Serangan SIM Swap: Bagaimana Peretas Membajak Nomor Telepon Anda
Nomor telepon Anda diam-diam adalah kunci utama uang Anda. Bank Anda, email Anda, bursa kripto Anda semuanya mempercayainya untuk membuktikan identitas Anda, biasanya dengan mengirimkan kode melalui SMS. Serangan SIM swap mengambil kunci itu dan menyerahkannya kepada orang asing, seringkali dalam waktu yang dibutuhkan Anda untuk menyadari bahwa sinyal di layar Anda telah turun menjadi "Tidak Ada Layanan". Pada saat Anda terhubung kembali, penyerang dapat mengatur ulang kata sandi Anda dan mengosongkan akun Anda. Bagi pemegang kripto, kerusakannya lebih buruk — begitu koin meninggalkan dompet, tidak ada yang dapat mengambilnya kembali.
Panduan ini menjelaskan apa itu serangan SIM swap, bagaimana cara kerjanya langkah demi langkah, mengapa serangan ini menjadi alat favorit untuk mencuri mata uang kripto, dan beberapa perubahan yang benar-benar dapat menghentikannya.
Apa Itu Serangan SIM Swap dan Mengapa Serangan Ini Berhasil
Serangan SIM swap adalah penipuan pengambilalihan akun yang menargetkan titik lemah dalam otentikasi dua faktor: pesan teks . SIM Anda, singkatan dari subscriber identity module, adalah chip kecil yang menghubungkan nomor ponsel Anda ke telepon Anda. Dalam serangan SIM swap, penyerang tidak pernah menyentuh perangkat Anda. Sebaliknya, mereka meyakinkan operator seluler Anda untuk memindahkan nomor Anda ke kartu SIM baru yang mereka miliki. Saat pertukaran selesai, setiap panggilan dan pesan teks yang ditujukan untuk Anda, termasuk kode keamanan, akan sampai ke ponsel mereka.
Inilah bagian yang sering disalahpahami orang. Ini bukan peretasan telepon dan bukan algoritma enkripsi yang rusak. Ini adalah peretasan layanan pelanggan. Kelemahan yang dieksploitasi adalah manusia di operator seluler, dan asumsi yang salah bahwa mengendalikan nomor telepon membuktikan identitas. Singkirkan jargonnya, dan SIM swap hanyalah seseorang yang membujuk perusahaan untuk memberikan nomor Anda, lalu menggunakannya untuk mengakses semua yang dilindungi nomor tersebut. Peneliti keamanan mengklasifikasikan penipuan SIM swap sebagai pencurian identitas karena alasan yang tepat. Penyerang tidak hanya mengincar uang Anda; untuk sementara waktu mereka memiliki seluruh identitas digital Anda, semuanya dialihkan melalui satu akun telepon seluler biasa yang Anda anggap hanya milik Anda.
Cara Kerja Serangan SIM Swap, Langkah demi Langkah
Hampir setiap kasus mengikuti tiga langkah yang sama, dan tidak satu pun yang membutuhkan peretasan tingkat lanjut. Yang dibutuhkan hanyalah kesabaran dan cerita yang meyakinkan.
Langkah 1: Mengumpulkan informasi pribadi Anda
Pertama, penyerang membangun profil Anda. Mereka mengambil informasi pribadi dari data bocoran lama yang dijual di dark web, dari email phishing yang menipu Anda untuk mengetik detail pribadi Anda, dan dari media sosial Anda sendiri. Tanggal lahir di sini, nama hewan peliharaan di sana, empat digit terakhir nomor kartu dari basis data yang bocor, dan mereka memiliki cukup detail pribadi untuk terdengar seperti Anda saat menelepon. Semakin banyak yang Anda posting secara publik, semakin murah langkah ini. Sebagian besar data pribadi ini sama sekali bukan data yang baru dicuri. Data tersebut bocor bertahun-tahun yang lalu dalam beberapa kebocoran yang terlupakan, dan penyerang hanya menyusun kembali potongan-potongan yang tersebar menjadi satu kesatuan yang meyakinkan.
Langkah 2: Menyamar sebagai Anda kepada operator seluler
Selanjutnya, mereka menyamar sebagai Anda kepada penyedia layanan seluler Anda. Terkadang itu berupa panggilan telepon dengan cerita yang sudah dipersiapkan tentang ponsel yang hilang atau rusak. Terkadang itu berupa kunjungan langsung ke toko ritel dengan KTP palsu. Dalam kasus terburuk, penyerang hanya menyuap atau merekrut karyawan operator, yang mengubah seluruh pertahanan menjadi satu orang dalam yang tidak jujur. Ini adalah rekayasa sosial, bukan kode, dan berhasil karena staf dukungan dilatih untuk membantu dan mempercepat antrean.
Langkah 3: Pertukaran dan pengambilalihan
Begitu operator mengaktifkan SIM baru—momen penting dari seluruh serangan—ponsel asli Anda kehilangan sinyal. Sekarang penyerang mengendalikan nomor tersebut. Mereka membuka email atau nomor telepon Anda, mengklik "lupa kata sandi," dan membiarkan kode pengaturan ulang tiba sebagai pesan teks yang dapat mereka baca. Mereka mencegat SMS tersebut, mengatur ulang kata sandi, dan mendapatkan akses. Setelah email Anda diambil alih, mereka kemudian menyerang setiap akun lain yang terhubung dengannya. Pengambilalihan akun secara penuh dapat terjadi dalam hitungan menit—jauh sebelum kebanyakan orang menyadari mengapa ponsel mereka mati.
Mengapa SIM Swap Merupakan Mesin Pencurian Kripto?
Banyak serangan yang dapat menguras rekening bank, tetapi bank dapat membalikkan transfer yang curang. Kripto berbeda, dan perbedaan itulah yang menyebabkan pertukaran SIM sangat merusak di bidang keuangan ini.
Otentikasi dua faktor SMS adalah titik kegagalan tunggal.
Sebagian besar bursa masih mengizinkan pengguna untuk melindungi akun dengan kode yang dikirim melalui SMS. Itu terasa aman sampai Anda menyadari bahwa seluruh pertahanan bergantung pada satu asumsi: bahwa hanya Anda yang menerima SMS tersebut. Pertukaran SIM (SIM swap) sepenuhnya mematahkan asumsi itu. Satu kode yang dicegat akan mengatur ulang login, dan otentikasi dua faktor SMS, yang seharusnya menjadi jaring pengaman Anda, malah menjadi pintu terbuka. Penyerang tidak memerlukan kata sandi Anda jika mereka dapat mengatur ulang kata sandi tersebut melalui nomor Anda. Lebih buruk lagi, trik yang sama juga dapat mengalahkan kata sandi itu sendiri, karena banyak bursa memungkinkan Anda untuk memulihkan kata sandi yang terlupakan melalui SMS. Kode SMS bukanlah kunci pengaman kedua sama sekali; itu adalah satu-satunya kunci pengaman, dan pertukaran SIM memegang kuncinya. Bahkan lembaga pun bisa terjebak: pada tahun 2024, akun X milik SEC sendiri dibajak melalui pertukaran SIM dan digunakan untuk memposting persetujuan ETF Bitcoin palsu yang sempat mengguncang pasar.
Tidak dapat dibatalkan berdasarkan desain.
Bank dapat membekukan transfer dana dan membatalkan transaksi. Blockchain tidak dapat melakukan itu. Begitu penyerang memindahkan koin Anda ke dompet yang mereka kendalikan, transfer tersebut bersifat final, tanpa pengembalian dana dan tanpa layanan dukungan yang dapat dihubungi. Ketidakmampuan untuk membatalkan transaksi adalah ciri khas kripto — tetapi hal itu mengubah pertukaran SIM dari sekadar ancaman menjadi kerugian permanen, itulah sebabnya penyerang secara khusus memburu pemegang kripto yang dikenal. Angka-angka dalam dolar menunjukkan betapa besarnya kerugian yang dipertaruhkan.
| Kasus | Tahun | Jumlah | Bagaimana itu terjadi |
|---|---|---|---|
| Michael Terpin melawan AT&T | Tahun 2018 | $24 juta | Nomor dialihkan, akun kripto dikuras |
| Perampokan di hari kebangkrutan FTX | Tahun 2022 | sekitar 400 juta dolar | Penukaran SIM selama runtuhnya bursa |
| Pencurian Bitcoin di Washington DC | Tahun 2024 | 4.100 BTC, sekitar $263 juta | Rekayasa sosial ditambah pertukaran SIM, 9 vonis |
| Korban arbitrase T-Mobile | Tahun 2020 | Dana sebesar $33 juta diberikan. | Kegagalan keamanan operator, pertukaran berulang |
| Peretasan akun SEC X | Tahun 2024 | postingan palsu yang menggerakkan pasar | Penggantian kartu SIM pada akun agensi. |
Seberapa Umumkah Serangan SIM Swap Sebenarnya?
Jawaban jujurnya adalah sebuah paradoks. Secara jumlah mentah, serangan ini jarang terjadi, tetapi per korbannya sangat dahsyat, dan angka resmi sangat meremehkan kerugian kripto.
Pertama-tama, lihatlah total yang dilaporkan. Pusat Pengaduan Kejahatan Internet FBI mencatat 982 pengaduan SIM swap pada tahun 2024, dengan kerugian sekitar $26 juta, turun dari puncaknya yang mendekati $72,6 juta pada tahun 2022. Microsoft mencatat bahwa kurang dari 0,3% serangan identitas menggunakan SIM swapping sama sekali, jauh lebih kecil dibandingkan dengan phishing biasa. Berdasarkan angka-angka tersebut saja, Anda mungkin akan acuh tak acuh.
| Tahun | Kerugian akibat pertukaran SIM yang dilaporkan (FBI IC3) |
|---|---|
| Tahun 2022 | $72,6 juta |
| Tahun 2023 | $48,8 juta |
| Tahun 2024 | $26,0 juta (982 pengaduan) |
Mari kita perhatikan lebih dekat. Pada tahun yang sama ketika kerugian resmi akibat SIM swap mencapai sekitar $26 juta, satu kasus di Washington DC memindahkan sekitar $263 juta dalam bitcoin, dan perampokan FTX mengambil sekitar $400 juta. Keduanya tidak termasuk dalam kategori SIM swap, karena para penyelidik mengkategorikannya dalam kategori penipuan atau pencurian yang lebih luas. Intinya bukanlah bahwa serangan itu tidak berbahaya. Melainkan bahwa serangan itu jarang terjadi, terarah, dan ditujukan kepada orang-orang dengan uang sungguhan, terutama kripto, di mana satu keberhasilan dapat menutupi seribu kegagalan. Rata-rata, setiap penipuan SIM swap yang dilaporkan pada tahun 2024 merugikan korbannya sekitar $26.000, dan itu hanya kasus-kasus yang cukup kecil untuk dikategorikan sebagai SIM swap. Pencurian kripto yang menjadi berita utama, yang nilainya mencapai puluhan atau ratusan juta dolar, tercatat dalam kategori yang sama sekali berbeda.
Tanda-Tanda Peringatan Serangan SIM Swap
Anda biasanya akan mendapatkan satu peringatan bahwa proses penggantian SIM sedang berlangsung, dan penghitung waktu akan mulai berjalan begitu SIM tersebut sampai. Menitlah yang penting di sini, bukan jam.
Yang paling mencolok sangat sederhana: ponsel Anda kehilangan sinyal tanpa alasan. Baterai penuh, tidak ada gangguan operator, semua orang di sekitar Anda memiliki sinyal, dan sinyal Anda hilang begitu saja. Di pusat kota, itu bukan kesalahan sistem. Anggap saja itu sebagai alarm. Tanda-tanda lainnya muncul di perangkat apa pun yang masih berfungsi. Anda terkunci dari akun yang Anda gunakan kemarin. Pesan teks untuk mengatur ulang kata sandi masuk padahal Anda tidak memintanya. Operator Anda mengirim email untuk "mengkonfirmasi" kartu SIM baru yang tidak Anda minta. Jika Anda menemukan salah satu dari tanda-tanda ini di perangkat seluler Anda yang lain, anggaplah seseorang sedang mencoba mengambil alih nomor ponsel Anda saat ini. Apa pun yang Anda lakukan selanjutnya, lakukan dengan cepat, karena penyerang sudah melakukannya.
Cara Mencegah Penukaran SIM dan Melindungi Diri Anda
Anda tidak dapat menghentikan penjahat yang gigih untuk melakukan rekayasa sosial terhadap pusat panggilan, tetapi Anda dapat membuat nomor Anda tidak berharga bagi mereka. Satu perubahan jauh lebih penting daripada yang lainnya.
Dapatkan potongan harga SMS
Satu langkah lebih penting daripada yang lainnya. Berhenti menggunakan pesan teks sebagai faktor otentikasi kedua untuk hal-hal penting. Pindahkan semua login pertukaran, bank, dan email ke aplikasi otentikasi , atau lebih baik lagi, kunci keamanan perangkat keras yang harus dicuri penyerang secara langsung. Ini bukan lagi paranoia yang berlebihan. Pada akhir tahun 2024, FBI dan CISA menyarankan publik untuk sepenuhnya menghentikan penggunaan kode SMS, dan peraturan identitas federal terbaru dari NIST tidak lagi menganggap SMS cukup baik untuk akun sensitif. Jika suatu layanan hanya menawarkan pesan teks, investasikan uang Anda di tempat yang mendukung aplikasi atau kunci. Alasan mengapa ini berhasil sangat sederhana. Kode otentikasi hanya ada di perangkat Anda. Kunci perangkat keras tidak dapat disalin atau diperoleh melalui telepon. Keduanya tidak ikut terbawa saat nomor Anda dicuri, sehingga pertukaran tersebut akhirnya mengambil nomor yang tidak dapat membuka apa pun.
Kunci operator dan jejak digital Anda.
Kemudian, perkuat nomor itu sendiri. Tambahkan PIN SIM atau kunci transfer nomor dengan operator Anda sehingga tidak ada pertukaran yang dapat terjadi tanpa itu. Banyak penyedia sekarang menawarkan ini secara gratis, seperti Perlindungan SIM Verizon, yang memblokir perubahan sampai Anda mematikannya. Gunakan kata sandi yang kuat dan unik serta pengelola kata sandi sehingga satu pelanggaran data tidak membuka semuanya. Dan berhenti mengiklankan kepemilikan kripto Anda, karena pamer di depan umum adalah cara penyerang memilih target mereka sejak awal. Dompet yang tidak mencolok jauh lebih jarang dirampok daripada yang mencolok.
Apa yang Harus Dilakukan Jika Anda Menjadi Korban Penipuan SIM Swap
Kecepatan menentukan seberapa parah penipuan SIM swap terjadi, jadi lakukan secara berurutan. Pertama, hubungi operator Anda dari ponsel lain untuk melaporkan pembajakan SIM dan mengklaim kembali nomor Anda. Selanjutnya, dari perangkat yang masih tepercaya, atur ulang kata sandi email dan akun pertukaran Anda, dan hilangkan otentikasi dua faktor SMS dari semuanya. Jika Anda memiliki kripto, bekukan penarikan di bursa Anda dan pindahkan dana jika masih memungkinkan. Kemudian dokumentasikan semuanya dan ajukan laporan ke Pusat Pengaduan Kejahatan Internet FBI dan FTC. Semua ini tidak dapat membatalkan pencurian yang sudah selesai, tetapi dapat menghentikan serangan yang masih berlangsung dan memutus pengambilalihan akun sebelum menyebar.
Serangan SIM Swap Menargetkan Titik Lemah
Serangan SIM swap tidak menembus keamanan Anda; serangan ini melewatinya, melalui perusahaan telepon yang tidak pernah dirancang untuk melindungi tabungan Anda. Nomor telepon Anda tidak pernah dimaksudkan sebagai dokumen identitas, namun kita telah menghubungkannya ke semua hal penting. Untuk apa pun yang menyimpan uang, asumsi yang aman adalah sederhana: anggap otentikasi dua faktor SMS sudah rusak, dan beralihlah ke aplikasi atau kunci perangkat keras sekarang juga daripada menunggu hingga layanan Anda terputus di suatu sore. Perbaikannya membosankan, menyeluruh, dan hanya membutuhkan waktu sekitar sepuluh menit. Jadi, inilah satu-satunya pertanyaan yang penting: jika ponsel Anda mati total sekarang, seberapa jauh orang asing dapat mengakses data Anda sebelum Anda mendapatkannya kembali?
