The #SIMHighjackers - Bagaimana penjahat mencuri jutaan uang dengan melakukan highjacking nomor telepon

Ini adalah cerita yang umum: bilah sinyal menghilang dari ponsel mereka, mereka memanggil nomor telepon - itu berdering, tetapi itu bukan dering telepon mereka. Mereka mencoba masuk ke rekening bank mereka, tetapi kata sandi gagal. Mereka telah menjadi korban penipuan SIM swap terbaru dan nomor telepon mereka sekarang dalam kendali seorang penjahat. 

Penipuan SIM swap dilakukan ketika penipu menipu operator ponsel korban untuk memindahkan nomor ponsel korban ke SIM milik penipu dan mulai menerima panggilan masuk dan pesan teks, termasuk kata sandi sekali pakai perbankan yang dikirim ke nomor telepon korban.

Penipu kemudian dapat melakukan transaksi, menggunakan kredensial yang dikumpulkan oleh teknik lain seperti malware, dan ketika bank mengirim kata sandi satu kali melalui SMS, penipu menerimanya dan menyelesaikan otorisasi transaksi.

Dengan pertukaran SIM menjadi berita utama dalam beberapa bulan terakhir, polisi di seluruh Eropa telah bersiap menghadapi ancaman ini, dengan dua operasi yang menargetkan para pembajak SIM baru-baru ini membuahkan hasil.

Operasi Quinientos Dusim

Penyelidik dari Kepolisian Nasional Spanyol (Policía Nacional) bersama dengan Pengawal Sipil (Guardia Civil) dan Europol yang ditargetkan pada bulan Januari para tersangka di seluruh Spanyol diyakini menjadi bagian dari cincin peretasan yang mencuri lebih dari € 3 juta dalam serangkaian serangan pertukaran SIM. 12 orang ditangkap di Benidorm (lima), Granada (enam) dan Valladolid (satu).

Terdiri dari warga negara berusia antara 22-52 tahun dari Italia, Rumania, Kolombia, dan Spanyol, geng kriminal ini menyerang lebih dari 100 kali, mencuri antara € 6,000 dan € 137,000 dari rekening bank korban yang tidak menaruh curiga per serangan.

iklan

Grafik modus operandi sederhana, namun efektif. Para penjahat berhasil memperoleh kredensial perbankan online dari para korban bank yang berbeda dengan menggunakan teknik peretasan seperti penggunaan Trojan perbankan atau jenis malware lainnya. Begitu mereka memiliki kredensial ini, para tersangka akan mengajukan duplikat kartu SIM para korban, memberikan dokumen palsu kepada penyedia layanan seluler. Dengan duplikat yang mereka miliki, mereka akan menerima langsung ke ponsel mereka kode otentikasi faktor kedua yang akan dikirim bank untuk mengonfirmasi transfer.

Para penjahat kemudian melanjutkan untuk melakukan penipuan transfer dari akun korban ke akun bagal uang yang digunakan untuk menyembunyikan jejak mereka. Semua ini dilakukan dalam waktu yang sangat singkat - antara satu atau dua jam - yang merupakan waktu yang diperlukan bagi korban untuk menyadari bahwa nomor teleponnya tidak lagi berfungsi.

Pengoperasian Smart Cash 

Investigasi selama delapan bulan antara Polisi Nasional Rumania (Poliția Română) dan Badan Intelijen Kriminal Austria (Bundeskriminalamt) dengan dukungan Europol telah menyebabkan penangkapan 14 anggota geng kejahatan yang mengosongkan rekening bank di Austria dengan mendapatkan kendali atas nomor telepon korban mereka.

Para tersangka ditangkap sebelumnya pada bulan Februari di Rumania dalam surat perintah serentak di rumah mereka di Bucharest (satu), Constanta (lima), Mures (enam), Braila (satu) dan Sibiu (satu).

Pencurian, yang menjaring puluhan korban di Austria, dilakukan oleh geng pada musim semi 2019 dalam serangkaian serangan pertukaran SIM.

Setelah mendapatkan kendali atas nomor telepon korban, geng khusus ini kemudian akan menggunakan kredensial perbankan curian untuk masuk ke aplikasi mobile banking untuk menghasilkan transaksi penarikan yang kemudian mereka divalidasi dengan kata sandi satu kali yang dikirim oleh bank melalui SMS yang memungkinkan mereka untuk tarik uang di ATM tanpa kartu.

Diperkirakan geng ini berhasil mencuri lebih dari setengah juta euro dengan cara ini dari pemilik rekening bank yang tidak curiga.

Kedua kasus ini dirujuk European Cybercrime Centre (EC3) Europol karena tindakan investigasi yang menuntut berjalan melintasi perbatasan. Tim spesialis yang berdedikasi membantu otoritas nasional membangun gambaran intelijen terkini dari berbagai kelompok kriminal, memfasilitasi pengembangan strategi bersama untuk menargetkan para penjahat.

“Penipu selalu menemukan cara baru untuk mencuri uang dari rekening korban yang tidak curiga. Meskipun tampaknya tidak berbahaya, penukaran SIM merampas korban lebih dari sekadar ponsel mereka: Pembajak SIM dapat mengosongkan rekening bank Anda dalam hitungan jam. Penegakan hukum bersiap menghadapi ancaman ini, dengan tindakan terkoordinasi terjadi di seluruh Eropa, ”kata Fernando Ruiz, penjabat Kepala Pusat Cybercrime Eropa Europol.

Jangan jadi korban berikutnya

Jadi bagaimana Anda bisa mencegah pertukaran SIM? Sederhananya, semuanya dimulai dengan mengidentifikasi pencurian. Penjahat dapat memperoleh data pribadi Anda dengan mencarinya di media sosial, dengan menyerang perangkat Anda dengan malware yang akan memberi mereka akses ke data sensitif Anda atau melalui serangan rekayasa sosial seperti phishing, vishing atau smishing. Berikut adalah beberapa tips untuk membantu Anda tetap selangkah lebih maju:

• Selalu perbarui perangkat lunak perangkat Anda
• Jangan klik tautan atau unduh lampiran yang datang bersama email yang tidak terduga
• Jangan membalas email yang mencurigakan atau terlibat melalui telepon dengan penelepon yang meminta informasi pribadi Anda
• Batasi jumlah data pribadi yang Anda bagikan secara online
• Cobalah untuk menggunakan otentikasi dua faktor untuk layanan online Anda, daripada meminta kode otentikasi dikirim melalui SMS
• Jika memungkinkan, jangan kaitkan nomor telepon Anda dengan akun online sensitif
• Atur PIN Anda sendiri untuk membatasi akses ke kartu SIM. Jangan bagikan PIN ini dengan siapa pun.

Jika ponsel Anda kehilangan penerimaan secara tiba-tiba di area di mana Anda harus memiliki konektivitas:

• Laporkan situasinya kepada penyedia layanan Anda
• Jika ada transaksi mencurigakan di rekening bank Anda, hubungi bank
• Segera ganti semua kata sandi untuk akun online Anda
• Simpan semua bukti, jika Anda perlu menghubungi polisi

Untuk saran lebih lanjut tentang cara melindungi informasi keuangan Anda dari penipuan dunia maya, kunjungi halaman khusus ini.