artikel yang bermanfaat

Cara Mencegah dan Menanggapi SIM Swap SIM

Ketika Matthew Miller dari ZDNet dipukul dengan serangan swap SIM, ia menggambarkannya sebagai "cerita horor" yang menyebabkannya kehilangan "data puluhan tahun." Dan dia tidak bersikap hiperbolik; lebih dari seminggu kemudian, dia masih berurusan dengan efek sampingnya, dan tidak ada jaminan dari beberapa pemain teknologi utama — termasuk Twitter dan Google — bahwa dia akan bisa mendapatkan kembali akses ke apa yang kacau oleh para penyerangnya.

Pertukaran SIM adalah masalah besar, terutama jika Anda juga aktif terlibat dalam komunitas cryptocurrency — cara yang bagus bagi penyerang untuk membuat sedikit uang mengacaukan hidup Anda. Untungnya, beberapa penyesuaian kecil pada praktik keamanan akun Anda dapat membantu mengurangi kemungkinan masalah menjengkelkan ini akan merusak hari (atau bulan) Anda.

Apa itu pertukaran SIM?

Pertukaran SIM melibatkan peretas yang membohongi penyedia seluler Anda untuk meyakini bahwa Anda mengaktifkan kartu SIM Anda di perangkat lain. Dengan kata lain, mereka mencuri nomor telepon Anda dan menghubungkannya dengan kartu SIM.

Jika berhasil, serangan ini akan menonaktifkan perangkat Anda, dan perangkat mereka sekarang akan menjadi tujuan untuk semua teks, panggilan telepon, data, dan akun yang terkait dengan nomor telepon dan kartu SIM Anda. Dengan informasi itu, penyerang dapat dengan mudah mendapatkan akses ke akun aplikasi Anda, data pribadi, dan informasi keuangan. Mereka bahkan bisa mengunci Anda dari layanan Anda untuk selamanya.

Pikirkan berapa banyak aplikasi dan akun yang menggunakan nomor telepon Anda untuk memverifikasi identitas Anda — dan bahkan ketika Anda masuk dengan nama pengguna dan kata sandi, yang tidak akan diketahui oleh penyerang, tetapi mekanisme pemulihan yang akan Anda gunakan untuk mengatur ulang ini informasi kunci. Semua keamanan akun di dunia tidak akan banyak gunanya jika penyerang bisa berpura-pura mereka Anda hanya dengan mengambil alih nomor telepon Anda.

Seperti apa penipuan SIM swap

Seseorang tidak memerlukan akses fisik ke telepon Anda untuk melakukan pertukaran SIM — mereka dapat melakukan semuanya dari jarak jauh, terlepas dari model dan perangkat Anda, atau penyedia layanan Anda. Mereka hanya perlu memiliki informasi yang cukup untuk meyakinkan agen dukungan pelanggan bahwa mereka adalah Anda. Anda mungkin tidak melihat penipuan SIM SIM berjalan ke arah Anda sampai terlambat.

Cara termudah untuk memberi tahu Anda telah ditargetkan oleh SIM Swap adalah ketika Anda melihat perilaku aneh dari ponsel Anda, seperti ketidakmampuan untuk mengirim atau menerima teks dan panggilan meskipun layanan tidak dimatikan; menerima pemberitahuan dari penyedia Anda bahwa nomor telepon atau kartu SIM Anda telah diaktifkan di tempat lain; atau tidak dapat masuk ke salah satu akun penting Anda. Pertimbangkan contoh terbaru ini dari Matthew Miller dari ZDNet:

Mencegah serangan swap SIM

Jauh lebih mudah untuk mengatur pertahanan terhadap serangan swap SIM sekarang daripada menangani dampak dari satu — satu adalah gangguan kecil, yang lain akan menghabiskan minggu Anda (atau lebih).

Waspadalah terhadap penipuan phishing

Langkah pertama dalam serangan swap SIM biasanya adalah phising (tetapi tidak selalu). Email yang tidak jelas dengan tautan jahat, layar masuk palsu, bilah alamat palsu — ada banyak bentuk penipuan phishing, tetapi mudah dikenali jika Anda tahu apa yang harus diwaspadai. Jangan klik tautan, unduh program, atau masuk ke situs web yang tidak Anda kenal. Jika penyerang mendapatkan data kunci yang cukup tentang Anda dari serangan ini, mereka akan memiliki apa yang mereka butuhkan untuk mencoba pertukaran SIM.

Kurangi data pribadi yang berlebihan secara online

Baik sebagai tambahan phishing atau sebagai gantinya, bagian awal lain dari pertukaran SIM melibatkan rekayasa sosial — pada dasarnya mengumpulkan sebanyak mungkin data tentang Anda sehingga peretas dapat dengan andal mengirimkan Anda melalui telepon atau melalui email.

Untuk mencegah hal ini, pertahankan nomor telepon Anda, tanggal lahir, alamat surat, dan semua informasi kompromi lainnya sebanyak mungkin dari akun Anda, dan jangan bagikan informasi ini secara publik jika Anda dapat menghindarinya. Beberapa data ini diperlukan untuk layanan tertentu, tetapi Anda tidak perlu mencari di media sosial. Anda harus membatalkan dan menghapus akun yang tidak lagi Anda gunakan sebagai tindakan pencegahan tambahan.

Lindungi akun Anda

Banyak akun digital memiliki pengaturan yang dapat membantu Anda mengambil kembali akun Anda jika mereka pernah dicuri — tetapi mereka perlu mengatur dengan benar bahwa akun itu dicuri agar dapat membantu. Ini dapat mencakup:

  • Membuat nomor PIN yang diperlukan untuk perubahan login dan kata sandi. Ini sangat penting untuk diatur dengan operator seluler Anda, karena ini merupakan pertahanan yang hebat terhadap pembajakan SIM.
  • Metode keamanan dua faktor yang cocok yang bergantung pada perangkat fisik, seperti Google Authenticator atau Authy, daripada verifikasi berbasis SMS untuk login. Anda juga dapat menggunakan token perangkat keras untuk melindungi akun Anda jika Anda ingin benar-benar mewah.
  • Jawaban kuat pertanyaan pemulihan keamanan yang tidak terkait dengan informasi pribadi Anda.
  • Putuskan tautan nomor telepon ponsel cerdas Anda dari akun Anda, jika memungkinkan. (Anda selalu dapat menggunakan nomor Google Voice gratis jika Anda diharuskan memilikinya untuk akun sensitif Anda.)
  • Menggunakan kata sandi yang panjang, acak, dan unik untuk setiap akun.
  • Gunakan pengelola kata sandi terenkripsi.
  • Jangan menggunakan layanan favorit Anda (Google, Facebook, dan lain-lain) untuk masuk ke layanan lain; semua yang dibutuhkan penyerang adalah membobolnya untuk memiliki akses lebih banyak ke kehidupan digital Anda.

Anda juga harus mencatat informasi penting terkait akun yang dapat digunakan untuk mengidentifikasi Anda sebagai pemegang akun yang sah, seperti:

  • Bulan dan tahun Anda membuat akun
  • Nama layar sebelumnya pada akun
  • Alamat fisik yang terkait dengan akun
  • Nomor kartu kredit yang telah digunakan dengan rekening atau laporan bank yang dapat mengkonfirmasi Anda adalah orang yang melakukan pembelian
  • Konten yang dibuat oleh akun, seperti nama karakter, jika akun itu untuk video game online

Demikian pula, menyimpan daftar semua akun penting Anda akan membuat bereaksi terhadap swap SIM atau pencurian ID serupa lebih mudah, karena Anda akan dapat dengan aman menyisir setiap akun dan mengubah kata sandi, alamat email, dan lain-lain. Simpan semua informasi ini dengan aman — mungkin bahkan sebagai cetakan fisik dari file teks — daripada menyimpannya pada layanan yang terkait dengan entitas digital (yang dapat dipecah menjadi).

Desentralisasi jejak online Anda

Pertimbangkan untuk menggunakan aplikasi dan layanan sumber terbuka terenkripsi alih-alih hanya aplikasi dari Google, Apple, Microsoft, untuk menjaga agar data penting tetap tersebar, dengan data yang paling sensitif disimpan di tempat dengan keamanan tertinggi. Ini berlaku untuk email, aplikasi perpesanan, aplikasi bank, dll. Google Drive dan iCloud sangat bagus, tetapi jika semuanya digerakkan menjadi satu drive — termasuk informasi keuangan pribadi dan sebagainya — Anda sedang kacau.

Selain itu, Anda harus menyimpan data tertentu sepenuhnya dari cloud. Jangan membuang pajak Anda ke Google Drive Anda, karena jika seseorang mendapatkan akses, mereka tiba-tiba akan memiliki banyak informasi penting tentang Anda (dan banyak informasi yang dapat mereka gunakan untuk berpura-pura sebagai Anda). Dan tolong, apa pun yang terjadi, jangan simpan daftar kata sandi umum Anda, kunci masuk cadangan, PDF "pemulihan akun" manajer kata sandi Anda di akun penyimpanan awan yang sederhana.

Bagaimana menanggapi serangan swap SIM

Jika Anda mencurigai bahwa Anda telah menjadi korban swap SIM atau pencurian ID dalam bentuk apa pun, lakukan semua langkah ini dengan cepat:

  • Ajukan laporan pencurian identitas dengan biro kepolisian setempat dan FTC.
  • Beri tahu bank / lembaga keuangan Anda tentang laporan identitas potensial dan permintaan akan disimpan di akun dan kartu bank Anda, lalu hubungi ketiga biro kredit (Experian, Equifax, dan TransUnion) untuk meminta pembekuan pada kredit Anda dan berpotensi memicu penipuan kredit. Jika Anda mencurigai identitas pajak atau nomor jaminan sosial Anda dikompromikan, hubungi IRS. Anda bahkan mungkin ingin mengubah nomor rekening bank atau kartu kredit Anda.
  • Laporkan pencurian identitas ke penyedia layanan seluler Anda. Perlu diketahui, bahwa kecuali Anda cukup dapat membuktikan ini telah terjadi dan bahwa Anda adalah pemegang akun yang sah, mereka mungkin tidak dapat berbuat banyak (karena peretas sebagai nomor telepon Anda, dan semuanya).
  • Jika Anda memiliki daftar offline / analog dari akun Anda dan informasinya, ubah alamat email dan kata sandi setiap akun (pastikan alamat email baru tidak terikat dengan nomor telepon Anda; yang baru berfungsi dengan baik), dan perbarui keamanan akun lainnya tindakan. Tempat paling penting untuk memulai adalah alamat email dan lembaga keuangan Anda, termasuk PayPal, Venmo, dll, dan akun apa pun yang terkait dengan nomor telepon Anda atau akun Google / Apple.
  • Penting: Jika diberi opsi, JANGAN minta kode konfirmasi atau setel ulang tautan yang dikirimkan ke nomor telepon Anda. Ini akan dikirim ke peretas, bukan Anda.
  • Jika Anda tidak dapat masuk ke akun atau mengatur ulang kata sandi Anda, hubungi layanan pelanggan akun itu SECEPATNYA dan jelaskan situasinya. Anda akan diminta membuktikan identitas Anda, sehingga memiliki sebanyak mungkin informasi tentang akun akan membantu Anda mengambil kembali kendali.