Waspada! Hacker Bobol Rekening Lewat Kirim SMS Pakai Nomor HP Bank Resmi

Kamila Meilina
Oleh Kamila Meilina
3 Maret 2025, 12:56
hacker, bank,
Meta.ai/Katadata Desy Setyowati
Ilustrasi hacker
Button AI SummarizeMembuat ringkasan dengan AI

Peretas atau hacker kini bisa mengakses SMS yang dikirim oleh bank resmi sebelum diterima oleh nasabah. Oknum bisa mengubah pesan ini dan meneruskannya ke konsumen dengan versi yang telah diubah. Dengan modus ini, oknum bisa membobol rekening dalam hitungan detik.

Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menjelaskan pelaku bisa mengakses SMS yang dikirim oleh bank resmi, menggunakan teknik pemalsuan Base Transceiver Stations atau BTS.

BTS adalah infrastruktur telekomunikasi yang memfasilitasi komunikasi nirkabel antara perangkat komunikasi dan jaringan operator.

Cara itu disebut Man-in-the-Middle Attack alias MITM. “Teknik itu memungkinkan pelaku mengintersepsi komunikasi antara ponsel pengguna dan BTS asli,” kata Alfons kepada Katadata.co.id, Senin (3/3).  

MITM adalah serangan siber yang memungkinkan hacker menyusup ke percakapan antara dua pihak, sehingga dapat menyadap semua transaksi SMS. Bahkan, mereka bisa membaca, mengedit, dan mengirim ulang pesan tanpa sepengetahuan korban.

Menurut Alfons, hal itu bisa terjadi karena proses pengiriman SMS menggunakan teknologi Signaling System 7 atau SS7. Dikutip dari Tech Target, SS7 adalah standar protokol telekomunikasi internasional yang mendefinisikan bagaimana elemen jaringan dalam jaringan telepon umum bertukar informasi dan sinyal kontrol.

Kode dalam jaringan SS7 disebut titik pensinyalan. Sistem ini mengendalikan bagaimana panggilan telepon dirutekan dan ditagih, dan mengaktifkan fitur panggilan lanjutan dan SMS.

SS7 pertama kali diadopsi sebagai standar internasional pada tahun 1988, dan revisi terakhir dilakukan pada 1993. Standar ini masih berlaku hingga saat ini untuk panggilan telepon dan digunakan baik untuk layanan telepon rumah maupun seluler.

Fungsi utama SS7, seperti:

  • Set-up dan terminasi panggilan misalnya, menghubungkan dua nomor telepon
  • Routing pesan SMS
  • Autentikasi pengguna seperti dalam jaringan seluler
  • Penyediaan layanan tambahan seperti panggilan tunggu dan pengalihan panggilan

SS7 bekerja melalui beberapa elemen utama dalam jaringan, di antaranya:

  • Service Switching Point atau SSP: Berada di dalam switch telepon dan bertugas memulai permintaan pensinyalan misalnya, saat pengguna menelepon.
  • Signal Transfer Point atau STP: Bertindak sebagai router yang meneruskan pesan SS7 ke tujuan yang benar.
  • Service Control Point atau SCP: Menyediakan informasi yang diperlukan untuk mengelola panggilan, seperti database nomor yang dialihkan.
  • Home Location Register atau HLR dan Visitor Location Register alias VLR: Digunakan dalam jaringan seluler untuk menyimpan informasi pelanggan dan lokasi perangkat.

Cara kerja SS7 sebagai berikut:

  • Ketika seseorang menelepon atau mengirimkan SMS, SSP atau jaringan asal mengirimkan permintaan ke jaringan SS7 untuk memeriksa status nomor HP tujuan
  • STP meneruskan permintaan ke SCP atau HLR untuk verifikasi dan pencarian lokasi penerima
  • Jika valid, panggilan atau SMS diteruskan melalui jaringan telepon ke perangkat penerima.
  • Saat panggilan berakhir atau SMS dikirim, SS7 mengelola pemutusan koneksi

Industri telekomunikasi mengembangkan SS7 sebelum enkripsi dan autentikasi digital diadopsi secara luas. Ini berarti pesan dan layanan SS7 dapat dengan mudah didengarkan dan dipalsukan.

Keamanan utama pada jaringan SS7 adalah jaringan merupakan sistem tertutup atau hanya operator telekomunikasi yang memiliki akses. Pengguna akhir dan sebagian besar hacker tidak dapat mengakses sistem secara keseluruhan.

“Sayangnya, penyedia telekomunikasi yang beroperasi sebagai pelaku kejahatan atau lembaga pemerintah dengan akses legal memiliki akses yang relatif tidak terbatas ke semua informasi yang tersedia di jaringan SS7,” demikian dikutip dari Tech Target.

“Penyedia telekomunikasi juga dapat memantau jaringan SS7 untuk mendeteksi ancaman atau penyusup, tetapi hal ini tidak mencegah eksploitasi pasif,” demikian dikutip.

Melansir dari situs Electronic Frontier Foundation, SS7 tidak memiliki otentikasi atau enkripsi bawaan, sehingga rentan terhadap eksploitasi. Beberapa potensi bahaya dari eksploitasi SS7 meliputi:

  • Penyadapan SMS: Serangan SS7 memungkinkan peretas untuk mencegat kode autentikasi dua faktor atau 2FA yang dikirim melalui SMS, membuka peluang pencurian akun bank dan data sensitif lainnya
  • Pelacakan Lokasi: SS7 dapat digunakan untuk menentukan lokasi fisik seseorang tanpa persetujuan mereka
  • Akses Tidak Sah ke Panggilan Telepon: Penjahat siber dapat mengalihkan panggilan dan pesan tanpa sepengetahuan pengguna

“Teknologi yang dipakai jadul yakni SS7, yang tidak terenkripsi,” kata Alfons. “Secara umum, SMS di dunia ini memang tidak aman, karena itu teknologi jadul dan bisa disadap.” 

Serangan ini memanipulasi jaringan telepon untuk mengalihkan pesan korban ke peretas. Saat bank mengirim SMS OTP atau notifikasi transaksi, pesan tersebut terlebih dahulu masuk ke tangan peretas sebelum akhirnya diteruskan ke penerima yang seharusnya. 

Dengan cara ini, mereka dapat mencuri kode OTP atau bahkan memodifikasi isi pesan sebelum diteruskan ke korban.

Jika OTP diambil oleh penipu, maka saldo di rekening korban bisa hilang dalam hitungan detik. Alfons menyebut beberapa langkah pencegahan yang bisa dilakukan:

  • Jangan Menggunakan SMS OTP: Sebisa mungkin, gunakan metode autentikasi yang lebih aman seperti aplikasi autentikator (Google Authenticator, Authy) daripada SMS OTP
  • Waspada terhadap Situs Phishing: Jangan pernah mengeklik tautan mencurigakan dari SMS, bahkan jika pesan terlihat berasal dari bank resmi
  • Gunakan Verifikasi Tambahan: Bank dapat menerapkan langkah tambahan seperti verifikasi fisik di ATM, video call dengan CS, atau kode khusus untuk transaksi sensitif

Indonesia bukan satu-satunya negara yang menghadapi ancaman ini. Kelompok riset dari Universitas Toronto Citizen Lab mendokumentasikan bahwa perusahaan pengawasan Circles telah mengeksploitasi SS7 dalam operasi pengawasan global, termasuk di Indonesia. Teknologi ini digunakan bersama spyware Pegasus untuk melacak target tertentu.

Spyware Pegasus adalah perangkat lunak mata-mata yang dapat menginstal diri pada perangkat iOS dan Android. Spyware ini dapat melacak lokasi, membaca pesan teks, mengumpulkan kata sandi, dan melacak panggilan. 

Selain Indonesia, Thailand mengalami kasus penyalahgunaan teknologi SS7 dalam aksi penipuan. Seorang warga negara Cina ditangkap di Bangkok setelah menggunakan sinyal AIS alias penyedia layanan telekomunikasi utama di Thailand, untuk mengirim lebih dari sejuta SMS penipuan dalam tiga hari. Akibat aksi ini, Thailand mengalami kerugian hingga 19 miliar Baht atau Rp 9,1 triliun (kurs Rp 481 per THB) dalam setahun.

Baca artikel ini lewat aplikasi mobile.

Dapatkan pengalaman membaca lebih nyaman dan nikmati fitur menarik lainnya lewat aplikasi mobile Katadata.

mobile apps preview
Reporter: Kamila Meilina
Editor: Desy Setyowati

Cek juga data ini

Berita Katadata.co.id di WhatsApp Anda

Dapatkan akses cepat ke berita terkini dan data berharga dari WhatsApp Channel Katadata.co.id

Ikuti kami

Artikel Terkait

Video Pilihan
Loading...