Baru-baru ini, terungkap jaringan SIM farm yang sebelumnya tidak dilaporkan, berhubungan dengan penyedia yang berbasis di Belarusia, tersebar di berbagai benua. Hal ini menunjukkan bagaimana jaringan seluler dimanfaatkan untuk mendukung operasi penipuan dalam skala besar.
Penelitian yang diterbitkan oleh perusahaan siber yang berbasis di Inggris, Infrawatch, menemukan infrastruktur terdistribusi yang memungkinkan akses jarak jauh ke perangkat SIM fisik yang terhubung ke jaringan telekomunikasi di berbagai wilayah.
Infrawatch mengidentifikasi 94 penerapan SIM farm di 17 negara yang terhubung melalui perangkat lunak yang dioperasikan oleh penyedia asal Belarusia bernama ProxySmart.
Memfasilitasi penipuan besar-besaran
Penerapan ini didukung oleh 24 penyedia komersial yang menjual akses ke konektivitas SIM di Eropa, Amerika Utara, dan Amerika Selatan. Jaringan ini menawarkan koneksi ke 35 operator seluler, termasuk pemain besar di Inggris seperti Three, O2, EE, dan Vodafone. Koneksi di AS juga cukup luas, dengan infrastruktur yang tersebar di 19 negara bagian, memungkinkan para penyerang untuk muncul sebagai pengguna domestik yang sah.
SIM farm terdiri dari rak-rak kartu SIM atau perangkat seluler yang dapat dikendalikan dari jarak jauh secara besar-besaran. Biasanya, ini digunakan untuk menghindari metode verifikasi berbasis telepon, termasuk kata sandi sekali pakai yang dikirim melalui SMS saat login atau pembayaran.
Kemampuan mereka untuk meniru koneksi konsumen yang sah membuatnya sulit bagi penyedia layanan untuk membedakan lalu lintas berbahaya dari aktivitas seluler biasa.
Analisis teknis yang dilakukan oleh Infrawatch menemukan bahwa platform ProxySmart mendukung rotasi IP otomatis, kontrol perangkat jarak jauh, dan penyamaran sidik jaringan. Ini memungkinkan operator untuk mempertahankan akses yang berkelanjutan ke infrastruktur telekomunikasi sambil meminimalkan kemungkinan terdeteksi.
Para penyelidik juga menemukan bahwa layanan yang menjual akses ke SIM farm yang didukung ProxySmart dipromosikan melalui forum online dan platform pesan. Banyak dari layanan ini beroperasi tanpa pengecekan identitas pelanggan, menerima pembayaran cryptocurrency, dan dirancang untuk mengurangi visibilitas dari sistem penegakan hukum.
Menutupi aktivitas SIM farm menjadi sangat sulit karena operator seluler memberikan alamat IP yang sama untuk banyak pelanggan, membuat rumit untuk memisahkan pengguna sah dari aktor berbahaya yang menggunakan metode penyaringan berbasis IP.
“SIM farm selama ini diabaikan sebagai infrastruktur kriminal – sebagian karena Inggris adalah satu-satunya negara yang melarangnya, membuat tindakan penegakan hukum global menjadi sulit,” kata Lloyd Davies, Pendiri dan CEO Infrawatch.
“Penyelidikan ini menunjukkan celah ketahanan yang signifikan, yang membuat organisasi dan pengguna lebih rentan terhadap penipuan dan bahaya online. Ekosistem global operator SIM farm dan layanan monetisasi sangat canggih dan bertindak sebagai jembatan ke jaringan telekomunikasi di Eropa, Amerika, dan Amerika Selatan bagi aktor jahat.”
Penyelidikan ini dimulai dengan penemuan layanan SIM farm yang berbasis di Inggris dan berkembang menjadi peta yang lebih luas yang mengungkap skala ekosistem ProxySmart. Temuan tersebut telah dibagikan kepada otoritas penegak hukum dan regulator yang relevan sebelum publikasi.
“ProxySmart secara terbuka dipasarkan sebagai SIM Farm-as-a-Service dan, sayangnya, itu bukan hype atau pemasaran. Mereka adalah operator serius yang telah menyempurnakan model yang membuat pengoperasian SIM farm menjadi mudah dari awal hingga akhir: mulai dari menawarkan bantuan jarak jauh untuk menyiapkan rak modem hingga perangkat lunak khusus untuk manajemen infrastruktur jarak jauh dan langkah-langkah anti-bot,” tambah Davies.
“Area abu-abu hukum yang ditempati oleh SIM farm telah memungkinkan model itu untuk berkembang dengan gangguan yang terbatas dan kami menilai bahwa sangat mungkin mereka sedang memfasilitasi operasi penipuan besar-besaran saat ini.”
Dengan puluhan penerapan sudah teridentifikasi di berbagai wilayah, penelitian ini menunjukkan bagaimana infrastruktur akses telekom jarak jauh dimonetisasi dan digunakan kembali untuk mendukung penipuan, penyalahgunaan akun, dan aktivitas online otomatis.
