Jakarta (ANTARA) - Kejahatan bermodalkan nomor ponsel hasil SIM swap bisa berakibat panjang, nomor ponsel seseorang bisa menjadi pintu masuk untuk mendapatkan data lainnya, hingga urusan perbankan.
"Modus SIM swap ini, pelaku tidak pernah menargetkan individu tertentu, selalu acak," kata pakar digital forensik Ruby Alamsyah, dalam seminar online bersama Kementerian Komunikasi dan Informatika, "Mengenal dan Mencegah Tindak Kejahatan SIM Swap", Senin.
Kejahatan SIM swap dilakukan dengan membuat kartu SIM dengan nomor korban untuk mengambil alih data.
Sebelum melakukan SIM swap, pelaku biasanya melempar jebakan untuk mendapatkan data-data calon korban, misalnya dengan mengirimkan email atau SMS phishing.
Setelah mendapatkan data-data yang diperlukan, pelaku akan membuat identitas palsu, misalnya KTP, dan datang ke gerai operator seluler untuk mengganti kartu SIM.
Menurut, Ruby, pelaku memanfaatkan celah agar bisa lolos verifikasi saat datang ke gerai operator seluler, misalnya datang menjelang gerai tutup dan mengambil keuntungan dari petugas yang sudah lelah.
"Ketika mengecek secara manual nomor induk kependudukan (NIK) sesuai dengan basis data, foto sesuai dengan wajah orang yang datang, akhirnya petugas menganggap pelaku adalah pelanggan yang benar," kata Ruby.
Kejahatan dengan metode SIM swap pada umumnya bukan semata untuk mencuri data pribadi, dalam beberapa kasus, pelaku membobol rekening perbankan korban bermodalkan kartu SIM yang sudah diambil alih.
Dalam diskusi yang sama, Komisioner Badan Regulasi Telekomunikasi Indonesia, I Ketut Prihadi Kresna Murti, menjelaskan pelaku akan mengakses layanan yang terhubung dengan nomor ponsel yang digunakan korban.
"SIM swap ini ditujukan bukan untuk layanan berbasis seluler, tapi, untuk layanan yang menggunakan nomor ponsel untuk verifikasi," kata Ketut.
Menurut, Ruby, jauh sebelum mengambil alih kartu SIM, pelaku sudah melakukan riset dan penelusuran tentang calon korbannya, termasuk kata sandi layanan yang digunakan korban.
Misalnya, pelaku mengetahui kata sandi untuk layanan finansial yang dipakai korban, ia akan login dan penyedia layanan akan mengirimkan one-time password (OTP) ke nomor yang sudah diambil alih.
Dengan begitu, pelaku bisa masuk ke layanan tersebut dan melakukan transaksi.
Ketut berpendapat kasus SIM swap tidak akan terjadi ketika petugas operator seluler sudah menjalankan standard operasional dengan baik dan benar, apalagi operator seluler mengantongi sertifikasi ISO 27001 tentang sistem manajemen keamanan informasi.
Sementara Ruby, berpendapat kasus ini bisa dihindari jika operator seluler memiliki akses secara aktual (real time) terhadap data-data yang ada di pemerintah untuk fungsi verifikasi data pelanggan, misalnya mengecek keaslian NIK dan wajah pemilik NIK.