Kebanyakan orang tak ragu membagikan nomor teleponnya, tetapi kalau dipikirkan, nomor telepon adalah titik awal yang bagus bagi siapa pun yang ingin mencuri dari Anda. Anda menggunakannya untuk perbankan, menerima kode otentikasi dua faktor, bahkan untuk masuk ke media sosial.
Jika Anda bertanya-tanya apa yang bisa dilakukan seseorang dengan nomor telepon Anda, jawabannya tidak hitam-putih. Nomor itu membuka pintu bagi pelaku kejahatan, tapi bukan masalah besar selama Anda punya langkah pengamanan.
Penyerang tidak bisa mengakses perangkat Anda hanya dengan nomor telepon atau nomor ponsel. Namun, jika mereka menggabungkannya dengan informasi lain dari kebocoran data atau catatan publik, risikonya naik. Nomor bisa dipakai dalam kampanye phishing atau upaya pengambilalihan akun, dan dalam skenario terburuk, pencurian identitas.
Yang perlu Anda ketahui:
- Nomor telepon sendiri tidak bisa langsung meretas perangkat Anda.
- Penipu menggunakan nomor telepon untuk phishing, penyamaran, dan percobaan reset akun.
- Risiko paling serius adalah SIM swap, yang memungkinkan pencegatan kode masuk.
- Risiko meningkat saat nomor Anda dikombinasikan dengan data pribadi lain yang bocor.
- Gangguan layanan tiba-tiba atau pemberitahuan login tak terduga bisa menandakan masalah.
- Otentikasi yang kuat dan proteksi dari operator secara signifikan mengurangi risiko.
Apa yang bisa dilakukan penipu dengan nomor telepon Anda?
Penipu yang mendapatkan nomor Anda bisa menggunakannya untuk mengirim SMS phishing (smishing), memalsukan identitas pemanggil (ID), dan mencoba mereset kata sandi akun Anda. Dalam banyak kasus, nomor telepon hanyalah satu roda gigi dalam strategi penipuan yang lebih besar. Yang penting dicatat: tidak ada dari serangan ini yang memerlukan akses fisik ke perangkat Anda — nomor saja seringkali cukup untuk memulai.
Ada beberapa taktik umum yang dipakai penipu, yang paling sering adalah smishing. Ini adalah pesan phishing berbasis SMS yang menyamar sebagai perusahaan yang biasa Anda pakai, seperti bank, layanan pengiriman, atau instansi pemerintah. Pesan biasanya menyertakan tautan ke halaman web yang meminta Anda mengisi data, atau meminta Anda menghubungi saluran dukungan palsu. Pesan ini tampak datang dari sumber resmi, sehingga orang sering merespons sebelum sempat berpikir panjang.
Dalam beberapa kasus, nomor Anda bisa dipakai untuk memicu reset kata sandi. Praktik umum layanan online adalah mengirim kode satu kali lewat SMS ketika pengguna meminta reset. Jika itu terjadi dan penyerang sudah mengetahui alamat email Anda, mereka bisa memulai proses reset dan kemudian mencoba mencegat atau menggunakan rekayasa sosial untuk mendapatkan kode tersebut dari Anda.
Bisakah penipu mengakses akun Anda hanya dengan nomor?
Nomor telepon sendiri biasanya tidak cukup untuk mendapatkan akses langsung ke akun Anda. Agar serangan berhasil, penyerang biasanya membutuhkan setidaknya satu informasi lain, seperti alamat email atau kata sandi yang bocor.
Kerentanan utama ada pada proses reset kata sandi. Jika layanan tempat Anda terdaftar menggunakan verifikasi berbasis SMS sebagai satu-satunya opsi pemulihan, dan penyerang dapat menerima pesan Anda, mereka bisa mengakses akun tersebut. Ini biasanya memerlukan penyerang berhasil mengakses pesan Anda melalui SIM swap atau malware di perangkat Anda.
Banyak perusahaan kini mulai meninggalkan SMS sebagai faktor kedua untuk transaksi sensitif karena insiden yang sering terjadi. Ada beberapa kasus pengambilalihan akun yang terdokumentasi melibatkan pemilik kripto, jurnalis, dan lainnya.
Lindungi dari Penipu yang Menyasar Nomor
Kaspersky Premium membantu memantau kebocoran data, mendeteksi aktivitas akun mencurigakan, dan memperkuat proteksi terhadap pengambilalihan akun terkait SIM swap.
Coba Kaspersky Premium GratisBisakah penipu menyamar sebagai Anda atau menargetkan kontak Anda?
Bisa, pemalsuan identitas pemanggil (ID) memungkinkan penyerang melakukan panggilan atau mengirim SMS yang terlihat berasal dari nomor Anda. Metode ini semakin marak seiring kemajuan teknologi AI yang memudahkan penyamaran. Teknologi semacam ini mudah diakses, biayanya rendah, dan mudah digunakan.
Setelah nomor Anda dipalsukan, pelaku bisa menelepon kontak Anda dan meminta transfer uang darurat, mengirim tautan pembayaran palsu, atau meminta kode verifikasi. Suksesnya serangan ini mudah dimengerti: kontak Anda melihat nama yang mereka percayai di layar, jadi mengapa mereka tidak menuruti permintaan tersebut?
Jika Anda mengetahui nomor Anda dipalsukan, segera beri tahu kontak Anda. Gunakan saluran yang Anda kendalikan (misalnya pesan grup dari perangkat Anda atau email), dan laporkan kejadian tersebut ke operator seluler Anda.
Bisakah nomor Anda dipakai untuk pencurian identitas?
Nomor telepon sendiri tidak cukup untuk pencurian identitas. Nomor menjadi masalah ketika dikombinasikan dengan informasi pribadi yang dapat diidentifikasi (PII) lainnya, seperti nama lengkap, tanggal lahir, atau nomor identitas. Ketika penyerang memiliki dua atau lebih titik data, mereka bisa mencoba membuka rekening kartu kredit atas nama Anda, mengajukan pelaporan pajak palsu, atau mengakses akun keuangan Anda.
Masalah bagi pengguna adalah mengetahui seberapa banyak informasi Anda yang sudah tersedia. Seringkali terjadi kebocoran data berskala besar di mana jutaan nomor telepon bocor bersama nama klien, alamat, dan detail akun.
Catatan tersebut bisa berakhir di dark web, tempat penyerang dapat membelinya sebagai bagian dari basis data. Karena itu, banyak perusahaan memperlakukan nomor telepon sebagai data sensitif; begitu digunakan bersamaan dengan data pribadi lain, sensitivitas informasi nomor meningkat drastis. Dan dalam banyak kasus, paparan itu bukan disebabkan oleh kesalahan Anda sendiri.
Bagaimana penipu mendapat nomor telepon Anda sejak awal?
Penipu mendapatkan nomor melalui kebocoran data, situs pencarian orang, formulir phishing, dan sistem panggilan otomatis yang mendeteksi saluran aktif. Perlu diingat, sering ada jeda waktu yang panjang, kadang bertahun-tahun, antara nomor Anda dikompromikan dan Anda menyadari aktivitas mencurigakan.
Jika Anda bertanya-tanya dari mana penipu mendapatkan nomor Anda, hampir selalu salah satu sumber di atas menjadi penyebabnya.
Sumber lain adalah catatan publik. Arsip pengadilan, pendaftaran pemilih, dan catatan properti sering mencantumkan nomor telepon dan dapat diakses online di banyak yurisdiksi. Mengisi kartu registrasi garansi atau bergabung ke program loyalitas toko juga bisa memasukkan nomor Anda ke basis data pemasaran yang kemudian bocor atau dijual kembali.
Peran kebocoran data dan broker data seperti apa?
Kebocoran data adalah sumber utama nomor telepon bocor, dan broker data memperparah masalah dengan membuat informasi dari kebocoran itu lebih mudah diakses.
Ketika sebuah perusahaan mengalami kebocoran, catatan pelanggan sering muncul di forum dan pasar dark web dalam hitungan hari. Dari sana, penyerang mencocokkan data tersebut dengan database lain untuk menyusun profil yang semakin lengkap tentang setiap orang dalam daftar.
Broker data seperti Whitepages, Spokeo, dan BeenVerified memperburuk masalah dengan menggabungkan data publik dan komersial ke dalam basis data yang dapat dicari. Dengan biaya kecil, siapa pun bisa mencari nomor telepon Anda dan mendapatkan nama, alamat, dan detail pribadi lain yang terkait. Memang mungkin menghapus informasi Anda dari situs-situs ini, tetapi Anda harus menghubungi masing-masing broker melalui email untuk meminta opt-out.
Bagaimana cara mengetahui apakah nomor telepon Anda dikompromikan?
Nomor Anda mungkin dikompromikan jika tiba-tiba Anda kehilangan layanan seluler atau menerima pesan reset kata sandi yang tidak Anda minta. Tanda lain termasuk notifikasi tentang perubahan akun yang tidak Anda lakukan dan laporan dari kontak bahwa mereka menerima pesan mencurigakan dari nomor Anda.
Waspadai kumpulan kejadian ini dalam waktu singkat. Sekali panggilan spam saja bukan tanda bahaya. Kombinasi sempurna adalah hilangnya sinyal secara total, padahal perangkat dan kartu SIM Anda tidak rusak secara fisik, ditambah peringatan login atau permintaan otentikasi yang bukan Anda minta. Pola ini biasanya mengarah ke SIM swap.
Jika ada yang mencurigakan, segera cek akun operator seluler Anda untuk melihat apakah ada perubahan yang tidak sah. Hubungi dari telepon lain atau kunjungi toko fisik. Lalu masuk ke akun email, perbankan, dan media sosial untuk memeriksa perubahan yang tidak Anda lakukan.
Apa itu SIM swap dan mengapa itu ancaman terbesar?
SIM swap adalah serangan di mana penipu berhasil meyakinkan operator seluler Anda untuk mentransfer nomor telepon Anda ke kartu SIM yang mereka kendalikan. Ini memungkinkan penipu mencegat semua panggilan dan pesan teks yang ditujukan ke nomor Anda. Ini adalah ancaman berbasis nomor telepon yang paling serius karena melewati mekanisme keamanan otentikasi berbasis SMS sepenuhnya.
Jika SIM swap berhasil, penyerang dapat menerima setiap kode verifikasi SMS yang dikirim ke telepon Anda. Bayangkan semua kemungkinan: kata sandi satu kali untuk email dan perbankan, verifikasi bursa kripto, dan akses media sosial.
Kerusakan bisa berkembang cepat jika akun email Anda dikompromikan, karena penipu bisa memulai reset kata sandi di puluhan layanan lain. Untuk membantu pengguna, panduan penipuan SIM swap dari FCC membahas proteksi di tingkat operator dan langkah pelaporan, serta cara kerja dan tanda-tanda yang perlu diwaspadai.
Bagaimana cara kerja SIM swap?
Agar SIM swap berhasil, penyerang akan terlebih dahulu mengumpulkan informasi pribadi target, lalu menyamar sebagai Anda dan menghubungi operator untuk memindahkan nomor.
Penyerang mengumpulkan data seperti nama, alamat, nomor akun, empat digit terakhir nomor identitas dari kebocoran data sebelumnya atau profil media sosial. Penyerang kemudian memulai proses SIM swap melalui portal online atau saluran dukungan operator. Karena mereka memiliki informasi Anda, mereka mampu menyelesaikan proses verifikasi dan transfer disetujui.
Dalam beberapa kasus, serangan melibatkan penyuapan atau rekayasa sosial terhadap karyawan operator secara langsung. Varian dari SIM swap mengikuti proses serupa tetapi memindahkan nomor ke operator lain.
Penipu menyukai SIM swap karena setiap serangan yang mengalihkan pesan SMS secara otomatis melewati keamanan akun yang bergantung pada kode verifikasi tersebut.
Haruskah Anda khawatir jika seseorang punya nomor telepon Anda?
Jika seseorang memiliki nomor telepon atau nomor ponsel Anda, itu belum otomatis jadi masalah besar. Anda kemungkinan akan menerima panggilan spam dan SMS phishing sesekali, tetapi hal itu saja biasanya tidak membahayakan akun atau identitas Anda.
Risiko menjadi lebih tinggi jika Anda menggunakan nomor seluler untuk pemulihan akun berbasis SMS (untuk email, perbankan, atau akun lain). Dan risikonya meningkat lagi jika nomor Anda terekspos bersamaan dengan data pribadi lain dalam sebuah kebocoran. Jika peretas memiliki email Anda dan kata sandi yang bocor, mereka memiliki lebih banyak akses dibanding seseorang yang hanya menemukan nomor Anda di media sosial.
Apa bedanya spam biasa dengan ancaman serius?
Spam biasa adalah pendekatan sembarangan yang berisi robocall, telemarketing, dan SMS scam generik yang dikirim ke ribuan nomor sekaligus. Ini menjengkelkan tetapi kecil kemungkinannya membahayakan; tindakan yang perlu Anda ambil biasanya hanya memblokir dan melaporkannya.
Sebaliknya, ancaman serius cenderung berupa pesan yang ditargetkan dengan menyebut nama asli Anda, bank Anda, atau transaksi terbaru yang menunjukkan pengirim memiliki lebih dari sekadar nomor Anda. Berulangnya kode reset kata sandi menandakan seseorang sedang berusaha mengakses akun Anda. Dalam kasus SIM swap, ponsel Anda mungkin tiba-tiba menampilkan "Tidak ada layanan".
Apa yang harus Anda lakukan jika penipu memiliki nomor telepon Anda?
Jika Anda percaya penipu memiliki nomor telepon Anda, segera kunci akun operator seluler Anda, ubah kata sandi pada akun paling penting, dan tingkatkan metode otentikasi Anda. Anda juga harus melaporkan kejadian tersebut.
Semua langkah ini harus dilakukan secepat mungkin karena jeda antara SIM swap dan pengambilalihan akun penuh bisa hanya beberapa menit. Kecepatan adalah kunci ketika mengetahui apa yang harus dilakukan jika penipu punya nomor telepon Anda.
Jika ragu langkah awal yang harus diambil, mulailah dengan mengamankan akun operator seluler. Gunakan telepon lain (telepon rumah atau milik anggota keluarga), atau kunjungi toko fisik, dan minta mereka segera membekukan perubahan SIM dan permintaan port-out.
Setelah akun operator aman, periksa akun email Anda terlebih dahulu (karena itu mengendalikan reset untuk layanan lain), lalu akun perbankan, lalu media sosial. Jika Anda khawatir menjadi korban pencurian identitas, bekukan kredit Anda di ketiga biro kredit (Equifax, Experian, TransUnion) dan laporkan ke IdentityTheft.gov.
Saat mengajukan laporan, pastikan mendokumentasikan semuanya sedetail mungkin. Sertakan tangkapan layar, cap waktu, dan nomor referensi dari panggilan ke operator, karena Anda mungkin perlu membantah tagihan atau aktivitas penipuan nanti.
Bagaimana cara mengamankan akun operator seluler Anda?
Untuk mengamankan akun operator Anda, Anda harus mengatur SIM PIN, membuat kode akses akun yang kuat dan unik, serta mengaktifkan proteksi transfer nomor.
SIM PIN adalah kode yang harus dimasukkan sebelum kartu SIM Anda bisa dipakai di perangkat baru. Anda bisa mengaturnya lewat pengaturan ponsel atau dengan menghubungi dukungan. Selain itu, akun operator Anda (tempat Anda masuk untuk penagihan) perlu dilindungi dengan kode akses kuat yang berbeda dari SIM PIN.
Terakhir, sebagian besar operator menyediakan opsi penguncian nomor atau pembekuan port untuk mencegah transfer tidak sah. Anda bisa mengaktifkan pengaturan ini di akun online. Untuk tinjauan lengkap tentang keamanan ponsel, rekomendasi keamanan perangkat seluler dari NIST memberikan kerangka kerja yang berguna mencakup sebagian besar kemungkinan ancaman.
Bagaimana cara mengamankan akun online Anda?
Ganti otentikasi dua faktor berbasis SMS dengan alternatif berbasis aplikasi atau perangkat keras. Gunakan aplikasi autentikator seperti Google Authenticator, Microsoft Authenticator, atau Authy untuk menghasilkan kode berbasis waktu di perangkat Anda; ini membuat akun Anda kebal terhadap serangan SIM swap.
Untuk mengamankan akun penting lebih jauh, Anda bisa menggunakan kunci keamanan perangkat keras seperti YubiKey. Alat ini membuat pengambilalihan akun jarak jauh tidak mungkin karena memerlukan kepemilikan fisik kunci untuk mengotorisasi login.
Penggunaan ulang kata sandi juga membuat akun lebih rentan karena jika satu situs diretas, penyerang dapat menggunakan kata sandi yang sama untuk mengakses situs lain tempat Anda punya akun. Untuk mengurangi risiko ini, gunakan pengelola kata sandi untuk membuat dan menyimpan kata sandi unik untuk setiap akun.
Untuk perlindungan lebih kuat, aktifkan otentikasi multi-faktor menggunakan metode berbasis aplikasi atau perangkat keras alih-alih SMS. Pendekatan ini mengikat kode verifikasi pada perangkat Anda, bukan nomor telepon, sehingga membuat penyerang jauh lebih sulit mencegatnya.
Bagaimana melindungi nomor telepon Anda untuk jangka panjang?
Untuk melindungi nomor Anda dalam jangka panjang, tujuannya adalah mengurangi tempat nomor itu terekspos dan meminimalkan perannya dalam keamanan akun Anda. Sayangnya, ini bukan perbaikan sekali jalan, dan mungkin perlu diulang beberapa kali setahun.
Mulailah dengan menghapus nomor Anda dari tempat yang tercantum online. Ini termasuk akun media sosial dan direktori bisnis. Anda mungkin juga perlu menolak (opt-out) dari situs broker data, baik secara manual dengan permintaan opt-out atau menggunakan layanan seperti DeleteMe.
Lalu, buat daftar akun yang menggunakan nomor Anda untuk pemulihan, dan pindahkan akun-akun penting tersebut ke otentikasi berbasis aplikasi.
Untuk lapisan keamanan tambahan, Anda bisa memilih nomor sekunder dengan kartu SIM prabayar atau layanan VoIP untuk digunakan saat mendaftar aplikasi pengantaran makanan dan akun ritel. Ini adalah nomor yang mudah Anda ganti jika dikompromikan.
Periksa pengaturan privasi secara berkala karena default platform bisa berubah setelah pembaruan. Kolom profil yang sebelumnya privat mungkin perlahan menjadi publik. Memahami informasi apa yang bisa diperoleh seseorang dari nomor telepon Anda memudahkan menentukan detail mana yang harus dikunci atau dihapus. Ini cukup memakan waktu 10 menit setiap kuartal, namun akan mencegah banyak pekerjaan pemulihan di kemudian hari. Pertimbangkan menggunakan solusi keamanan menyeluruh seperti Kaspersky Premium untuk memantau kebocoran data yang melibatkan informasi pribadi Anda, termasuk nomor telepon.
Artikel terkait:
- Bagaimana cara efektif mencegah serangan SIM swapping?
- Bagaimana cara melindungi diri dari Penipuan Ponsel?
- Apa risiko terkait serangan Smishing?
- Bagaimana meningkatkan Keamanan Ponsel Anda hari ini?
Produk yang direkomendasikan:
FAQs
Bisakah seseorang melacak lokasi saya hanya dengan nomor telepon?
Tidak, pelacakan lokasi melalui nomor telepon membutuhkan akses ke infrastruktur operator seluler atau pemasangan spyware di perangkat Anda. Pelacakan lokasi dibatasi untuk penegak hukum dengan surat perintah. Ada situs penipuan yang menawarkan pelacakan berdasarkan nomor telepon; ini hampir selalu merupakan jebakan phishing atau penipuan.
Bisakah seseorang mengakses rekening bank saya hanya dengan nomor telepon?
Nomor telepon sendiri tidak cukup untuk mengakses rekening bank Anda. Namun, jika dikombinasikan dengan informasi pribadi lain, itu bisa dipakai untuk melakukan SIM swap. Hal ini memungkinkan penyerang mencegat kode verifikasi SMS dan berpotensi mengakses akun Anda.
Haruskah saya mengganti nomor telepon setelah pencurian identitas?
Tidak selalu; mengganti nomor telepon hanya masuk akal jika Anda menjadi korban SIM swap atau pelecehan. Sebagian besar kerentanan dapat diatasi dengan mengamankan akun operator seluler, meningkatkan otentikasi, dan membekukan kredit Anda. Langkah pemulihan pencurian identitas dari FTC dapat membantu Anda memutuskan.
