Apa Itu SIM Swap Attack? Pembajakan Nomor HP untuk Curi Crypto
SIM swap attack: hacker pindahkan nomor HP korban ke SIM mereka untuk bypass 2FA SMS dan bobol akun crypto exchange.
SIM swap attack terjadi ketika hacker berhasil memindahkan nomor HP kamu ke SIM card mereka — dan dalam hitungan menit, semua kode OTP yang masuk lewat SMS sudah ada di tangan mereka. FBI melaporkan kerugian akibat serangan ini mencapai $72 juta di AS sepanjang 2022, dengan kasus terbesar menyentuh $24 juta dalam satu target tunggal. Di Indonesia, modus ini makin sering dipakai untuk bobol akun exchange crypto karena banyak pengguna masih mengandalkan SMS sebagai 2FA.
Bagaimana SIM Swap Attack Bekerja
Prosesnya lebih sederhana dari yang dibayangkan. Hacker tidak perlu membobol sistem operator — mereka cukup menyamar sebagai kamu.
Langkah 1 — Kumpulkan data korban Sebelum menghubungi operator, hacker lebih dulu mengumpulkan informasi identitas kamu: nama lengkap, nomor HP, tanggal lahir, bahkan nomor KTP. Data ini bisa didapat dari kebocoran data, media sosial, atau phishing.
Langkah 2 — Hubungi operator seluler Hacker menelpon call center atau datang ke gerai resmi operator dengan berpura-pura menjadi kamu. Mereka klaim SIM hilang atau rusak, lalu minta nomor kamu dipindahkan ke SIM baru milik mereka. Beberapa operator hanya butuh nama, nomor HP, dan tanggal lahir — informasi yang relatif mudah didapat.
Langkah 3 — Nomor berpindah Begitu proses “port” berhasil, SIM kamu langsung mati. Semua SMS dan panggilan masuk sekarang diterima oleh hacker. Termasuk kode OTP dari exchange, bank, atau email recovery.
Langkah 4 — Ambil alih akun Dengan nomor HP di tangan, hacker bisa minta reset password via SMS, lewati 2FA, lalu drain saldo exchange atau wallet yang terhubung.
Dalam kasus Michael Terpin vs AT&T (2018), nomor HP dibobol dalam waktu kurang dari 2 menit oleh karyawan operator yang disuap. Terpin kehilangan $24 juta dalam Bitcoin dan token altcoin.
Target Utama: Akun Exchange dan Email
SIM swap bukan serangan acak — hacker biasanya sudah tahu kamu punya saldo signifikan di exchange sebelum melancarkan serangan. Informasi ini bisa bocor dari:
- Grup Telegram/Discord — kamu pernah pamer PnL atau portofolio
- Kebocoran data exchange — email dan nomor HP yang sudah di-breach
- Doxxing — identitas yang terekspos di forum atau media sosial
Setelah nomor berhasil diambil, urutan serangan biasanya: email dulu, baru exchange. Kenapa email? Karena hampir semua akun exchange bisa di-reset lewat email. Kalau email sudah dikuasai, akun exchange tinggal soal waktu.
Akun yang paling rentan adalah exchange yang memperbolehkan withdrawal hanya dengan 2FA SMS — tanpa whitelist alamat, tanpa delay penarikan. Beberapa exchange besar memang sudah menambahkan fitur anti-SIM swap seperti delay 24–48 jam untuk withdrawal setelah perubahan keamanan.
Kenapa 2FA SMS Berbahaya untuk Crypto
2FA berbasis SMS dirancang di era ketika nomor HP dianggap aman. Kenyataannya, sistem SS7 (protokol yang dipakai jaringan telepon global sejak 1975) punya kelemahan fundamental yang memungkinkan intersepsi SMS dari jarak jauh tanpa perlu akses fisik ke SIM.
Perbandingan tingkat keamanan 2FA:
| Metode 2FA | Kerentanan SIM Swap | Kerentanan Phishing | Rekomendasi |
|---|---|---|---|
| SMS OTP | Sangat tinggi | Tinggi | Hindari untuk crypto |
| App Authenticator (TOTP) | Tidak rentan | Sedang | Minimum standar |
| Hardware Key (YubiKey) | Tidak rentan | Sangat rendah | Terbaik |
| Email OTP | Tinggi (jika SMS recovery) | Tinggi | Hindari |
Hardware wallet seperti Ledger atau Trezor memang lebih banyak dibahas untuk custody aset, tapi hardware security key seperti YubiKey punya peran berbeda: melindungi akses ke akun exchange dan email kamu, bukan wallet on-chain-nya.
Cara Lindungi Diri dari SIM Swap
1. Matikan 2FA SMS di semua akun penting Pindah ke Google Authenticator, Authy, atau Microsoft Authenticator. Kode TOTP yang dihasilkan aplikasi ini tidak bisa diintersep lewat SIM swap karena generated secara lokal di device kamu.
2. Pasang PIN/kata sandi di akun operator seluler Hampir semua operator (Telkomsel, Indosat, XL) memungkinkan kamu menambahkan PIN khusus yang wajib diverifikasi sebelum perubahan apapun dilakukan pada nomor kamu. Aktifkan ini sekarang.
3. Gunakan nomor HP yang tidak dipublikasikan Pertimbangkan punya dua nomor: satu untuk publik (WA, media sosial), satu khusus untuk akun finansial yang tidak pernah dibagikan ke siapapun.
4. Aktifkan fitur keamanan di exchange Whitelist alamat withdrawal, anti-phishing code, dan notifikasi login. Beberapa exchange seperti Binance punya fitur “withdrawal lock” yang memblokir semua penarikan selama 24 jam setelah perubahan keamanan — manfaatkan ini.
5. Jaga kerahasiaan seed phrase SIM swap attack menyerang akun terpusat (exchange, email), bukan wallet self-custody. Kalau aset kamu di self-custody wallet dengan seed phrase yang aman dan tidak pernah diinput online, SIM swap tidak bisa menyentuhnya.
Menurut laporan Chainalysis 2023, lebih dari 40% kehilangan aset crypto dari serangan siber melibatkan kompromi akun exchange — bukan eksploitasi smart contract. SIM swap adalah salah satu vektor terbesar.
Kesimpulan
SIM swap attack memanfaatkan kelemahan sistemik operator seluler, bukan kecanggihan teknis. Hacker tidak perlu hack blockchain atau smart contract — mereka cukup meyakinkan customer service untuk memindahkan nomor HP kamu. Perlindungan paling efektif adalah menghilangkan SMS sebagai titik lemah: ganti ke authenticator app, pasang PIN di operator, dan pertimbangkan hardware key untuk akun dengan saldo signifikan.
💡 Mau belajar lebih dalam? Kelas WhaleX mengajarkan strategy dan eksekusi nyata, bukan hanya teori. Lihat kelas tersedia →
WhaleX Masterclass 2 Hari: dari setup wallet sampai LP DeFi aktif menghasilkan. Praktik langsung, dipandu mentor berpengalaman.
Lihat Jadwal Kelas →Pertanyaan Umum
Apa itu SIM swap attack?
SIM swap adalah serangan di mana hacker meyakinkan operator seluler untuk memindahkan nomor HP korban ke SIM card milik mereka, sehingga semua SMS dan panggilan masuk — termasuk kode 2FA — diterima oleh hacker.
Berapa kerugian akibat SIM swap di industri crypto?
FBI melaporkan kerugian akibat SIM swap di AS mencapai $72 juta hanya pada 2022. Kasus individual bisa mencapai puluhan juta dolar, seperti kasus Michael Terpin yang kehilangan $24 juta dalam satu serangan.
Cara paling efektif mencegah SIM swap attack?
Ganti 2FA SMS ke aplikasi authenticator (Google Authenticator, Authy) atau hardware key (YubiKey). Jangan pernah gunakan nomor HP sebagai satu-satunya lapisan keamanan akun exchange.