JAKARTA TODAY – Kartu SIM bisa dibilang merupakan ‘harta’ yang paling berharga di era digital. Bukan tanpa alasan, kartu SIM yang berisi nomor telepon sering tersambung dengan akun media sosial atau akun berbagai layanan digital hingga perbankan.
Pakar keamanan siber dari CISSRec Pratama Persadha mengatakan kartu SIM menjadi sangat krusial di era digital. Pasalnya semua identitas dan akun media sosial harus menyertakan nomor telepon untuk melakukan pendaftaran.
“Semua layanan media sosial, marketplace, uang digital, menggunakan nomor seluler sebagai identitas utama dan verifikasi akun. Karena itu posisinya sangat penting saat ini dalam kehidupan di era digital,” ujar Pratama kepada CNNIndonesia.com, Senin (20/1).
Begitu peretas bisa mengambil alih kartu SIM, maka peretas bisa masuk ke akun-akun yang tersambung dengan nomor tersebut. Sebut saja Maia Estianty saat nomornya diretas sehingga pelaku bisa menguras saldo Gopay miliknya.
CEO Twitter, Jack Dorsey juga turut menjadi korban pencurian kartu SIM yang digunakan untuk meretas akun Twitter miliknya.
Terkini, wartawan senior Ilham Bintang mengalami pencurian kartu SIM dengan modus penukaran kartu SIM (SIM swap). Modus ini digunakan ketika pelaku meminta pihak operator untuk menukar kartu SIM untuk mengambil alih nomor ponsel korban.
Pelaku akan meyakinkan operator bahwa ia adalah pemilik nomor ponsel yang ia incar. Agar bisa meyakinkan, pelaku telah terlebih dahulu memiliki data kredensial alias data pribadi korban. Data ini termasuk nama lengkap, alamat, tempat & tanggal lahir, hingga nama ibu kandung.
Kunci dari OTP
Kartu SIM juga jadi kunci pengamanan otentikasi dua faktor (two factor authentication/ TFA) yang saat ini kerap digunakan berbagai layanan digital. Sebab, kode otentikasi akan dikirim ke kartu SIM menggunakan one time password (OTP) melalui SMS ataupun pengiriman kode USSD.
Sehingga menurut pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya, pengamanan TFA menggunakan SMS punya keamanan yang lebih buruk.
“Metode TFA dengan OTP ini memiliki tingkat keamanan yang lebih lemah dibandingkan TFA dengan metode lain seperti token atau aplikasi seperti Google Authenticator,” kata Alfons.
Alfons mengatakan banyak modus kejahatan yang bisa digunakan untuk mencuri TFA dengan menggunakan nomor telepon ini. Bisa dengan mengambil alih dengan SIM swap, menggunakan malware untuk mencuri TFA, hingga risiko daur ulang kartu SIM.
Alfons mengatakan sayangnya metoda otentikasi dengan tingkat keamanan paling rendah ini, jadi metode pengamanan yang paling populer diadopsi. Mulai dari layanan finansial hingga media sosial, semua mengandalkan metode otentikasi dengan mengirimkan kode OTP lewat SMS.
“Sebut saja Visa dan Master Card yang memanfaatkan USSD dalam pengiriman OTP guna mengamankan transaksi kartu kredit online, lalu layanan non finansial seperti akun Gmail atau media sosial seperti Facebook, Twitter dan lainnya juga menambahkan TFA,” ujar Alfons.
