Kejahatan ‘SIM swap fraud’ telah merajalela, di balik wujudnya yang kecil SIM card atau kartu SIM menjadi kunci untuk membobol berbagai layanan digital, media sosial, hingga perbankan.
Kasus ini tak hanya menimpa orang-orang tertentu saja, namun semua orang. Untuk itu, para pengguna mobile banking atau internet banking harus lebih waspada.
Berbagai modus dan rekayasa sosial bisa dilakukan oleh peretas untuk mengambil alih kartu SIM milik seseorang, mulai dari phishing untuk mengambil informasi pengguna untuk melakukan penukaran SIM (SIM Swap) hingga penggunaan malware bisa digunakan untuk mengambil alih kartu SIM.
Kabar buruk terbaru menimpa wartawan senior, Ilham Bintang yang mengalami kerugian akibat kebobolan saldo rekening bank dengan modus pencurian kartu SIM Indosat. Pencurian kartu SIM dilakukan dengan cara menukar kartu SIM.
Pelaku melakukan penggantian kartu SIM secara ilegal dengan tujuan untuk menguasai akses dari SIM card korban. SIM card inilah yang terhubung dengan akses mobile banking.
Selain itu, Ruby juga menjelaskan “cara kerja” pelaku SIM swap fraud ini. Menurutnya ada 3 tahap yang dilakukan oleh para penjahat ini sebelum merampok isi rekening bank korban.
1. Melakukan pendekatan dengan korban
Tahap ini disebut dengan istilah “phising”. Phising dilakukan untuk mendapatkan data-data pribadi korban. Beberapa cara “phising” ini sepeti menghubungi korban melalui telepon, SMS, hingga mengirim link palsu.
Nah, korban “phising” ini bisa secara acak atau orang tertentu yang menjadi target lho, guys. Jadi siapa saja bisa kena.
“Phising ini misalnya saya sebagai pelaku mengaku dari operator bank, menelepon korban untuk verifikasi, bilang ada transaksi mencurigakan sehingga perlu tahu username mobile banking korban,” tandas Ruby.
Ruby menegaskan bahwa dalam melakukan kejahatan ini, pelaku tidak harus memiliki alat software canggih. Karena pada dasarnya, kejahatan ini bisa berhasil dilakukan sebab data yang berhasil dicuri dalam tahap “phising” ini.
Ruby juga menambahkan, ada kemungkinan Ilham Bintang memberikan informasi rekening pribadi secara tidak sengaja melalui jebakan phising tersebut saat berada di luar negeri.
Dengan begitu, pelaku kejahatan dapat mengetahui identitas identitas korban, seperti NIK, alamat, nama ibu kandung, dan informasi lainnya.
2. Mengganti SIM Card
Setelah mendapatkan semua data yang dibutuhkan, pelaku akan mendatangi gerai operator provider dan berpura-pura telah kehilangan SIM. Pelaku kemudian mengajukan penggantian SIM card yang baru.
Karena telah memiliki semua data korban lewat tahap “phising”, pelaku bisa mengisi formulir permohonan penggantian SIM. Sehingga pihak provider memberikan kartu yang baru.
3. Login ke Mobile Banking
Setelah mendapatkan SIM, pelaku kemudian mendownload aplikasi mobile banking yang digunakan korban.
Dalam kasus Ilham Bintang, pelaku melancarkan aksinya melalui mobile banking Commonwealth. Untuk bisa mengakses, pelaku harus menggunakan username dan password milik korban.
Nah, untuk mendapatkan password, pelaku memanfaatkan username korban. Caranya dengan melakukan reset password. Sementara kode verifikasi dikirimkan lewat SMS melalui nomor korban yang telah dicuri.
Setelah mendapatkan password baru, pelaku kemudian bisa bebas melakukan login ke mobile banking korban. Namun, ia masih harus mendapatkan kode PIN untuk transaksi.
“Pelaku melakukan reset password dan reset PIN, sehingga akhirnya korban sudah dikelabui seutuhnya. Digunakanlah waktu secepat mungkin dua sampai tiga jam, saat korban kesulitan telpon karena sedang di luar negeri. Saat itu pula, dilakukanlah transfer-transfer ilegal,” papar Ruby.