SIM-swapping – praktik menipu operator seluler untuk mengalihkan layanan telepon target ke telepon yang dikendalikan penyerang – sedang meningkat, peringatan Fed – menyebabkan jutaan kerugian bagi konsumen yang mendapati rekening bank mereka terkuras dan rekening lain diambil over.
Subscriber Identity Modules (SIMs) adalah chip kecil di dalam ponsel yang memungkinkan operator mengidentifikasi dan mendaftarkan perangkat pelanggan – persyaratan untuk menyediakan layanan kepada mereka. Sebagian besar serangan pertukaran SIM berbentuk rekayasa sosial, di mana penjahat menyamar sebagai korban dan meyakinkan agen layanan pelanggan untuk mengubah layanan korban ke ponsel baru yang mereka kendalikan.
Setelah layanan dialihkan, penjahat memiliki akses ke salah satu panggilan korban, teks, pesan suara dan data profil yang disimpan, yang memungkinkan mereka untuk mengirim permintaan “Lupa Kata Sandi” atau “Pemulihan Akun” ke email korban, yang memungkinkan mereka untuk dengan mudah mengalahkan otentikasi dua faktor yang menggunakan kode sandi satu kali dan dengan demikian untuk memecahkan akun bernilai tinggi.
Meskipun pertukaran SIM (alias pembajakan SIM) bukanlah praktik baru, serangan sekarang tampaknya semakin cepat dengan cepat: Tahun lalu, Pusat Pengaduan Kejahatan Internet FBI (IC3) menerima 1.611 keluhan pertukaran SIM dengan kerugian yang disesuaikan yang berasal dari pengambilalihan akun yang dihasilkan dan pencurian data dengan total lebih dari $68 juta, katanya minggu ini. Sebaliknya, selama periode tiga tahun antara Januari 2018 hingga Desember 2020, hanya ada 320 keluhan pertukaran SIM, dengan kerugian yang disesuaikan sekitar $12 juta. mengingat banyak operator tidak mengajukan pertanyaan keamanan mendalam yang sepenuhnya memverifikasi bahwa penelepon sebenarnya adalah pengguna ponsel yang sah. Seringkali, pertanyaan tantangan dapat dijawab dengan informasi phishing sebelumnya atau bahkan dengan informasi publik yang ditemukan di situs media sosial.
Epidemi pelanggaran data skala besar juga berkontribusi pada tingkat keberhasilan langkah pertama, menurut Chris Clements, wakil presiden solusi arsitektur di Cerberus Sentinel.
“Ketika orang bertanya-tanya apa konsekuensi dari pelanggaran data skala besar, inilah tepatnya,” katanya melalui email. “Baik orang dan perusahaan telah dikondisikan untuk dapat memverifikasi identitas melalui pertanyaan sederhana seperti nomor Jaminan Sosial atau nama gadis ibu. Sayangnya, ini berantakan sepenuhnya ketika pelanggaran data yang memengaruhi jutaan orang secara rutin terjadi.”
Vektor serangan lainnya termasuk phishing dan jalur ancaman orang dalam. Misalnya, ketika terungkap pada tahun 2019 bahwa CEO Twitter Jack Dorsey adalah korban dari pertukaran SIM, New York Times melaporkan bahwa “kru peretas telah membayar karyawan perusahaan telepon untuk melakukan… $100 untuk setiap nomor telepon.” Sekali lagi, jenis kultivasi kaki tangan ini tidak biasa – bahkan mengakibatkan gugatan untuk AT&T di 2018.
SIM-swapping tidak hanya terjadi di Amerika Serikat, baik: Polisi Nasional Spanyol, misalnya, minggu ini dibuka. cincin tukar SIM yang menghindari verifikasi akun berbasis foto operator dengan menggunakan foto korban yang tidak asli untuk meminta pertukaran.
Tanggung Jawab Perlindungan Ada di Pihak Operator
Sangat sedikit yang dapat dilakukan pengguna akhir untuk menghindari menjadi korban bajingan pembajakan SIM (walaupun FBI merekomendasikan beberapa langkah perlindungan, di bawah). Terutama, tanggung jawab perusahaan telepon seluler untuk menjaga rumahnya tetap teratur, kata para peneliti.
“Semua organisasi, terutama penyedia layanan harus beralih dari cara yang lebih sederhana untuk memvalidasi identitas ke yang lebih canggih,” kata Clements dari Cerberus. “Kode PIN yang unik untuk setiap akun pengguna dapat menjadi salah satu cara untuk menambahkan keamanan tambahan ke dalam proses. Pertanyaan ‘kehabisan dompet’ adalah alternatif lain yang bekerja dengan memverifikasi jauh lebih sulit untuk mengkompromikan informasi seperti tiga alamat rumah atau mobil terakhir. Ini mungkin lebih merepotkan bagi semua orang, tetapi tidak lagi layak untuk mengandalkan informasi yang telah dikompromikan secara rutin untuk memvalidasi identitas seseorang.”
Praktik terbaik lain yang dapat diterapkan semua bisnis adalah beralih dari 2FA berbasis SMS, yang lain berkata.
“Serangan pertukaran SIM telah berlangsung selama lebih dari satu dekade dan kemungkinan telah mengakibatkan miliaran mata uang kripto yang dicuri dan kejahatan keuangan lainnya,” Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, mengatakan melalui email. “MFA berbasis SMS harus menjadi opsi MFA paling populer yang digunakan di internet, dan sebagian besar waktu, orang tidak memiliki pilihan apakah akan menggunakannya atau tidak. Bank, vendor, atau layanan mereka mengatakan bahwa mereka harus menggunakannya. Dan, izinkan saya mengatakan lagi, pemerintah AS telah mengatakan untuk tidak menggunakannya sejak 2017. Pertanyaan yang lebih baik untuk ditanyakan adalah mengapa begitu banyak layanan dan vendor masih menggunakan MFA berbasis SMS dan nomor telepon lima tahun setelah pemerintah AS mengatakan untuk tidak menggunakannya? Mengapa kita begitu lambat dan rusak?”
FBI merekomendasikan minggu ini agar operator seluler mengambil tindakan pencegahan berikut:
<
ul>
<
ul>iMemeriksa dengan cermat alamat email masuk yang berisi korespondensi resmi untuk sedikit perubahan yang dapat membuat alamat palsu tampak sah dan menyerupai nama klien yang sebenarnya.liu
<
ul>iTetapkan protokol keamanan yang ketat yang memungkinkan karyawan untuk memverifikasi kredensial pelanggan secara efektif sebelum mengubah nomor mereka ke perangkat baru.liu
- iOtentikasi panggilan dari pengecer resmi pihak ketiga yang meminta informasi pelanggan.
SIM-Swapping Tips Perlindungan Konsumen
FBI juga merekomendasikan minggu ini bahwa individu mengambil tindakan pencegahan berikut:
<
ul>
<
ul>iJangan memberikan informasi nomor ponsel Anda melalui akun ph satu untuk perwakilan yang meminta kata sandi atau PIN akun Anda. Verifikasi panggilan dengan menghubungi saluran layanan pelanggan operator seluler Anda.liu
<
ul>iHindari memposting informasi pribadi secara online, seperti nomor ponsel, alamat, atau informasi pengenal pribadi lainnya.liu
<
ul>iGunakan variasi kata sandi unik untuk mengakses akun online.liu
<
ul>iWaspadai setiap perubahan dalam Konektivitas berbasis SMS.liu
<
ul>iGunakan metode MFA yang kuat seperti biometrik, token keamanan fisik, atau aplikasi autentikasi mandiri untuk mengakses akun online.liu
- iJangan simpan kata sandi, nama pengguna, atau informasi lain untuk memudahkan login di aplikasi perangkat seluler.