JAKARTA TODAY – Kartu SIM bisa dibilang merupakan ‘harta’ yang paling berharga di era digital. Bukan tanpa alasan, kartu SIM yang berisi nomor telepon sering tersambung dengan akun media sosial atau akun berbagai layanan digital hingga perbankan.
Pakar keamanan siber dari CISSRec Pratama Persadha mengatakan kartu SIM menjadi sangat krusial di era digital. Pasalnya semua identitas dan akun media sosial harus menyertakan nomor telepon untuk melakukan pendaftaran.
“Semua layanan media sosial, marketplace, uang digital, menggunakan nomor seluler sebagai identitas utama dan verifikasi akun. Karena itu posisinya sangat penting saat ini dalam kehidupan di era digital,” ujar Pratama kepada CNNIndonesia.com, Senin (20/1).
Begitu peretas bisa mengambil alih kartu SIM, maka peretas bisa masuk ke akun-akun yang tersambung dengan nomor tersebut. Sebut saja Maia Estianty saat nomornya diretas sehingga pelaku bisa menguras saldo Gopay miliknya.
CEO Twitter, Jack Dorsey juga turut menjadi korban pencurian kartu SIM yang digunakan untuk meretas akun Twitter miliknya.
Terkini, wartawan senior Ilham Bintang mengalami pencurian kartu SIM dengan modus penukaran kartu SIM (SIM swap). Modus ini digunakan ketika pelaku meminta pihak operator untuk menukar kartu SIM untuk mengambil alih nomor ponsel korban.
Pelaku akan meyakinkan operator bahwa ia adalah pemilik nomor ponsel yang ia incar. Agar bisa meyakinkan, pelaku telah terlebih dahulu memiliki data kredensial alias data pribadi korban. Data ini termasuk nama lengkap, alamat, tempat & tanggal lahir, hingga nama ibu kandung.
Kunci dari OTP
Kartu SIM juga jadi kunci pengamanan otentikasi dua faktor (two factor authentication/ TFA) yang saat ini kerap digunakan berbagai layanan digital. Sebab, kode otentikasi akan dikirim ke kartu SIM menggunakan one time password (OTP) melalui SMS ataupun pengiriman kode USSD.
Sehingga menurut pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya, pengamanan TFA menggunakan SMS punya keamanan yang lebih buruk.
“Metode TFA dengan OTP ini memiliki tingkat keamanan yang lebih lemah dibandingkan TFA dengan metode lain seperti token atau aplikasi seperti Google Authenticator,” kata Alfons.
Alfons mengatakan banyak modus kejahatan yang bisa digunakan untuk mencuri TFA dengan menggunakan nomor telepon ini. Bisa dengan mengambil alih dengan SIM swap, menggunakan malware untuk mencuri TFA, hingga risiko daur ulang kartu SIM.
Alfons mengatakan sayangnya metoda otentikasi dengan tingkat keamanan paling rendah ini, jadi metode pengamanan yang paling populer diadopsi. Mulai dari layanan finansial hingga media sosial, semua mengandalkan metode otentikasi dengan mengirimkan kode OTP lewat SMS.
“Sebut saja Visa dan Master Card yang memanfaatkan USSD dalam pengiriman OTP guna mengamankan transaksi kartu kredit online, lalu layanan non finansial seperti akun Gmail atau media sosial seperti Facebook, Twitter dan lainnya juga menambahkan TFA,” ujar Alfons.
Alfons bahkan mengatakan beberapa layanan dompet digital seperti Ovo, Gopay, hingga Dana menggunakan nomor ponsel tak hanya untuk mengirimkan OTP, tapi sebagai identitas utama. Berbeda dengan layanan perbankan di mana KTP masih digunakan sebagai identitas utama.
“Dompet digital bahkan tanpa perlu (bukti) KTP sudah cukup untuk membuka atau mengambil alih akun dan menggunakan layanan dompet digital,” kata Alfons.
Alfons lebih lanjut menjelaskan eksploitasi terhadap kelemahan TFA melalui telepon seluler ini bahkan dapat dilakukan tanpa mengambil alih kartu SIM. Hal ini biasa terjadi pada kasus pengambilalihan akun dompet digital seperti Gopay dan Ovo.
Kasus Maia Estianty bisa menjadi contoh lemahnya pengamanan dompet digital. Pelaku bisa mengambil alih akun Gopay Maia dengan menggunakan kode OTP yang diberikan dari Gojek.
“Cukup hanya mendapatkan kode OTP saja sudah bisa mengambil alih akun tersebut dan pemilik akun hanya bisa gigit jari merelakan saldo dompet digitalnya dikuras,” kata Alfons.
Amankan Kartu SIM
Alfons mengatakan baik pembuat aplikasi harus menyempurnakan metode pengamanan yang lemah. Khususnya dengan modus rekayasa sosial seperti memalsukan diri sebagai operator atau aplikator untuk menghubungi pemilik akun guna mendapatkan OTP.
“Penyedia layanan digital bisa melakukan  freeze period setiap kali terjadi perpindahan akun akun, menambahkan informasi tambahan selain nomor telepon setiap perpindahan akun, pengiriman OTP yang tidak otomatis tetapi diawali dengan peringatan atau konfirmasi awal,” ujar Alfons.
Di sisi lain, Pratama memberi peringatan kepada pemerintah bahwa keamanan kartu SIM menjadi tantangan bagi pemerintah. Ia menyinggung registrasi nomor seluler tidak menurunkan tingkat kejahatan, masih banyak terjadi kejahatan khususnya kasus penipuan di nomor seluler.
Pratama kemudian menyarankan Kementerian Komunikasi dan Informatika (Kemenkominfo) untuk lebih mengetatkan pembatasan nomor seluler.
“Bila perlu, sebaiknya Kemenkominfo tegas untuk pembatasan seluler yang ketat, tidak seperti sekarang pembatasan hanya pada identitas harus NIK dan KK, tanpa pembatasan jumlah [nomor seluler],” kata Pratama.
Seperti dikutip oleh CNN Indonesia. (Anata/PKL/net)
Bagi Halaman
