Mirip Kasus Ilham Bintang, Modus Bajak Kartu SIM Kian Gawat

Cyberthreat.id - Masih ingat kasus pengambilalihan kartu SIM dan nomor telepon Indosat milik wartawan senior Ilham Bintang? Ya, nomor telepon pendiri media Cek&Ricek itu dibajak seseorang dengan cara datang langsung ke gerai Indosat dan menipu pegawainya. Si pelaku menipu pegawai Indosat dengan membawa KTP palsu atas nama Ilham Bintang dan mengantongi data pribadinya. Setelah berhasil mengambil alih kartu SIM, pelaku membobol rekening bank dan kartu kredit Ilham dengan kerugian ratusan juta rupiah.

Di Amerika, kasus pengambilalihan kartu SIM (SIM swapping) juga kerap terjadi. Hanya saja, caranya lebih gawat lagi: menebar phising berisi tautan palsu yang mengandung malware jahat ke email atau akun sosial media milik pegawai perusahaan provider telekomunikasi.

Begitu si pegawai mengklik tautannya, si pelaku bisa mendapat akses untuk masuk ke sistem operasi dan jaringan komputer perusahaan tersebut. Peretas kemudian dapat melakukan pertukaran nomor kartu SIM dan mengendalikan nomor telepon untuk membobol email, akun sosial media, mobile banking, atau akun uang digital.

Kartu SIM berisi nomor ponsel dibutuhkan untuk mendapatkan pasword sekali pakai atau OTP yang dikirim penyedia platform online. Dengan begitu, si pembajak bisa mengakses ke aneka akun online target, termasuk membobol rekening bank lewat internet banking.

Investigasi yang dilakukan Motherboard dan dipublikasikan pada Selasa (28 Januari 2020), menyebutkan peretas akan mencoba menipu karyawan provider telekomunikasi agar masuk ke halaman login palsu, yang memungkinkan peretas mengambil data kredensial ( seperti username dan pasword) dan menggunakannya untuk masuk ke situs aslinya.

Ini mirip dengan modus pembuatan situs perbankan palsu yang dibuat menyerupai aslinya. Orang yang mengira sedang mengakses situs asli akan memasukkan username dan password-nya di situs palsu itu. Tanpa disadari, datanya telah tersimpan di situs palsu itu.

"Jadi mereka hanya login seperti biasa, seperti sedang masuk ke sistem kontrol perusahaannya. Dan kami mendapatkan data kredensial mereka," kata salah satu pelaku phising yang namanya dirahasiakan Motherboard agar lebih leluasa berbicara.

Perusahaan telekomunikasi di Amerika seperti Verizon, Sprint, dan T-Mobile tidak hanya memiliki karyawan sendiri, tetapi juga melakukan outsourcing ke 'reseller resmi.' Dalam beberapa kasus, pekerja outsourcing ini kerap dijadikan target oleh peretas.

"Pelaku menargetkan portal milik reseller dari salah satu provider besar di Amerika," kata David Gill, dari perusahaan keamanan siber WMC Global yang menolak menyebut nama provider itu.

Peneliti keamanan siber independen Nicholas Ceraolo memperlihatkan tangkapan layar login panel yang dipakai pegawai Verizon, T-Mobile, dan Sprint. Login panel itu bisa diakses dari jarak jauh dengan jaringan VPN yang disediakan oleh perusahaan penyedia infrastruktur teknologi, Citrix.

"Saya benar-benar harus memperingatkan semua orang di perusahaan provider telekomunikasi tentang seluruh penipuan pertukaran SIM yang terjadi agar mewaspadai modus ini," kata Ceraolo.

Salah satu sistem yang coba diakses oleh pelaku SIM swap adalah Omni, perangkat dukungan pelanggan Verizon. Motherboard mengkonfirmasi hal ini kepada dua orang. Yang satu adalah mantan pegawai reseller Verizon. Satunya lagi pegawai representative Verizon. Keduanya bisa melakukan pertukaran kepemilikan kartu SIM lewat Omni.

"Omni adalah situs yang digunakan karyawan costumer service untuk memproses hal-hal terkait keluhan pelanggan. Jadi perangkat dan perubahan kartu SIM, penagihan, hal-hal terkait penggunaan, dan aktivasi diproses di sana," kata mantan karyawan itu.

"Ya, itu pasti mungkin," tambah mereka, merujuk pada penggunaan Omni untuk pertukaran SIM. "Setelah masuk ke akun, Anda dapat mengedit ICCID [kode identifikasi unik kartu SIM] untuk saluran yang digunakan. Dari sana Anda mengeluarkan kartu SIM yang Anda tukarkan ke telepon dan kemudian akan memiliki nomor korban, lalu dipakai untuk pencurian identitas."

Sumber Motherboad yang memberikan tangkapan layar internal sistem perusahaan telekomunikasi internal mengatakan, "Saya dapat menukar kepemilikan SIM siapa pun di Omni."

Verizon telah mengingatkan reseller mewanti-wanti upaya phishing. Mantan karyawan itu mengatakan untuk mengakses login panel, ada token khusus. Tetapi, terkadang karyawan dapat mengakses komputer lain dari jarak jauh yang sudah diinstal. Artinya, mereka dapat menggunakan alat itu dari mana saja.

T-Mobile dan Sprint mengatakan kepada Motherboard bahwa mereka menggunakan beberapa bentuk otentikasi dua faktor. Ceraolo mengatakan beberapa penukar SIM akan meminta pekerja perusahaan telekomunikasi untuk membacakan kode otentikasi yang diperlukan melalui telepon.

"Kami mengetahui penipuan baru-baru ini yang menargetkan beberapa karyawan dan lainnya menggunakan rekayasa sosial. Verizon sepenuhnya terlibat dalam masalah ini," kata juru bicara Verizon dalam email. "Kami terus bekerja untuk meningkatkan kontrol keamanan kami dan menerapkan peningkatan dalam menanggapi kegiatan seperti ini."

Seorang juru bicara Sprint mengkonfirmasi kepada Motherboard dalam sebuah pernyataan yang diemailkan bahwa mereka mengetahui pelaku SIM swap yang mencoba menipu untuk bisa mengakses perangkat internal.

"Kami menyadari teknik ini dan memperingatkan perwakilan di lini depan tentang prosedur keamanan kami," tulis email itu.

"Kami melihat upaya phishing terhadap karyawan kami secara teratur oleh berbagai pelaku ancaman dengan berbagai tujuan. Kami memiliki langkah-langkah aktif untuk mendeteksi dan merespons aktivitas semacam ini dan belum pernah mengalami insiden terkait dengan upaya ini di masa lalu," katanya menambahkan.

Kembali ke kasus Ilham Bintang. Berkaca dari modus di Amerika itu, mungkinkah pegawai Indosat yang tidak menjalankan seluruh prosedur keamanan perusahaan --seperti tidak memfoto kopi KTP yang memuat wajah pelaku dan tidak memotret wajahnya -- turut terlibat? Kasus itu masih ditangani kepolisian setelah dilaporkan Ilham Bintang pada 17 Januari lalu.[]