Riset: Gagal Mengotentikasi Penelepon, Rentan Modus SIM Swap
Ilustrasi
Cyberthreat.id - Peneliti keamanan PhisLabs mengatakan banyak operator seluler yang tidak mengajukan pertanyaan keamanan yang sulit untuk memastikan penelepon adalah pengguna ponsel yang sah. Kelemahan ini menjadi celah bagi para penjahat untuk melakukan SIM Swapping.
Penelitian menunjukkan bahwa dalam kebanyakan kasus SIM Swapping, aktor jahat hanya perlu menjawab satu pertanyaan dengan benar ketika ditanyai atau diverifikasi oleh pihak penyedia layanan pelanggan guna mengatur ulang password pada sebuah akun.
"Kami juga menemukan bahwa secara umum, penelepon hanya perlu berhasil merespons (atau menjawab) satu tantangan untuk otentikasi, bahkan jika mereka telah gagal beberapa tantangan sebelumnya," tulis laporan PhisLabs baru-baru ini.
Laporan itu juga merujuk pada penilitian dari Princeton, dimana para peneliti menganalisis sekitar 50 upaya di lima perusahaan telekomunikasi prabayar di Amerika Utara untuk melihat apakah mereka dapat mengelabui operator dengan menggunakan nomor yang dicuri (milik korban).
"Dalam setiap operator, prosedur umumnya konsisten, meskipun pada sembilan kesempatan (percobaan) itu melintasi dua operator. Namun, tidak meng-otentikasi penelepon artinya membocorkan informasi akun pengguna sebelum otentikasi," tambahnya.
Menurut laporan ini, dengan nomor ponsel korban yang dimiliki, peretas kemudian dapat melakukan serangan pada rekening bank korban dan mengatur ulang password pada akun yang berhasil dicuri. Peniliti PhisLabs menunjuk satu serangan yang mengakibatkan korban mengalami kerugian sekitar 100 ribu USD (Rp 1,36 miliar) dalam bentuk cryptocurrency.
Sejumlah pakar dan ahli keamanan siber menyebutkan otentikasi dua faktor (2FA) melalui SMS menyimpan risiko keamanan kepada para penggunanya. Sehingga, direkomendasikan untuk menggunakan otentikasi dua faktor melalui token agar lebih aman.
"Tidak seperti 2FA berbasis nomor telepon, otentikasi dua faktor atau 2FA berbasis perangkat mengharuskan pengguna untuk memiliki fisik token dan membantu menghilangkan risiko operator seluler jatuh pada penjahat yang memiliki keterampilan rekayasa sosial (social engineering) yang tepat," kata laporan itu.
PhisLabs juga mengkritik penyedia layanan untuk dapat memberi rasa aman kepada para pelanggan. Serangan SIM Swap ini dapat diminimalisir dengan mengimplementasikan lapisan otentikasi tambahan, seperti PIN (Personal Identification Number) untuk layanan jarak jauh.
Kendati demikian, 2FA melalui SMS yang dinilai kurang aman, lebih baik diterapkan daripada tidak sama sekali, karena itu hanya akan memperluas ruang gerak para penjahat siber.
Senior Director Produck of Management at Lookout, David Richardson mengatakan, pengguna harus memastikan akun seluler mereka memiliki keamanan yang baik, seperti kode PIN atau pertayaan keamanan tambahan.
"Jika mungkin, hindari menggunakan pesan SMS untuk otentikasi dua faktor. Terdapat sejumlah aplikasi otentikasi yang menyediakan layanan serupa. Meskipun, SMS itu rentan, lebih baik menggunakannya untuk 2FA daripada tidak menggunakan sama sekali," kata David dikutip SC Magazine UK, Senin (20 Januari 2020). []
Redaktur: Arif Rahman
