SIM Card Swap
Saya meretas akun teman saya setelah melakukan SIM Swap
Dengan mudahnya nomor handphone anda bisa dicuri, inilah mengapa SIM Swap hanyalah awal dari masalah-masalah berikutnya, lalu bagaimana cara menghindarinya?
Seberapa mudah melakukan serangan SIM Swap dan apa yang bisa dilakukan penyerang setelah mereka memegang kendali nomor telepon Anda? Singkatnya, sangat mudah dan para kriminal dapat melakukan banyak hal setelah mereka memiliki SIM Anda.
Anda mungkin pernah mendengar istilah Penukaran SIM (SIM Swap) - juga dikenal sebagai Pembajakan SIM (SIM Hijack), tetapi banyak orang berpikir hal ini tidak bisa terjadi pada mereka.
Memang, orang-orang sering mengatakan bahwa mereka tidak akan pernah diretas dengan cara apa pun dan bahkan mempertanyakan apa gunanya meretas saya. Tetapi kenyataannya kita adalah bagian dari target besar bagi banyak aktor jahat dan mereka akan terus menargetkan apa yang lebih mudah untuk didapat. Jadi mengapa kita tidak menerapkan beberapa metode pencegahan untuk mengurangi risiko ini?
Saya akan kembali kepada apa yang bisa Anda lakukan untuk memitigasi risikonya nanti, tetapi pertama saya ingin memberi tahu Anda bagaimana saya menguji serangan SIM Swap agar saya dapat membuktikan omongan saya dan membantu orang memahami resikonya. Cerita kehidupan nyata jauh lebih baik untuk membantu orang-orang agar lebih waspada. Bahkan, saya menjalankan eksperimen serupa tahun lalu ketika saya menunjukkan betapa mudahnya meretas akun WhatsApp siapa pun dengan mengetahui nomor telepon mereka. Itu adalah pelajaran yang sangat berharga bagi kolega-kolega korban.
Saya mengenal teman saya - mari kita memanggilnya dengan nama Paul - sejak sekolah dan kami sudah menjadi teman dekat sejak itu. Saya bertanya kepadanya akhir-akhir ini apakah saya bisa mencoba untuk meretas secara etis untuk kebaikan yang lebih besar dan menggunakan apa pun yang berasal dari itu atas nama kesadaran dunia maya dan membantu melindungi orang-orang dari serangan serupa. Dia menyatakan setuju dan bahkan berpikir itu akan menyenangkan untuk menjadi bagian dari eksperimen.
Cara kerja swapping SIM
Yang saya butuhkan untuk melakukan tes adalah nama dan nomor telepon Paul. Paul memiliki agensi real estate yang menjual properti mewah di salah satu lokasi termahal di Inggris. Seperti kebanyakan orang, detail kontaknya dapat ditemukan di situs webnya, ditambah dengan beberapa riset internet (atau kecerdasan sumber terbuka, alias OSINT) saya dapat menemukan lebih banyak data lagi.
Bertindak seperti aktor jahat yang sebenarnya, saya merekam informasi tentang dia yang bisa saya temukan secara online, sebagai pihak ketiga, tanpa mengirimkan permintaan pertemanan atau mengikuti media sosialnya. Meskipun beberapa aktor jahat kemungkinan akan mencoba meminta hubungan (pertemanan, follow) dengan target mereka, saya pikir eksperimen ini akan menjadi terbaik jika saya menjaga jarak, karena saya sebenarnya tahu banyak tentang dia.
Tidak butuh waktu lama untuk mengetahui sejumlah besar informasi tentang dia, terutama melalui Instagram publiknya dan unggahan Facebook yang terbuka lebar. Saya ingin menemukan tanggal dan angka yang berarti baginya, jadi saya menggali ulang tahun dan hal lain yang terlihat di postingannya. Saya segera menemukan tanggal lahir Paul dan putranya - Saya hanya perlu melihat beberapa postingan publik yang dibuat di jejaring sosialnya sebelum, selama dan setelah ulang tahun mereka. Tidak perlu seorang jenius untuk melakukan ini, jadi saya mencatat tanggal-tanggal ini dan pindah ke bagian eksperimen berikutnya.
Kebanyakan orang di Inggris menggunakan salah satu dari sejumlah kecil perusahaan telekomunikasi, jadi saya memutuskan untuk memulai dengan salah satunya. Bingo. Saya beruntung dengan perusahaan pertama ini, karena Paul terdaftar di sini. Setelah melewati sistem dan terhubung dengan Customer Service yang sangat membantu, saya bilang saya Paul dan memberikan nomor telepon korespondasinya yang kemudian saya harus melewati keamanan. Keamanan untuk sebagian besar perusahaan telekomunikasi ini adalah membuktikan siapa Anda dengan memberikan dua digit dari kode PIN yang telah disepakati sebelumnya.
Banyak orang yang yang dapat menghafal nomor PIN kartu kredit atau kode untuk membuka ponsel mereka, dan ini karena kode tersebut memang sering digunakan.
Namun, saya meragukan bahwa banyak orang yang login ke akun penyedia ponsel mereka untuk mengingat kode ini. Oleh karena itu, orang jatuh ke dalam jebakan 1: menggunakan PIN yang relevan dan mudah diingat oleh diri mereka sendiri, seperti tanggal kelahiran.
Pertama kali saya masukkan '1' dan '1' (putra Paul lahir di tahun 2011). Dan ternyata salah, tetapi CS yang membantu saya memberi saya kesempatan lagi. Kali ini saya masukkan '8' dan '2' (Paul lahir di tahun 1982), dan CS mengatakan bahwa saya berhasil melewati verifikasi dan diminta untuk menjelaskan masalah saya secara lebih detail.
Saya menceritakan bagaimana ponsel saya dicuri, dan meminta agar kartu SIM saya diblokir dan saya telah membeli kartu SIM baru, karena itu perlu bantuan untuk memindahkannya. Saya memiliki kartu SIM baru di tangan saya siap untuk dimasukkan ke ponsel cadangan. Saya memberi CS nomor SIM yang baru dan dia mengatakan bahwa nomor saya akan diporting dalam beberapa jam.
Pada tahap ini, Paul akan menyadari bahwa sinyal jaringannya akan putus dan tidak ada SMS yang masuk di ponselnya. Tapi dia masih bisa mengakses internet melalui Wi-Fi.
Dalam dua jam setelah beberapa kali menghidup-matikan ponsel cadangan, saya diberikan akses penuh ke nomor Paul. Saya mengujinya dengan menghubungi ponsel saya dari ponsel cadangan, dan benar SIM baru di ponsel cadangan ini sekarang terdeteksi sebagai Paul, karena namanya muncul di ponsel saya ketika berbunyi. Di sinilah bahaya benar-benar sedang dimulai.
Konsekuensi dari serangan
Saya tahu ini hanya masalah waktu sebelum Paul akan menyadarinya, jadi saya pergi ke situs webnya dan mencari penyedia layanannya, yang merupakan web hosting populer. Saya mencoba login dengan menggunakan ′′lupa kata sandi′′ (tombol favorit hacker) untuk mengirimkan permintaan saya dan melihat apa yang akan terjadi.
Karena dia cukup menyadari cyberattacks, dia memiliki autentikasi dua faktor (2 FA) tetapi, hanya melalui SMS - jebakan 2. Saya mengklik melalui halaman yang tepat dan dalam beberapa detik saya memiliki kode yang dikirim melalui SMS ke ponsel cadangan saya. Saya memasukkan ini kembali ke situs web dan hey presto, saya diberi kesempatan untuk mengubah kata sandinya.
Saya bisa saja melanjutkan tindakan serupa pada media sosial dan email miliknya, tetapi saya pikir saya telah membuat poin saya dan memutuskan untuk menarik diri. Saat saya berada di web nya, saya pikir akan menyenangkan untuk menampilkan foto saya tersenyum lebar di halaman depannya lalu memberitahunya bahwa web nya terlihat bagus saat ini. Tak perlu dikatakan lagi, dia mabuk dengan apa yang dilihatnya, tetapi lebih terkesan dengan begitu cepatnya saya memegang kendali atas aset paling berharga miliknya.
Cara melindungi diri dari penipuan swap SIM
Siapa pun yang membaca ini sekarang semoga bertanya-tanya bagaimana mereka dapat melindungi akun mereka. Ada dua cara utama untuk menggagalkan serangan SIM Swap:
- Jangan pernah menggunakan apa pun yang terkait dengan Anda dalam kode PIN atau kata sandi Anda.
- Jika memungkinkan, ganti 2FA berbasis SMS dengan aplikasi autentikator atau kunci keamanan fisik.
Hal ini akan menghentikan saya untuk mendapatkan akses ke akun ponsel Paul, tetapi yang lebih penting, hal itu akan menghentikan saya untuk mengubah kata sandinya. Setelah dicuri, peretas kriminal dapat dengan mudah memblokir pemegang akun asli dan bisa menjadi sangat sulit atau bahkan tidak mungkin untuk mendapatkan akses kembali. Konsekuensinya dapat menjadi sangat mengerikan untuk bank, email, dan akun media sosial Anda.
Adapun Paul, saya memberinya akses kembali ke SIM dan situs webnya, membantunya menyiapkan aplikasi autentikator dan dia mengubah kode PIN ponsel miliknya. Saya juga membantunya mengingat kode dengan menggunakan password manager. Sama pentingnya, saya menyarankan dia untuk berhenti membagikan informasi pribadi yang sensitif di media sosial dan membatasi jumlah orang yang bisa melihat postingannya atau materi lain di situ.