Di zaman di mana identitas digital kita terus‑menerus diretas, strategi lama dan kebocoran data yang tampaknya sudah lama menjadi senjata ampuh bagi pelaku kejahatan. Tulisan terbaru oleh Imperva mengupas bagaimana kombinasi dari kebocoran data lama, bot‑penjual obat gelap, serta kerentanan dalam tombol Google Pay, bisa dirangkai menjadi serangan SIM swap yang sangat efektif dan tersembunyi. Artikel ini bukan cuma cerita tentang bagaimana terjadi, tapi juga pelajaran penting bagi siapa pun yang punya identitas, kartu pembayaran, atau nomor telepon yang digunakan sebagai alat verifikasi.
Latar Belakang Serangan
Serangan SIM swap (atau pengambilalihan nomor telepon) terjadi ketika pelaku berhasil mengalihkan nomor ponsel korban ke SIM baru yang mereka kontrol. Dengan nomor telepon, mereka bisa melewati verifikasi SMS, panggilan, atau hal‑hal lain yang bergantung pada nomor telepon itu. Imperva menggambarkan bagaimana beberapa elemen telah mempermudah serangan ini:
-
Kebocoran Data Lama
Banyak data seperti nama lengkap, nomor identitas nasional, dan detail kartu kredit (termasuk 4 digit terakhir kartu) sudah menjadi publik melalui berbagai kebocoran terdahulu. Data ini kemudian diperdagangkan atau digunakan kembali sebagai bagian dari verifikasi identitas palsu. -
Kelemahan dalam Komponen UI / Google Pay Button
Imperva menemukan bahwa tombol bayar Google Pay di iframe menampilkan empat digit terakhir kartu pembayaran jika pengguna sudah menyimpan metode pembayaran di akun Google. Meski iframe melindungi konten dari akses JavaScript lintas domain, tampilan visual tetap terlihat, dan pelaku bisa “memotong” (crop) bagian iframe sehingga hanya digit kartu tersebut muncul, lalu mendesain ulang tampilannya agar tampak seperti CAPTCHA atau teka‑teki yang harus diisi korban. Dengan trik CSS dan styling, korban dapat tertipu untuk mengungkapkan digit tersebut tanpa menyadarinya. -
Bot Obat Gelap & Penggunaan Telegram
Di beberapa kota seperti Tel Aviv, tampak iklan obat terlarang yang memakai QR code di poster jalanan, mengarahkan ke kanal Telegram. Kanal‑kanal ini menggunakan bot untuk verifikasi pengguna, identifikasi scam, dan bahkan merekrut kurir. Mereka meminta identitas nasional serta video verifikasi pendek agar cocokkan dengan database kebocoran. Data identitas ini kemudian jadi senjata untuk impersonasi dalam proses verifikasi operator telecom.
Cara Kerja Rangkaian Serangan
Serangan jenis ini biasanya menggunakan langkah‑berikut:
| Tahap | Aktivitas Pelaku | Apa yang Didapat / Manfaatnya |
|---|---|---|
| Persiapan | Mengumpulkan data kebocoran lama: nama, ID nasional, mungkin data pembayaran (4 digit kartu) | Mendapat informasi yang dibutuhkan untuk melewati verifikasi di operator telekomunikasi |
| Eksploitasi UI / Google Pay | Memanfaatkan tombol Pay di Google Pay yang menampilkan 4 digit terakhir kartu dalam iframe, kemudian melakukan teknik UI overlay / cropping untuk mengekspos digit tersebut | Mendapatkan 4 digit kartu sebagai data tambahan verifikasi identitas korban |
| Verifikasi SIM Swap | Menghubungi operator telecom (provider) dan memberikan: nama korban + identitas nasional + 4 digit kartu sebagai bukti identitas | Operator menyetujui permintaan SIM Swap atau penggantian, terkadang tanpa pemeriksaan tambahan yang memadai |
| Pelanggaran lebih lanjut | Setelah mendapatkan nomor SIM baru, pelaku bisa mengakses akun yang memakai verifikasi lewat SMS, reset password, atau otentikasi dua faktor lainnya | Mengambil alih akun, mencuri aset digital, akses ke layanan keuangan, dsb. |
Dampak & Risiko
-
Identitas & privasi pribadi yang terekspos: Data seperti nama dan nomor identitas yang seharusnya “privat” sudah memperlihatkan bahwa mereka tidak begitu rahasia. Ketika dikombinasikan dengan 4 digit kartu, pelaku bisa melewati keamanan yang dianggap “aman”.
-
Kehilangan kontrol atas akun: Akun‑akun yang memakai nomor telepon untuk 2FA atau verifikasi dasar bisa diperantarai. Pelaku bisa melakukan reset password, mengakses email, aplikasi dompet digital, dll.
-
Penipuan & penggunaan identitas: Pelaku bisa menyamar sebagai pemilik asli untuk berbagai tindakan; bahkan ketika hanya dibutuhkan identitas lemah sebagai verifikasi.
-
Normalisasi kejahatan digital: Bot‑bot, kanal Telegram, dan iklan publik telah menjadikan praktik ini bukan lagi kasus langka tetapi aspek yang makin umum di pasar gelap identitas.
Tindakan Mitigasi & Rekomendasi
Bagaimana kita bisa melindungi diri dari jenis serangan ini?
-
Hapus tampilan 4 digit dari UI publik
Seperti yang sudah dilakukan Google setelah dilaporkan oleh Imperva — mereka menghilangkan tampilan 4 digit kartu di tombol Google Pay agar tidak bisa dieksploitasi. -
Verifikasi identitas operator telekomunikasi yang lebih ketat
Jangan hanya mengandalkan nama + 4 digit kartu + nomor identitas nasional (terutama jika data tersebut sudah bocor). Gunakan metode tambahan: PIN tetap, pertanyaan keamanan yang unik, autentikasi biometrik, atau wawancara langsung/offline jika memungkinkan. -
Lindungi data pribadi lebih baik
Pengguna: berhati‑hati di mana mendaftar dan menyertakan data pribadi. Perusahaan / penyedia layanan: memiliki kebijakan pengelolaan data yang lebih kuat agar kebocoran lama tidak terus disalahgunakan. -
Pendidikan publik & kesadaran keamanan
Pengguna perlu disadarkan bahwa aspek kecil (seperti 4 digit kartu) terkadang punya dampak besar, dan bahwa mereka harus skeptis terhadap permintaan data pribadi, terutama lewat media online, Telegram, dll. -
Monitor aktivitas SIM Swap & blokir awal
Operator telekomunikasi bisa memasang peringatan ketika ada permintaan SIM Swap dari alamat / perangkat yang tidak biasa, dan meminta verifikasi tambahan. Pengguna bisa mengatur keamanan tambahan (PIN provider, password untuk akun telekomunikasi).
Tabel Pendukung: Ringkasan Kerentanan & Faktor Risiko
| Komponen | Kerentanan / Praktik Tidak Aman | Bagian Data yang Diekspos / Dimanfaatkan | Risiko yang Timbul |
|---|---|---|---|
| Google Pay Button di iframe | Menampilkan 4 digit terakhir kartu pembayaran dalam iframe, dapat di‑crop dan dipresentasikan dengan gaya seperti CAPTCHA | 4 digit kartu = “last4” | Digunakan dalam verifikasi identitas; membantu penyerang melewati cek keamanan operator |
| Kebocoran data lama | Nama lengkap, ID nasional, data pembayaran, sering kali ada di database publik / dark web | Nama, identitas nasional, historis pembayaran | Digunakan bersama data baru untuk impersonasi / verifikasi palsu |
| Bot & kanal Telegram obat terlarang | Memerlukan verifikasi foto/ID + video dari pengguna; bot membantu mengecek data dan keberadaan “order” | Foto ID, nama, video pendek, nomor telepon | Data ini bisa disalahgunakan untuk modifikasi akun atau SIM Swap |
| Verifikasi SIM Swap operator telekomunikasi | Proses verifikasi lemah; hanya mengandalkan data statis seperti nama + ID + digits kartu | Penggunaan data statis yang sudah bocor dan digit kartu | Kemungkinan operator menyetujui swap tanpa pemeriksaan tambahan, membuka akses bagi penyerang |
Kesimpulan
Serangan yang menggabungkan kebocoran data lama, penggunaan bot untuk aktivitas ilegal, dan kerentanan UI seperti pada Google Pay ini menunjukkan bahwa keamanan digital bukan hanya tentang melindungi software atau sistem, tetapi juga tentang mengelola data pribadi dan memperkuat proses verifikasi identitas. Pelaku kejahatan kini memanfaatkan setiap celah, terkadang yang tampak kecil atau sepele seperti empat digit kartu, namun bisa jadi pintu masuk ke peretasan yang lebih besar.
Untuk pengguna, ini berarti perlu lebih waspada terhadap di mana dan bagaimana data pribadi diberikan, serta memastikan bahwa lembaga yang mengelola data atau nomor telepon menawarkan fitur keamanan tambahan. Bagi institusi seperti bank, provider telekomunikasi, dan platform pembayaran, penting untuk memperbarui kebijakan verifikasi identitas, memperkeras proses SIM Swap, dan meninjau kembali UX/UI agar tidak memberikan petunjuk yang bisa disalahgunakan.
Dengan pendekatan keamanan berlapis, kesadaran publik, dan regulasi yang menuntut standar verifikasi identitas yang lebih tinggi, kita bisa menekan jenis serangan ini — membuatnya tidak lagi menjadi metode mudah bagi penjahat digital.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!
