SIM Swap Attack: Cara Kerja dan Cara Lindungi Akun Lo (2026)

Security 30 Mei 2026 · OTPZap Team

Tahun 2024, Tempo melaporkan kasus SIM swap di mana korban kehilangan Rp 350 juta dalam 2 jam. Attacker hijack nomor HP, intercept SMS OTP dari mobile banking, transfer uang ke rekening lain. Korban: profesional dengan tech awareness yang lumayan, masih kena.

SIM swap bukan technique baru, tapi tetap effective di 2026 karena banyak service masih reliance di SMS OTP sebagai security primary. Artikel ini bahas cara kerja attack, mengapa effective, dan defense strategy yang practical.

Apa Itu SIM Swap Attack

SIM swap (atau SIM hijacking, port-out fraud) adalah attack di mana attacker mengambil alih nomor HP korban via menipu provider telco. Setelah successful, semua SMS dan call yang ditujukan ke nomor itu masuk ke SIM attacker.

Karena banyak service pakai SMS OTP sebagai 2FA, attacker yang punya kontrol nomor punya akses ke:

Mobile banking (BCA, Mandiri, BRI, dll)
E-wallet (GoPay, OVO, DANA, ShopeePay)
Crypto exchange
Email account (kalau pakai SMS recovery)
Social media (kalau pakai SMS 2FA)

Damage potential: catastrophic. Banyak korban kehilangan tabungan dalam waktu kurang dari sejam.

Cara Kerja Detail Attack

Phase 1: Reconnaissance

Attacker collect info tentang target. Sources:

Data leak public (banyak data Indonesia di-leak: BPJS 2021, Tokopedia, dll)
Social media: nomor HP yang public, info personal (tanggal lahir, alamat)
Phishing earlier untuk dapat info verify provider
Insider info dari karyawan telco yang corrupt

Target: high-value individuals. Attacker prefer yang punya banyak rekening, crypto holder, business owner.

Phase 2: Social Engineering ke Provider

Attacker call atau visit gerai operator (Telkomsel, XL, Indosat, dll). Klaim:

"SIM saya rusak, mau ganti baru"
"HP hilang, perlu replacement SIM"
"Nomor mau dipindah ke kartu baru"

Mereka show ID palsu (atau ID asli kalau ada insider). Verify dengan info personal yang udah di-collect (tanggal lahir, alamat). Kalau verifikasi pass, provider issue SIM baru dengan nomor target.

SIM lama target jadi dead. SIM attacker active dengan nomor target.

Phase 3: Account Takeover

Setelah punya SIM dengan nomor target, attacker:

Login ke service yang udah punya credential dari phishing earlier (atau credential-stuffing dengan password leak)
Service kirim SMS OTP ke nomor target (yang sekarang attacker control)
Attacker masukan OTP, granted access
Transfer dana, drain akun, change password

Untuk crypto: transfer langsung ke wallet attacker. Untuk banking: transfer ke rekening cuci uang (mule account).

Phase 4: Cleanup

Attacker kuras semuanya cepat sebelum target sadar. Set up forwarding email, change password, lock recovery. Saat target sadar (biasanya saat HP suddenly no signal), money udah gone.

Kenapa Attack Ini Berhasil di Indonesia

1. Verification Process Provider Belum Ketat

Beberapa gerai operator masih bisa di-fool dengan info personal yang ada di leak. Biometric verification masih belum mandatory. Some staff trained ngga ketat untuk anti-fraud.

2. Insider Risk

Ada laporan karyawan telco yang dibayar attacker untuk swap SIM. Untuk Rp 5-10 juta, mereka willing. Reward attacker (puluhan juta sampai ratusan juta) jauh lebih besar.

3. Regulasi yang Lemah

Penalti SIM swap fraud di Indonesia masih ringan dibanding damage yang ditimbulkan. Telco juga jarang accountable secara finansial untuk failed verification.

4. SMS OTP Dominant

Sebagian besar bank Indonesia masih pakai SMS OTP sebagai 2FA primary. Authenticator app atau hardware key support terbatas. Single point of failure.

Real Cases Yang Pernah Dilaporkan

Crypto Holder Jakarta (2024): kehilangan ~$50,000 setelah attacker SIM swap dan akses Binance. Recovery 6 bulan, ngga full.
SME Owner Surabaya (2024): rekening BCA bisnis dikuras Rp 200 juta dalam 1 jam. Bank refund partial setelah investigasi 3 bulan.
Influencer Bandung (2025): TikTok account hijacked via SIM swap, blackmail untuk return. Ngga ke-recover karena TikTok support slow.
Eksekutif Tech (2025): Gmail (recovery via SMS) hijacked, lalu spread phishing dari email itu ke contact list.

Defense Strategy Layered

Layer 1: Reduce Reliance pada SMS OTP

Kalau service support, switch dari SMS OTP ke:

Authenticator app (Google Authenticator, Authy, 1Password): kode di-generate offline, ngga via SMS. SIM swap tidak affect.
Hardware key (YubiKey): ultimate. Phishing-proof dan SIM-swap-proof.
App-based 2FA: bank yang punya app proper (BCA Mobile, Jenius) biasanya pakai in-app approval, bukan SMS.

Layer 2: Minimize Exposure Nomor

Jangan public nomor HP di social media
Jangan pakai nomor HP yang sama untuk banking dan public-facing service. Banyak orang sukses punya 2 nomor: 1 secret untuk banking only, 1 untuk casual.
Untuk casual signup (forum, free trial, marketplace), pakai virtual number

Layer 3: Provider-Level Protection

Beberapa operator support "PIN nomor" atau "extra verification" untuk SIM swap:

Telkomsel: bisa request "ID Verification Hold" via MyTelkomsel atau gerai
XL Axiata: punya PIN protection optional
Indosat: similar protection available

Visit gerai dan request "set up additional verification untuk SIM replacement". Bikin process replacement lebih ketat. Worth the friction.

Layer 4: Monitor Tanda Bahaya

HP suddenly no signal di area normal: Bisa indicate SIM aktif udah di-swap. Don't dismiss as network issue.
Email "SIM card baru aktif": telco kirim notif. Jangan abaikan.
Login alert dari service: kalau dapat email "Login dari device baru" yang ngga lo lakuin, immediately respond.

Plan if compromised:

Call provider dari other phone, request immediate SIM lock
Call bank, freeze rekening
Change password semua critical service via secure device
File police report
Document timeline untuk insurance/legal claim

Layer 5: Bank-Side Defense

Set transfer limit harian rendah. Kalau attack berhasil, damage capped.
Enable transaction notification real-time. Suspicious transfer? Stop ASAP via call ke bank.
Pakai BCA OneKlik atau equivalent: requirement device authorization, bukan cuma SMS OTP.
Enable "money transfer cooling period" kalau bank support. New beneficiary butuh 24 jam wait sebelum bisa transfer besar.

Kalau Sudah Kena: Recovery Steps

Lock semua akun dalam 1 jam: time critical. Setiap menit lebih berarti damage lebih.
Document everything: screenshots, logs, timestamps. Untuk police report dan insurance claim.
File laporan polisi: meskipun recovery slow di Indonesia, paper trail penting untuk insurance dan legal.
Contact bank/exchange immediately: minta freeze transaksi, request reverse kalau memungkinkan. Bank ngga selalu refund, tapi report cepat increase chance.
Contact provider: file complaint formal. Beberapa korban berhasil dapat compensation dari provider kalau verification process kelihatan negligent.
Inform contacts: attacker kemungkinan udah pakai akun lo untuk phishing contact list. Warn mereka.
Reset semua password dari clean device (laptop yang ngga ke-compromise).
Setup hardware key sebelum kembali pakai akun. Don't return to vulnerable state.

Untuk Developer: Reduce User Risk

Kalau lo build app yang handle authentication:

Default ke authenticator app, bukan SMS OTP. SMS OTP harus jadi fallback, bukan primary.
Support hardware key (FIDO2) untuk power user. Ngga banyak app Indonesia yang support, jadi differentiator.
Detect anomaly login: location baru, device baru, IP geolocation jauh. Step-up authentication.
Email backup notification untuk SIM-related action: kalau user change phone number atau request SMS recovery, kirim email immediate sebagai dual-channel notification.
Cooling period untuk password change + 2FA disable. Attacker yang udah masuk biasanya immediately try disable 2FA. Tambahkan 24-jam delay supaya legitimate user punya window untuk reverse.

Penutup

SIM swap bukan attack baru, tapi 2026 masih jadi major threat di Indonesia karena gap antara security expectation dan implementation telco/bank. Sampai industry catch up, defense layered di sisi user adalah lebih important.

Yang ngga boleh lo lakuin:

Reliance 100% di SMS OTP untuk akun penting
Public nomor HP utama di social media
Trust verification call random dari "telco" untuk verify info
Pakai nomor HP yang sama untuk banking critical dan casual signup

Yang mesti lo lakuin: switch authenticator app, monitor anomaly, setup defense layered, dan plan response kalau compromise. Investment time setengah hari sekali, save lo dari potensi catastrophic loss.