Apa itu Kejahatan SIM Swap Fraud?

swim swap card

Penipuan swap SIM adalah jenis penipuan pengambilalihan akun yang umumnya menargetkan kelemahan dalam otentikasi dua faktor dan verifikasi dua langkah di mana faktor atau langkah kedua adalah pesan teks atau panggilan yang dilakukan ke telepon seluler.

Sungguh malang nasib Pak Smith, pelanggan satu operator seluler di Australia. Di bulan Januari 2018, Pak Smith melayangkan komplain ke Telecommunications Industry Ombudsman (TIO) karena seseorang via online chat berhasil meminta operator seluler langganan Pak Smith untuk mengalihkan nomor telpon Smith ke nomor SIM baru milik orang tersebut.

Yang mengejutkan, si penjahat melakukan itu hanya berbekal nama dan tanggal lahir Pak Smith. Bukan hanya itu, ia juga meminta operator mengubah semua informasi pribadi di akun milik Pak Smith. Jalan cerita selanjutnya bisa diduga, si penjahat berhasil meretas profil banking dan menguras semua uang di rekening Pak Smith yang mencapai puluhan ribu dolar.

Nasib Nona Chan tak jauh beda dengan Smith. Pada bulan Juli 2017, Nona Chan melaporkan bahwa seseorang tak dikenal telah menelpon Blue Phones, operator seluler berbasis di Australia yang dilanggan Bu Chan. Si penipu berpura-pura menjadi Nona Chan dan mengambil alih nomor selulernya. Akibatnya, Nona Chan tidak dapat menggunakan layanan mobile selama beberapa hari dan rekening banknya dibobol sebesar US$9.000.

Dua kasus tersebut terjadi di Australia tapi modus operandi yang dikenal dengan istilah SIM card swap ini sudah dipraktikkan oleh pelaku kejahatan di Indonesia. SIM card swap terjadi ketika pelaku kejahatan menduplikasi kartu SIM korban untuk mengakses akun-akun sensitif, misalnya akun perbankan.

Baru-baru ini benar terjadi kepada warga Indonesia. Wartawan senior Ilham Bintang sampai merugi ratusan juta rupiah. Dia mengatakan hal ini dimulai ketika nomor Indosat-nya tidak bisa dipergunakan saat liburan akhir tahun ke Australia. Padahal ia sudah membeli paket roaming. Saat mengecek ATM Commonwealth Bank di Melbourne pada tanggal 6 Januari 2020, di situ dia melihat rekeningnya dikuras habis. Dan langsung melapor ke polisi di Melbourne.

Skenario Pembobolan Rekening

Tahap pertama dari kasus pembobolan rekening ini diawali dengan phising

(1) Pelaku melakukan pendekatan ke korban dengan teknik phising, vhising (voice phising), dan smishing (SMS phising). Ketiganya sama-sama bertujuan mengelabui korban untuk mendapatkan data-data pribadi. Ketiganya dibumbui teknik social engineering, langkah pertama ini pelaku mendapatkan data-data korban sesuai dengan target apa yang mau dia bobol. Langkah ini bisa dilakukan secara random maupun spesifik.

(2) Pelaku mendatangi gerai operator dari nomor ponsel korban dan berpura-pura kehilangan kartu SIM. Berbekal data yang berhasil didapatkannya di tahap pertama, pelaku bisa mengisi formulir untuk mendapatkan kartu SIM nomor korban. Dilihat datanya lengkap. Ada penambahan pengecekan sesuai SOP, dan si pelaku sudah mengantisipasi berbekal data-data yang sudah dia dapat. Sehingga didapatkan SIM card pengganti.

(3) Pelaku mendownload aplikasi mobile banking yang digunakan korban, menggunakan username dan password untuk login ke aplikasi tersebut. Pelaku juga bisa melakukan reset password yang nantinya kode verifikasi dikirimkan lewat SMS. Setelah berhasil mendapatkan username dan password, pelaku hanya tinggal mendapatkan kode PIN untuk transaksi perbankan di mobile banking. Sudah dapat semuanya sehingga akun berhasil dikuasai. Dan ternyata setiap transaksi di bank tersebut hanya perlu OTP (one time password) saja.

Dengan demikian, di tahap pertama (phishing), celahnya ada di pengguna atau nasabah. Sedangkan di tahap kedua, operator dikelabui dengan data-data yang didapat pelaku dari phishing. Di tahap terakhir, ada celah dari aplikasi yang dibobol.

SIM Swap Fraud

Tips Terhindar dari Sim Swap Fraud

Ada beberapa langkah untuk mengantisipasi sindikat SIM swap fraud meretas nomor ponsel.

Pertama, pemegang nomor ponsel diharapkan selalu memperbaharui username dan password aplikasi perbankan yang terkoneksi dengan ponsel. Setidaknya 3-6 bulan adalah waktu yang cukup untuk segera menggantinya.

Kedua, pemegang nomor ponsel diharapkan menggunakan username dan password yang berbeda-beda di setiap aplikasi.

Ketiga adalah merahasiakan data perbankan, seperti password internet banking, PIN kartu ATM, bahkan PIN ponselnya.

Keempat, jangan publikasikan nomor ponsel di media sosial atau gunakan nomor ponsel berbeda untuk aktivitas perbankan.

Kelima, jangan pernah memberikan informasi seputar perbankan termasuk kartu kredit, apabila ada telepon atau SMS tak dikenal.

Keenam. Langkah yang tak kalah pentingnya adalah memastikan keabsahan situs layanan internet banking yang dikoneksikan ke ponsel. Pastikan itu bukan situs phising.

Ketujuh. Agar tidak membuka tautan yang tak jelas yang diterima melalui pesan singkat atau e-mail.

Kedelapan. Disarankan pengguna internet atau mobile banking selalu mengaktifkan fitur notifikasi via SMS atau e-mail tentang transaksi perbankan.

Renungkan materi ini. Semoga rekan-rekan selalu sehat dalam lindungan Allah swt

Post Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.