Serangan pertukaran SIM memanipulasi proses transfer nomor telepon melalui operator seluler dan modul identitas pelanggan (SIM) untuk mengalihkan pesan teks yang ditujukan kepada korban ke penyerang. Jika Anda menggunakan SMS untuk autentikasi dua langkah di Stripe, penyerang dapat menggunakan metode ini untuk mendapatkan kode verifikasi Anda, sehingga dapat mengakses akun Anda.

Bagaimana cara kerja kartu SIM?

Kartu SIM diberikan kepada semua pelanggan telepon seluler dan dimasukkan ke dalam telepon untuk mengidentifikasi pelanggan. Nomor telepon pada akhirnya hanya dimiliki oleh satu SIM. Baru-baru ini, SIM elektronik telah hadir tanpa kartu fisik, tetapi memiliki fungsi yang sama.

Operator seluler Anda mampu mengubah SIM mana yang dimiliki oleh nomor telepon. Hal ini diperlukan agar Anda dapat tetap menggunakan nomor telepon yang sama jika telepon Anda hilang, atau kartu SIM rusak atau tidak dapat digunakan. Hal ini juga berarti karyawan di operator seluler mempunyai wewenang untuk melakukan perubahan ini.

Selain itu, di banyak negara, hukum mengizinkan pelanggan untuk bebas beralih antar operator seluler. Hal ini tidak hanya mendorong persaingan yang sehat, tetapi juga berarti bahwa operator seluler hanya perlu melakukan verifikasi minimal sebelum mengizinkan nomor telepon dipindahkan ke operator lain, yang tentu saja akan mengeluarkan SIM baru.

Bagaimana proses serangan pertukaran SIM berlangsung?

Serangan dapat dilakukan melalui berbagai cara dengan hasil yang pada akhirnya sama:

1. Penyerang berpura-pura menjadi Anda, lalu menghubungi operator seluler dan memberi tahu mereka bahwa Anda kehilangan telepon. Penyerang meyakinkan operator seluler bahwa dirinya adalah Anda untuk menerima kartu SIM pengganti;
2. Penyerang berpura-pura menjadi Anda, lalu menghubungi operator seluler lain dan memberi tahu mereka bahwa Anda ingin mengalihkan layanan ke operator baru. Operator baru meminta operator lama untuk mengonfirmasi pergantian tersebut, dan penyerang meyakinkan mereka, sehingga operator baru mengeluarkan kartu SIM; atau
3. Seorang karyawan di operator seluler telah disuap untuk mengubah nomor telepon Anda agar mengarah ke SIM penyerang.

Dalam semua kasus tersebut, penyerang memperoleh kartu SIM yang menerima SMS dan panggilan telepon dari nomor telepon Anda, sementara nomor di telepon Anda saat ini akan berhenti berfungsi.

Bagaimana cara melindungi diri saya dari serangan pertukaran SIM?

Secara umum, sehubungan dengan adanya pihak ketiga yang terlibat, saat ini tidak ada cara untuk mencegah serangan pertukaran SIM. Satu-satunya cara untuk melindungi diri Anda dari dampak berbahaya pertukaran SIM adalah dengan berhenti menggunakan pesan teks (SMS) untuk autentikasi dua langkah.

Selama SMS untuk autentikasi dua langkah diaktifkan, akun Anda berisiko terkena serangan. Anda harus mengaktifkan metode alternatif untuk autentikasi dua langkah, seperti aplikasi autentikator atau kunci keamanan perangkat keras, lalu menonaktifkan SMS.