim peneliti, 17 dari 140 situs web ditemukan rentan.
Penelitian Telco AS
Untuk bagian dari penelitian mereka yang menargetkan perusahaan telekomunikasi AS, tim peneliti membuat 50 akun prabayar, 10 dengan masing-masing operator. Untuk setiap akun, tim peneliti menggunakan 50 kartu SIM pada ponsel yang unik, dan untuk panggilan nyata, untuk membuat riwayat panggilan yang realistis.
Ketika saatnya tiba, tim peneliti menghubungi pusat dukungan pelanggan masing-masing perusahaan telekomunikasi dan menerapkan prosedur serupa.
Idenya adalah bahwa penyerang mengontakpusat dukungan telco untuk meminta perubahan kartu SIM, tetapi secara sengaja memberikan rincian PIN dan pemilik akun yang salah.
"Ketika memberikan jawaban yang salah untuk pertanyaan pribadi seperti tanggal lahir atau penagihan kode ZIP, [asisten peneliti] akan menjelaskan bahwa mereka ceroboh saat mendaftar, mungkin telah memberikan informasi yang salah, dan tidak dapat mengingat informasi yang telah mereka gunakan," kata peneliti.
Pada titik ini, setelah gagal dalam dua mekanisme otentikasi pertama (PIN dan detail pemilik akun), operator pusat panggilan telco diharuskan, berdasarkan prosedurnya, untuk pindah ke mekanisme ketiga di mana mereka meminta pemilik akun untuk memberikan perincian tentang dua panggilan terakhiryang dilakukan.
Tim peneliti mengatakan bahwa seorang penyerang dapat menipu korban untuk melakukan panggilan ke nomor tertentu. Misalnya, skenario "Anda memenangkan hadiah; telepon di sini; maaf, nomor salah; panggil di sini saja."
Setelah penyerang menipu pemilik kartu SIM untuk melakukan dua panggilan itu, mereka dapat menggunakan perincian ini untuk menghubungi pusat panggilan telco dan melakukan pertukaran SIM.
Peneliti Princeton mengatakan mereka bisa menipu semua operator nirkabel prabayar AS menggunakan skenario ini.
Ketika mereka mempublikasikan penelitian mereka kemarin, empat penyedia masih menggunakan prosedur yang rentan, meskipun tim peneliti memberi tahu semua pihak yang terkena dampak. Dari lima, T-Mobile mengatakan kepada tim peneliti mereka menghentikan penggunaan log panggilan untuk otentikasi pelanggan setelah meninjau penelitian mereka.
Penelitian Layanan Online
Tetapi para peneliti Princeton juga mengambil studi mereka selangkah lebih maju. Untuk tahap penelitian selanjutnya, mereka ingin melihat apa yang bisa mereka lakukan begitu mereka melakukan serangan pertukaran SIM.
Untuk ini, mereka menganalisis prosedur masuk dan otentikasi multi-faktor (MFA) yang digunakan oleh 140 situs dan layanan online paling populer, mulai dari jaringan media sosial hingga penyedia email, dan dari situs perdagangan cryptocurrency hingga solusi perusahaan.
Mereka menemukan bahwa di 17 situs, setelah Anda berhasil membajak nomor telepon pengguna melalui pertukaran SIM, Anda dapat mengatur ulang kata sandi akun dan mendapatkan akses penuh ke profil online korban, tanpa ada sistem keamanan lain untuk mengotentikasi pengguna.
Dengan kata lain, proses pemulihan akun untuk 17 situs ini hanya mengandalkan mekanisme berbasis SMS. Setelah penyerang mengkompromikan nomor telepon korban, kata sandi dapat diatur ulang tanpa harus mengontrol email pengguna atau memberikan rahasia pengguna lain (pertanyaan setel ulang kata sandi, tanggal lahir, dll).
Hasil lengkap untuk analisis 140 situs web tersedia di sini. Tim peneliti mereduksi nama-nama 17 layanan rentan dari penelitian mereka untuk mencegah penukar SIM dari fokus pada situs tersebut untuk serangan di masa depan.[]
