Apakah pertukaran SIM masih umum di tahun 2026?

Ya. Laporan IC3 FBI terus menunjukkan pertukaran SIM sebagai salah satu kategori penipuan dengan pertumbuhan tertinggi. Pertahanan kapal induk telah membaik namun penyerang yang gigih masih berhasil, terutama melalui suap atau rekayasa sosial.

Bisakah pertukaran SIM menargetkan eSIM?

Kurang mudah dibandingkan SIM fisik, tapi ya. Pertukaran eSIM memerlukan akses akun Anda dan penyediaan profil eSIM baru; alur verifikasi bervariasi menurut operator. Beberapa implementasi lebih aman dibandingkan pertukaran SIM fisik; yang lain setara.

Apakah PIN operator saya mencegah pertukaran SIM?

Mengurangi risiko secara signifikan. Tanpa PIN, penyerang harus menebaknya, merekayasa sosial melewatinya, atau meminta orang dalam untuk menimpanya. Menetapkannya adalah satu-satunya langkah kebersihan yang paling penting. Pilih PIN yang tidak terkait dengan informasi publik tentang Anda.

Mengapa bank saya masih mengizinkan saya mereset kata sandi melalui SMS?

Sebagian besar bank belum sepenuhnya bermigrasi ke autentikasi yang lebih kuat. Beberapa menawarkan 2FA berbasis aplikasi sebagai keikutsertaan; beberapa memerlukan panggilan telepon atau kunjungan untuk mengaktifkan kunci perangkat keras. Institusi yang menganggap serius hal ini menawarkan dukungan kunci FIDO2 / perangkat keras; masih banyak yang mengandalkan SMS. Tekan bank Anda jika masih hanya SMS.

Bisakah VPN melindungi terhadap pertukaran SIM?

Tidak — Pertukaran SIM adalah serangan sisi operator, tidak terkait dengan IP atau jaringan Anda. Pertahanannya adalah PIN operator, 2FA yang kuat pada akun dependen, dan OPSEC tentang nomor telepon Anda.

Penjelasan Serangan Tukar SIM: Bagaimana Nomor Telepon Anda Dicuri

Pertukaran SIM adalah serangan di mana seseorang meyakinkan operator seluler Anda untuk mentransfer nomor telepon Anda ke SIM yang mereka kendalikan. Dari sudut pandang penyerang, nomor Anda sekarang berdering di telepon mereka — termasuk kode 2FA berbasis SMS untuk bank, email, dan kripto Anda. Kerugian jutaan dolar menjadikannya salah satu serangan konsumen yang paling berdampak dalam satu dekade terakhir.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

SIM swap (juga disebut pembajakan SIM atau pembajakan SIM) adalah serangan di mana orang yang tidak berwenang meyakinkan operator seluler untuk mengeluarkan kartu SIM baru yang terikat pada nomor telepon korban. Setelah pertukaran selesai, telepon pengguna yang sah kehilangan layanan dan telepon penyerang menerima semua panggilan dan SMS — termasuk kode otentikasi untuk akun apa pun yang menggunakan 2FA berbasis telepon.

Bagaimana serangan biasanya terjadi

Jalur penyerang:

Recon. Kumpulkan informasi korban: nama lengkap, tanggal lahir, alamat, sebagian SSN, nomor rekening. Bersumber dari pembobolan data, media sosial, dan OSINT.
Hubungi operator. Baik melalui telepon, chat online, atau langsung di toko retail. Berpura-pura menjadi korban, mengaku ponselnya hilang atau membutuhkan SIM baru.
Bypass verifikasi. Pertanyaan berbasis pengetahuan dijawab dari pengintaian. Dalam beberapa kasus, karyawan yang disuap atau direkayasa sosial melewatkan verifikasi sepenuhnya.
Aktifkan SIM baru. Operator mentransfer nomor tersebut; ponsel korban kehilangan sinyal.
Pengambilalihan akun. Penyerang meminta pengaturan ulang kata sandi pada email, bank, pertukaran kripto. Kode reset tiba melalui SMS ke telepon penyerang. Dalam beberapa jam, penyerang telah mengubah kata sandi dan mengunci korbannya.
Menguras akun. Setelah berada di email dan bank/kripto, penyerang memindahkan dana, menjual aset, atau mengekstraksi nilai.

Seluruh rangkaian dapat diselesaikan dalam waktu kurang dari satu jam untuk penyerang yang siap. Korban sering kali hanya menyadarinya ketika ponselnya berhenti bekerja.

Mengapa 2FA berbasis SMS mengaktifkan 2FA berbasis

SMS ini bergantung pada asumsi bahwa pengguna mengontrol nomor telepon. Pertukaran SIM secara langsung mematahkan asumsi tersebut. Setelah penyerang mengetahui nomornya, mereka mendapatkan faktor kedua Anda untuk setiap akun yang diamankan melalui SMS. Inilah alasan utama para profesional keamanan secara konsisten memperingatkan agar tidak menggunakan SMS sebagai metode 2FA utama. 2FA berbasis

SMS masih lebih baik daripada tanpa 2FA — ini menghentikan pengisian kredensial oportunistik. Namun untuk akun mana pun yang memiliki nilai berarti, SMS adalah faktor kedua terlemah yang dapat diterima, dan semakin tidak dapat diterima sama sekali.

Kasus terkenal

Michael Terpin kehilangan $24 juta dalam mata uang kripto karena pertukaran SIM pada tahun 2018; litigasi berikutnya terhadap AT&T mengeksplorasi tanggung jawab operator.
Joel Ortiz menerima hukuman 10 tahun pada tahun 2019 karena pertukaran SIM senilai lebih dari $7 juta dalam mata uang kripto dari korban.
Grup pertukaran SIM COMM didakwa pada tahun 2020 karena pertukaran yang menargetkan mata uang kripto, identitas pencurian, dan penipuan kartu kredit yang melibatkan ratusan korban.
Twitter CEO Jack Dorsey akunnya disusupi melalui pertukaran SIM pada tahun 2019.

Pertahanan operator (dan batasannya)

Semua operator besar di AS, UE, dan negara lain saat ini penawaran:

PIN Akun — kata sandi terpisah diperlukan untuk melakukan perubahan. Pertahanan kritis; aktifkan di setiap saluran.
SIM lock — operator tidak akan memproses pertukaran SIM tanpa verifikasi sekunder.
Port-out lock — menonaktifkan porting nomor tanpa pembukaan kunci eksplisit.
Verifikasi identitas — ditingkatkan pengawasan terhadap permintaan pertukaran SIM, terutama setelah aktivitas mencurigakan baru-baru ini.

Hasil tangkapan: pertahanan ini dapat dilewati dengan rekayasa sosial atau penyuapan terhadap karyawan garis depan. T-Mobile, AT&T, Verizon, Vodafone, dan lainnya semuanya mengalami insiden pertukaran SIM yang dibantu oleh orang dalam. Pertahanan meningkatkan standar tetapi tidak menghilangkan serangan.

Apa yang dapat Anda lakukan

Segera siapkan PIN operator. Setiap akun harus memilikinya. Langkah pertama.
Gunakan berbasis aplikasi atau perangkat keras 2FA, bukan SMS. Untuk email, perbankan, kripto, media sosial. SMS hanya sebagai cadangan terakhir ketika tidak ada lagi yang didukung.
Kunci perangkat keras untuk akun bernilai tertinggi. YubiKey atau sejenisnya membuat pertukaran SIM tidak berguna terhadap akun yang dilindunginya.
Akun email 2FA tanpa SMS. Email utama Anda mengontrol pengaturan ulang kata sandi untuk yang lainnya. Lindungi dengan TOTP atau kunci perangkat keras, bukan SMS.
Perhatikan tanda-tandanya. Hilangnya layanan seluler secara tiba-tiba saat berada dalam jangkauan, terutama tanpa penyebab yang jelas, dapat menjadi tanda pertama pertukaran SIM. Segera hubungi operator Anda dari telepon lain.
eSIM jika didukung. Lebih sulit untuk menukar dari jarak jauh dibandingkan SIM fisik dalam penerapan beberapa operator.
Nomor telepon autentikasi terpisah. Beberapa pengguna dengan kekayaan bersih tinggi memiliki nomor terpisah yang tidak pernah dikaitkan secara publik dengan mereka, hanya digunakan untuk 2FA.

Jika Anda mencurigai adanya pertukaran SIM

Hubungi operator Anda dari telepon lain. Verifikasi status saluran Anda.
Jika ditukar, minta pembalikan segera dan setel ulang PIN akun.
Kunci rekening bank dan pialang Anda (hubungi institusi).
Ubah kata sandi pada email dan akun penting lainnya dari perangkat lain.
Ajukan laporan polisi. Bagi korban di AS, ajukan juga ke IC3 FBI.
Jika terjadi kerugian finansial, segera hubungi institusi tersebut — batas waktu pelaporan penipuan penting.

Tanggapan peraturan

FCC mengadopsi aturan pertukaran SIM pada tahun 2024 yang mewajibkan operator AS untuk menerapkan prosedur verifikasi khusus dan memberi tahu pelanggan tentang permintaan port-out. Regulator UE telah menerapkan persyaratan serupa. Penegakannya tidak merata; peraturan tersebut telah mengurangi upaya pertukaran SIM biasa tetapi penyerang yang termotivasi masih berhasil secara teratur.

Pertanyaan yang sering diajukan

Apakah pertukaran SIM masih umum di tahun 2026?: Ya. Laporan IC3 FBI terus menunjukkan pertukaran SIM sebagai salah satu kategori penipuan dengan pertumbuhan tertinggi. Pertahanan kapal induk telah membaik namun penyerang yang gigih masih berhasil, terutama melalui suap atau rekayasa sosial.
Bisakah pertukaran SIM menargetkan eSIM?: Kurang mudah dibandingkan SIM fisik, tapi ya. Pertukaran eSIM memerlukan akses akun Anda dan penyediaan profil eSIM baru; alur verifikasi bervariasi menurut operator. Beberapa implementasi lebih aman dibandingkan pertukaran SIM fisik; yang lain setara.
Apakah PIN operator saya mencegah pertukaran SIM?: Mengurangi risiko secara signifikan. Tanpa PIN, penyerang harus menebaknya, merekayasa sosial melewatinya, atau meminta orang dalam untuk menimpanya. Menetapkannya adalah satu-satunya langkah kebersihan yang paling penting. Pilih PIN yang tidak terkait dengan informasi publik tentang Anda.
Mengapa bank saya masih mengizinkan saya mereset kata sandi melalui SMS?: Sebagian besar bank belum sepenuhnya bermigrasi ke autentikasi yang lebih kuat. Beberapa menawarkan 2FA berbasis aplikasi sebagai keikutsertaan; beberapa memerlukan panggilan telepon atau kunjungan untuk mengaktifkan kunci perangkat keras. Institusi yang menganggap serius hal ini menawarkan dukungan kunci FIDO2 / perangkat keras; masih banyak yang mengandalkan SMS. Tekan bank Anda jika masih hanya SMS.
Bisakah VPN melindungi terhadap pertukaran SIM?: Tidak — Pertukaran SIM adalah serangan sisi operator, tidak terkait dengan IP atau jaringan Anda. Pertahanannya adalah PIN operator, 2FA yang kuat pada akun dependen, dan OPSEC tentang nomor telepon Anda.