Serangan pertukaran SIM memanipulasi proses transfer nomor telepon melalui operator seluler dan modul identitas pelanggan (SIM) untuk mengalihkan pesan teks yang ditujukan kepada korban ke penyerang. Jika Anda menggunakan SMS untuk autentikasi dua langkah di Stripe, penyerang dapat menggunakan metode ini untuk mendapatkan kode verifikasi Anda, sehingga dapat mengakses akun Anda.
Kartu SIM diberikan kepada semua pelanggan telepon seluler dan dimasukkan ke dalam telepon untuk mengidentifikasi pelanggan. Nomor telepon pada akhirnya hanya dimiliki oleh satu SIM. Baru-baru ini, SIM elektronik telah hadir tanpa kartu fisik, tetapi memiliki fungsi yang sama.
Operator seluler Anda mampu mengubah SIM mana yang dimiliki oleh nomor telepon. Hal ini diperlukan agar Anda dapat tetap menggunakan nomor telepon yang sama jika telepon Anda hilang, atau kartu SIM rusak atau tidak dapat digunakan. Hal ini juga berarti karyawan di operator seluler mempunyai wewenang untuk melakukan perubahan ini.
Selain itu, di banyak negara, hukum mengizinkan pelanggan untuk bebas beralih antar operator seluler. Hal ini tidak hanya mendorong persaingan yang sehat, tetapi juga berarti bahwa operator seluler hanya perlu melakukan verifikasi minimal sebelum mengizinkan nomor telepon dipindahkan ke operator lain, yang tentu saja akan mengeluarkan SIM baru.
Serangan dapat dilakukan melalui berbagai cara dengan hasil yang pada akhirnya sama:
Dalam semua kasus tersebut, penyerang memperoleh kartu SIM yang menerima SMS dan panggilan telepon dari nomor telepon Anda, sementara nomor di telepon Anda saat ini akan berhenti berfungsi.
Secara umum, sehubungan dengan adanya pihak ketiga yang terlibat, saat ini tidak ada cara untuk mencegah serangan pertukaran SIM. Satu-satunya cara untuk melindungi diri Anda dari dampak berbahaya pertukaran SIM adalah dengan berhenti menggunakan pesan teks (SMS) untuk autentikasi dua langkah.
Selama SMS untuk autentikasi dua langkah diaktifkan, akun Anda berisiko terkena serangan. Anda harus mengaktifkan metode alternatif untuk autentikasi dua langkah, seperti aplikasi autentikator atau kunci keamanan perangkat keras, lalu menonaktifkan SMS.