Jangan Sepelekan Insiden SIM Swapping!
Ilustrasi | Foto: freepik.com
Jakarta, Cyberthreat.id – Jangan sepelekan kejahatan atau penipuan dengan metode penggantian kartu seluler (SIM swapping). Kelengahan pengguna dan operator seluler disinyalir sebagai titik lemah utama yang dieksploitasi penjahat.
Berkaitan dengan kasus penipuan SIM swapping yang menimpa wartawan juga pengusaha media Ilham Bintang, Dosen Teknologi Informasi dari Swiss German University, Charles Lim, mengatakan, pelaku jelas-jelas melakukan teknik rekayasa sosial (social engineering) sehingga bisa memperdaya petugas layanan konsumen di Gerai Indosat.
Menurut Charles, kejahatan SIM Swapping sekilas memang terlihat sederhana dan tidak berbahaya. Padahal, semua nomor kartu seluler saat ini terintegrasi dengan akun rekening bank, email, dan media sosial.
Berita Terkait:
- Indosat Akui Ada Kesalahan di Kasus Ilham Bintang
- Ini Kata BRTI Soal Kasus SIM Swap Ilham Bintang
- BRTI Akui Masih Ada Celah dalam Registrasi Prabayar
- Cerita Ilham Bintang: SIMCard Dibajak, Rekening Bank Dikuras
Oleh karena itu, menurut dia, dengan mengambil alih nomor seluler seseorang, penjahat siber sudah bisa merebut berbagai akun platform online yang dimiliki oleh korban.
"Nomor simcard saat ini sudah digunakan untuk proses autentikasi. Misal, saya ada akun Bank X dan saya daftarkan nomor simcard saya untuk autentikasi transaksi. Saat transaksi terjadi, maka nomor simcard akan dikirimkan kode melalui SMS untuk kirim kode untuk OTP (one-time password)," ujar dia saat dihubungi Cyberthreat.id, Senin (20 Januari 2020).
Agar tidak terulang kasus serupa, ia menyarankan agar baik pengguna maupun operator seluler harus lebih hati-hati. Operator, menurut dia, harus memperbaiki prosedur standar operasional (SOP) dalam penggantian kartu selulernya, misal menerapkan verifikasi dan pemotongan kartu. Terlebih sampai saat ini belum ada undang-undang yang melindungi korban dalam kasus tersebut, kata dia.
Sementara, Sekretaris Indonesia Cyber Security Forum (ICSF), Satriyo Wibowo, menekankan, bahwa sektor telekomunikasi saat ini menjadi satu mata rantai keamanan dari proses bisnis jasa keuangan.
Sistem keamanan sektor keuangan, menurut dia, sudah kuat dengan hadirnya pengawas Bank Indonesia dan Otoritas Jasa Keuangan yang menerapkan aturan ketat. Hanya, keamanan di sisi pengguna dan operator jasa keuangan yang belum kuat.
"Daripada menyerang sistem yang sudah diperkuat, penyerang akan lebih memilih siapa yang paling lemah pada proses bisnis tersebut, misalnya operator dan pengguna melalui teknik social engineering," tutur Bowo, sapaan akrabnya kepada Cyberthreat.id.
Sederhananya, kata dia, dengan memanfaatkan rekayasa sosial, penjahat bisa menyerang operator seluler, seperti memalsukan diri sebagai calon korban, lalu mengajukan permintaan penggantian nomor kartu seluler.
Melalui nomor ponsel korban, kata dia, penjahat memiliki peluang besar untuk mendapatkan akses, seperti proses pengajuan reset kata sandi platform perbankan atau media sosial, pemindahan saldo, dan lain-lain.
“Untuk mendaftar layanan keuangan digital, kita bisa menggunakan nama apa saja, tetapi untuk pengisian nomor telepon kan tidak bisa sembarangan. Karena untuk topup dan mengirimkan OTP platfrom itu melalui nomor telepon,” ujar dia.
Seperti diberitakan, seseorang yang mengaku sebagai Ilham Bintang mendatangi Gerai Indosat Bintaro Jaya Xchange, Bintaro, Tangerang Selatan pada Jumat (3 Januari 2020) pukul 21.02 WIB. Ilham sendiri saat itu sudah beberapa hari berada di Australia.
Dari tangkapan kamera CCTV, pelaku adalah seorang laki-laki setengah baya berbaju biru dan memakai kaca mata. Ilham sendiri memiliki nomor Indosat generasi awal yang dipakai sejak tahun 1994: 0816806656.
Cyberthreat.id mendatangi gerai Indosat Bintaro Jaya Xchange pada Jumat malam (17 Januari 2020) dan bertemu seorang petugas layanan pelanggan bernama Anggi.
Menurut Anggi, petugas yang melayani Ilham Bintang palsu itu telah diberhentikan karena tidak menjalankan prosedur verifikasi data. Kata dia, ada dua langkah prosedur operasional standar (SOP) yang dilupakan oleh rekannya ketika ada pelanggan Indosat yang ingin menukarkan kartu tersebut.
Padahal, dua langkah itu sangat penting, yaitu memfotokopi KTP elektronik dan memotret wajah pelanggan yang mengajukan pergantian kartu. “Padahal itu penting karena, misalnya, ada indikasi penipuan (fraud) itu menyangkut bank,” Anggi menambahkan.
Dalam kasus Ilham Bintang, kata Anggi, pelaku membawa KTP-el yang menyerupai KTP-el asli milik Ilham Bintang. Hanya, foto yang digunakan si penipu pada KTP-el adalah foto dirinya sendiri, bukan foto Ilham Bintang.
Menurut Anggi, si penipu itu mengaku mengganti kartu selulernya dengan alasan kartu hilang. Oleh karena itu, menurut Anggi, rekan kerjanya sama sekali tidak mencurigai si penipu. “Karena ia sebatas menyamakan NIK yang ada di KTP-el yang dibawa penipu dengan data yang ada di komputer CS,” tutur Anggi.
Menurut Anggi, kemungkinan besar penipu tersebut telah mengetahui banyak profil Ilham Bintang, “Karena seluruh verifikasi berjalan dengan lancar. Jadi, penipu ini sama sekali tidak terindikasi oleh CS kalau sedang menjalankan aksi penipuannya,” kata Anggi.
Akibat kejadian itu, rekening bank Ilham Bintang berhasil dibobol. Diduga, pelaku membutuhkan nomor telepon Ilham Bintang lantaran untuk mengakses mobile banking pihak perbankan biasanya mengirim pasword sekali pakai (OTP) ke nomor ponsel pelanggan.
Ilham sendiri telah melaporkan kasus itu ke polisi pada Jumat, 17 Januari lalu.[]
Redaktur: Andi Nugroho
