Serangan SIM swap memanipulasi proses transfer nomor telepon lintas operator seluler dan modul identitas pelanggan (SIM) untuk menyesatkan pesan teks yang diperuntukkan bagi korban kepada penyerang. Jika Anda menggunakan SMS untuk autentikasi dua langkah di Stripe, penyerang dapat menggunakan metode ini untuk memperoleh kode verifikasi Anda, sehingga memperoleh akses ke akun Anda.

Bagaimana cara kerja kartu SIM?

Kartu SIM diterbitkan untuk setiap pelanggan telepon seluler dan dimasukkan ke dalam ponsel untuk mengidentifikasi pelanggan. Nomor telepon pada akhirnya menunjuk ke satu SIM. Baru-baru ini, eSIM diperkenalkan untuk meniadakan kartu fisik, tetapi berfungsi dengan cara yang sama.

Operator seluler Anda memiliki kemampuan untuk mengubah SIM mana yang ditunjuk oleh nomor telepon. Hal ini dibutuhkan agar Anda tetap dapat menggunakan nomor telepon yang sama jika kehilangan ponsel atau jika kartu SIM rusak atau tidak dapat digunakan. Ini juga berarti karyawan di operator seluler berwenang melakukan perubahan ini.

Selain itu, di banyak negara, secara hukum pelanggan harus dapat bebas berpindah antaroperator seluler. Hal ini mendorong persaingan yang sehat, tetapi juga berarti bahwa operator seluler melakukan sangat sedikit verifikasi sebelum mengizinkan nomor telepon dipindahkan ke operator lain, yang tentunya menerbitkan SIM baru.

Bagaimana cara kerja serangan SIM swap?

Ada beberapa macam cara agar serangan dapat digunakan dengan hasil akhir yang sama:

1. Penyerang berpura-pura menjadi Anda dan menghubungi operator seluler Anda, yang memberi tahu mereka bahwa Anda kehilangan ponsel. Penyerang meyakinkan operator seluler bahwa mereka adalah Anda dan diberikan kartu SIM pengganti;
2. Penyerang berpura-pura menjadi Anda dan menghubungi operator seluler lain, yang memberi tahu mereka bahwa Anda ingin mengganti layanan ke operator baru. Operator baru meminta operator lama untuk mengonfirmasikan pemindahan, dan penyerang meyakinkan mereka, sehingga operator baru menerbitkan kartu SIM; atau
3. Seorang karyawan di operator seluler Anda disuap agar mengubah nomor telepon Anda untuk diarahkan ke SIM penyerang.

Dalam semua kasus, penyerang memperoleh kartu SIM yang menerima SMS dan panggilan telepon dari nomor telepon Anda, sementara ponsel Anda yang ada berhenti berfungsi.

Bagaimana cara memproteksi diri saya dari serangan SIM swap?

Secara umum, karena adanya pihak ketiga yang terlibat, saat ini tidak ada cara untuk mencegah serangan SIM swap.  Satu-satunya cara memproteksi diri Anda dari efek berbahayanya adalah dengan berhenti menggunakan pesan teks (SMS) untuk autentikasi dua langkah.

Selama SMS untuk autentikasi dua langkah diaktifkan, akun Anda berisiko. Anda harus mengaktifkan metode alternatif untuk autentikasi dua langkah, seperti aplikasi autentikator atau kunci keamanan perangkat keras, kemudian nonaktifkan SMS.