Wawancara Cyberthreat.id dengan Riswanda Noor, Kamis (4 Maret 2021) via Google Meet. | Foto: Cyberthreat.id/Tenri Gobel
Wawancara Cyberthreat.id dengan Riswanda Noor, Kamis (4 Maret 2021) via Google Meet. | Foto: Cyberthreat.id/Tenri Gobel
Cyberthreat.id – Kisah ini bermula dari sebuah script atau kode-kode perintah yang sebetulnya sederhana. Hanya, script ini jahat. Script itu mencuat di medio 2018 hingga 2019.
Tak main-main, script itu dipakai oleh peretas untuk mencuri data para pengguna Apple, Amazon, PayPal, hingga Cash App—untuk yang terakhir ini baru-baru ini terungkap. Script itu tak ubahnya malware stealer yang dirancang untuk menggaruk data-data pribadi pengguna mulai nomor kartu kredit, kata sandi, nama, email, nomor telepon, KTP, dan lain-lain.
Dibuat akhir 2017, script bernama “16shop” itu dijual awal Januari 2018 dengan harga Rp500.000. Selama lima bulan berselang, script itu tenar. Sang pembuat yang bersembunyi di balik nama “devilscream” menaikkan harga script-nya menjadi Rp900.000.
“Devilscream” menawarkan script itu secara telanjang di akun Facebook—dan ini yang kelak disesali sang pembuat lantaran menawarkan script di akun Facebook yang tertera nama aslinya.
Script itu baru menargetkan para pengguna Apple. Tujuannya dipakai untuk mencuri ID Apple (nama pengguna, kata sandi, dan 16 digit kartu kredit yang dipakai untuk mendaftar ID Apple).
Sementara “devilscream” masih berkutat dengan dunia coding, demi meningkatkan kemampuan script-nya, sesekali masih melayani pembelian, di belahan bumi lain peneliti keamanan siber terkemuka asal AS, Lookout Mobile Security, sedang melacaknya.
“Devilscream” barangkali tak memeriksa Twitter di saat tim divisi PhishingAI (milik Lookout) membongkar identitasnya pada Juni 2018. Di akun Twitter-nya, PhisingAI mengungkap nama di balik “devilscream”.
Disebutlah nama Riswanda Noor Saputra. Saat itu usianya baru 16 tahun. Bersekolah di SMK Negeri 1 Amuntai, Kalimantan Selatan. Tak sulit untuk melacak nama itu, sebab pada 2016 ia masuk pemberitaan nasional. Kantor berita ANTARA memberitakan tentang kiprahnya yang menjuarai pertama lomba web design tingkat provinsi.
“Devilscream” atau Riswanda Noor dalam wawancaranya dengan Cyberthreat.id, Kamis (4 Maret 2021) malam melalui Google Meet mengaku, bahwa dirinya sama sekali tak ada sangkut paut dengan serangan phishing ke Apple, Amazon, PayPal hingga Cash App.
Berita Terkait:
Ia hanya menjual phishing kit “16shop” untuk Apple, Amazon, dan PayPal. “Orang-orang luar menyebut [script itu] sebagai Phishing –as-a-Service,” kata Riswanda.
Puas dengan penghasilan script pertama, Riswanda bersama satu rekannya mengembangkan kembali script kedua di akhir 2018. Muncullah, script baru untuk menargetkan pengguna Amazon.
Enam bulan pertama 2019, script itu bikin geger, meski pada “produk” sebelumnya juga telah menjadi perbincangan kalangan bawah tanah, kali ini peneliti keamanan siber terkemuka yang mengungkap ke “dunia atas”.
Mei 2019, peneliti dari perusahaan teknologi AS, Akamai Technologies, mengulas script itu di blog perusahaannya. Akamai menyoroti phishing kit untuk ID Apple. Dua bulan kemudian,giliran peneliti keamanan McAfee mengunggah laporan mengulas tentang phishing kit untuk Amazon.
Awal 2020, perusahaan cybersecurity asal AS, ZeroFOX, muncul dengan ulasan terbaru. Phishing kit itu dipakai peretas untuk menargetkan pengguna PayPal. Lalu, di awal Maret 2021, ZeroFOX mengeluarkan laporan terbaru terkait serangan phishing ke pengguna Cash App, sebuah aplikasi pembayaran seluler.
Berikut wawancara khusus wartawan Cyberthreat.id Andi Nugroho dan Tenri Gobel dengan Riswanda secara telekonferensi video pada Kamis (4 Maret) malam.
Bisa ceritakan tentang diri Anda...
Saya Riswanda Noor Saputra. Membuat script sekitar umur 13 tahun. Antara 2013-2014 saya bikin eksploit, tapi pada 2015 itu saya rehat gitu. Waktu itu kan mau ujian SMP, jadi rehat dulu.
Baru di SMK, [saya] kembali lagi [membuat script). Saya belajar [bahasa pemrograman] PHP lagi, HTML, CSS. Pada 2016 disuruh untuk mewakili sekolah buat lomba, terus menang web design saat itu tingkat Kalimantan Selatan. Waktu itu bulan November 2016 sesuai di berita (ANTARA) itu; waktu menang itu kan diliput. Habis itu hingga Desember 2017, saya kembali ke dunia underground.
Anda sudah sejak SMP mengenal komputer ya?
Dasar-dasar web sih sejak 2011 saya sudah pegang laptop. Saat itu belajar bikin blog dari blogger.com. Dari SD dulu main game, kan jamannya Point Blank (game buatan Zepetto asak Korea Selatan) pada tahun 2009. Dari situ tahu komputer. Dulu main game di warnet, cuma karena keseringan ke warnet, jadinya dibelikan laptop dulu. Have fun saja.
Dari SMP saya sudah di dunia defacer (peretas yang mengubah tampilan situs web, red). Berbekal dari main game, sejak 2013 ke atas itu saya sudah di dunia defacer. Berikut arsip serangan defacement web dirinya di situs web Zone-H.org (klik di sini)
Mengapa memilih terjun di dunia defacer?
Saat itu saya bikin suatu situs web, waktu itu enggak tahu keamanan web. Terus ada yang meng-upload (skrip) backdoor ke web saya. Web saya di-deface orang. Dari situ saya belajar untuk deface, belajar keamanan situs web.
Oh, dari sakit hati begitu…
Iya, jadi balik serang.
Saat itu memang sengaja merusak situs web atau memang ingin membuktikan diri kepada teman-teman?
Dulu saya niat deface itu have fun saja, cuma kalau men-deface situs web Indonesia enggak minat. Dulu waktu bikin exploit sendiri saya sasarannya situs web luar, saya bikin exploit web untuk di Thailand. Kalau hoki, ya dapat situs web pemerintahan.
Berapa situs web yang Anda deface sewaktu SMP?
Paling ratusan situs web saja.
Punya kenangan serangan yang paling mengesankan?
Enggak ada target berkesan sih menurut saya. Yang penting bisa membobol. Tapi, saya bisa bikin eksploit sendiri sih , kayak kita bikin, maksudnya, eksploit itu senjata.
(Ia menceritakan eksploit yang dibuatnya itu menargetkan aplikasi tertentu. Jika sebuah situs web mana pun memakai aplikasi itu, ia bisa membobol situs web dengan eskploit yang dibuatnya.)
BACA:
Eksploit yang dibuat itu pakai bahasa apa?
Bahasa PHP. Dari 2012 saya belajar itu bahasa PHP. Untuk penguasaan PHP basic, tanpa framework itu ya. Kalau tidak salah setahun [belajar PHP].
Semua itu tidak ada gurunya, kan ya?
Google (sembari tertawa).
Eksploit pertama kali yang dibikin waktu itu dinamai apa?
Saya lupa, bisa cek arsip di Exploit.db.com Pada 2013. saat itu saya masih SMP usia 13 tahun. Bisa dicari dengan dengan keyword “DevilScreaM”. (https://www.exploit-db.com/?author=6037).
Dulu nama underground saya “DevilScreaM”. Jadi, dulu itu punya komunitas namanya “ScreamCrew”. Diambil nama Scream-nya dari komunitas itu, terus “devil” itu nambahin sendiri.
Terinsiprasi dari mana nama itu?
Enggak ada inspirasi apa-apa sih nama itu. Komunitas itu pada 2012 beranggotakan 50 orang kayaknya. Berkenalan di dunia maya, kami semuanya pure, enggak pernah ketemu. Bahkan, video call pun tidak pernah, begitu pun dengan telepon karena zamannya BBM (BlackBerry Messenger) dulu.
Saya pun memutuskan keluar dari komunitas itu dan membuat komunitas namanya “Newbie Security” (http://newbie-security.or.id/) tepatnya 2013-2015. Saat itu saya juga bikin e-book.
Nah di situ saya bikin komunitas , saya sendiri CEO-nya dan teman saya 3 orang sebagai moderator pada saat itu. Nah, dulu itu, di e-book itu saya bahas tentang keamanan situs web. Saya posting beberapa artikel tentang tutorial mengamankan situs web dari cross xite scripting, SQL Injection dan lain-lain. Hampir semuanya saya pernah bahas.
(Ia mengaku bikin e-book waktu itu karena aktivitas komunitasnya sepi. Sehingga ia berniat mendokumentasikan tutorial keamanan situs web. Ia membagikan e-book itu di situs web Slide Share dengan nama “screamt4rt”. (Cek di sini https://www.slideshare.net/Scream4rt ).
Umur berapa saat itu?
Itu waktu saya umur 15 tahun buat e-book-nya
Sendiri menyusunnya?
Menyusunnya itu sendiri, untuk kata-kata teman sih yang koreksi.
Banyak yang suka waktu itu dengan e-book?
Banyak yang suka saat itu. Banyak juga yang share ke teman-teman. Rata-rata sih komunitas hacker yang respons.
Saat bikin eksploit itu, apa yang terpikirkan di benak atau yang menjadi mimpi Anda waktu itu?
Waktu itu mimpinya enggak ada kayaknya. Dulu itu bikin eksploit, deface itu, untuk bangga-banggaan saja sih sama teman di sesama underground. Buat unjuk skill gitu. Tetapi, 2015 berhenti dari dunia underground, karena sudah jenuh juga.
Sejak 2015 itu saya tidak kembali ke dunia defacer. [Teman-teman] yang deface urusan masing-masing sih, mereka tetap lanjut. Ada yang berhenti, ada juga yang masih lanjut.
Pokoknya setelah berhenti, saya enggak ke mana-mana, pokoknya fokus di sekolah saja masih dan belajar web. Lalu, 2016 akhir itu baru terciptanya “16Shop”.
Akhir 2016 bikin script 16Shop dan balik lagi underground ya…
2016 itu belum, saya masih sekolah di jurusan Teknik Komputer dan Jaringan (TKJ) dan baru menang lomba mewakili sekolah tingkat Kalimantan Selatan dan mewakiliki Kalsel untuk tingkat nasional. Saya juara pertama untuk tingkat provinsi, 10 besar di tingkat nasional dengan lawan terberat dari Jawa Barat.
Foto: Antaranews.com
Anda memang menonjol di komputer saat itu sehingga dipilih guru, ya?
Dulu itu saya tidak pernah nonjolin sih, saya itu dipilih H-7 sebelum kompetisi. Saat itu teman saya yang bilang ke guru suruh milih saya. Teman saya itu malas-malasan untuk latihan, jadi guru cari yang lain. Lalu terpilih saya.
(Ia menceritakan waktu lomba itu dia harus menyelesaikan sejumlah soal berkaitan dengan web design. Ia seleaikan tahap tiap tahap dan harus rampung dalam waktu yang ditentukan.)
Di situ butuh kecepatan dan fisik. Saya habis lomba itu fisik saya drop. Tingkat nasional lombanya itu 4 hari. Dari jam 07.00 sampai 16.00.
Setelah masuk 10 besar, belajar web framework. Saat itu kode node JavaScript itu lagi naik-naiknya. Saya belajar JavaScript dulu. Habis itu belajar PHP lagi.
Gara-gara enggak ada kerjaan, akhirnya bikin sendiri “16Shop”. Jadinya, kembali ke dunia underground lagi. Ini karena teman-teman itu banyak yang show off hasil carding . Jadi, terinspirasi dari situ. Penghasilannya teman-teman carding itu banyak; rata-rata puluhan juta itu pasti.
Lalu, kapan 16shop dibuat?
Semenjak akhir 2017, saya membentuk namanya 16Shop itu. Waktu itu Desember 2017. Waktu itu awalnya teman minta bikinkan. Karena banyak peminatnya, ya dijual juga yang kode script phishing itu.
Januari-Mei 2018 itu sedang ramai-ramainya script saya itu, tiba-tiba waktu itu banyak yang minat, banyak yang kontak saya. Saya jual di Facebook dengan nama Riswanda.
(Ia menuturkan, script inilah yang menargetkan pengguna Apple. Script ini dibeli oleh para peretas utuk serangan phishing ke para pengguna Apple).
Selanjutnya, sekitar Agustus saya merilis yang script berikutnya, untuk [target pengguna] Amazon itu.
Kenapa bikin script phishing?
Karena duit juga kan.
Berapa lama bikin script yang pertama untuk target pengguna Apple itu?
Pembuatan script itu sebulan jadi, bahkan dua minggu bisa jadi. Karena sederhana saja, soalnya itu enggak pakai framework apa-apa sama sekali. Untuk orang awam, tinggal upload ke hosting, pakai. Orang luar namainnya Phising as-a-Service (PaaS).
Bisa dijelaskan bagaimana teknis serangan ke Apple itu?
Untuk masuk situs web Apple perlu login dengan Apple ID biasanya. Lalu, dibuatlah situs web, dibikin agar orang-orang percaya bahwa situs web itu asli seperti milik Apple. Lalu, mereka (calon korban) login, terus nanti ada notifikasi yang bikin mereka panik gitu, kayak akunnya terkunci. Lalu, mereka pencet “Next”, lalu mereka mengisi data-data mereka.
Untuk domain itu, tergantung yang peretasnya. Kalau saya cuma menjual. Kayak kita bikin WordPress, itu kan gratis, nah terus (script itu) di-upload oleh mereka, gitu.
Bagaimana para peretas itu menyebarkan phishing?
Zaman dulu ya pakai email. Narasi emailnya bikin orang itu panik sih. Kayak bikin pembacanya itu panik untuk otomatis orang itu nge-klik email itu. Dulu kan target mereka kan orang-orang Amerika , biasanya data-data nama mereka, habis itu ZIP, habis itu social security number (SSN) atau nomor jaminan sosial), lalu kartu kredit. Kata-kata teman ya, bule-bule di sana ya bego atau apa ya.
Peminat 16shop yang Apple ID dari mana saja?
Rata-rata dari Indonesia dan luar negeri, perbandingannya 40:60, 60 persennya luar negeri peminatnya. [Phishing kit untuk] Amazon juga sama.
Berapa harganya?
Dulu waktu awal gitu ya, untuk Apple dari harga Rp500.000-Rp900.000 antara Januari -Mei 2018. Pendapatannya kalau dirata-rata saja ya, 50 orang x 700 ribu ya sektiar Rp35 juta.
Digunakan untuk apa itu penghasilannya?
Ya, untuk pribadi juga (sambil tertawa), ditabung juga sekalian.
Setelah 5 bulanan heboh itu, apa selanjutnya yang dibuat?
Makin mengembangkan sih aplikasi itu. Update-update script-nya biar tidak terlacak atau di bawah radar (perangkat lunak antivirus). Sama nambahin fitur supaya bule-bule itu meng-upload foto KTP mereka.
Lalu, setelah itu saya bikin untuk script Amazon dan Paypal. Cuma PayPal itu saya sudah tidak lanjutin sejak versi 1.xx. Untuk script Amazon itu berlangsung selama enam bulan dan Paypal mulai September 2019 hingga pensiun dari 16Shop (akhir Desember 2019). Script Apple dan Amazon dan Paypal berbeda-beda.
Berapa harganya?
Karena Amazon sudah ada nama, jadi dijual harga tinggi Rp800.000. Tidak dinaikkan sama sekali. Peminatnya juga sama kayak Apple.
Saat itu apa yang tebersit dipikiran ketika membuat script itu?
Kalau dari jejak saya di internet dulu kan dari defacer, habis itu dunia penetration. Nah, terus saya pikir kok enggak bisa dapat duit yah dari sini. Waktu itu kan belum ramai-ramainya bug bounty. Waktu itu saya belum tahu ada bug bounty, ya mikirnya dunia phishing bikin script.
Ketika membuat script itu apa yang kemudian menjadi mimpi Anda?
Enggak ada. Dulu itu bikin eksploit, deface itu jaman dulu untuk bangga-banggaan saja sih sama teman di sesama underground. Dari teman-teman cukup salut atau mengakui kemampuan saya.
Oh ya, bisa dijelaskan kenapa namanya 16Shop?
Saya bikin nama “16Shop” itu dari digitnya kartu kredit, lalu saya tambahin “shop”. Kata “shop” ngambil di mana ya, lupa juga. Pokoknya sejarahnya itu. Antara 2017 hingga 2019, 16Shop masih dikelola saya, selebihnya bukan lagi saya pengembagnnya.
Pokoknya, saya itu dari Apple, Amazon, dan PayPal. Untuk yang lain seperti American Express dan Cash App itu teman saya.
Bisa jadi saya dikaitkan karena satu tim, tapi juga karena track record di Apple, Amazon, dan Paypal itu jadi saya disangkutpautkan.
Artikel dari ZeroFOX itu, American Express dan Cash App yang baru ini, dikaitkan ke saya. Padahal itu teman saya di 16Shop. Saya sudah enggak berkomunikasi lagi, saya lepas sudah enggak tahu apa-apa gitu.
Sebelum saya berhenti, saya sudah ngasih itu [16Shop], bicara sama dia: “Kamu saja yang lanjutin ini. Soalnya saya terekspose masa mau ngelanjutin lagi.”
Pada tahun berapa tahun terekspose?
Pertama kali terekspose sama media-media luar karena bikin yang Amazon, kemungkinan karena Amazon perusahaan populer. Penegak hukum saat itu belum ada, hanya media luar yang memberitakan. Dulu dari hackmd.io, lalu dari Zerofox, lalu Akamai
Cuma yang menemukan nama saya itu PhisingAI (Lookout). Karena identitas nama saya “devilscream” itu, jadi mereka tahu bahwa “devilscream” itu Riswanda. Di script itu saya pakai “devilscream”.
Soal “devilscream” itu saya dulu pernah bikin ada artikel, di Google itu cari saja, ada itu.
Menyesal dengan nama itu?
Blunder masa lalu.
Apakah orangtua tahu soal 16shop?
Enggak tahu, begitu juga istri saya sekarang.
(Meski terekspose oleh Lookout waktu itu, ia belum menutup akun Facebook-nya. Ada sesekali yang ingin membeli script-nya, tapi ia tolak. Ia menutup diri hingga akhirnya membuat lagi untuk script phishing Amazon dan PayPal.
Pada 2020, artikel-artikel berita yang mengulas script Amazond an PayPal mulai bermunculan. Ia mengaku tak pernah tahu saat script-nya itu mulai dibahas oleh kalangan peneliti keamanan siber. “Jadi saat itu ya mungkin masih aktif-akitfnya. Semenjak tahu itu, jadinya saya sudah menutup diri, menutup identitas gitu. Semenjak saya baca berita dari luar itu,” ujar dia.
Terus ngapain di 2020?
Karena merasa takut terlacak oleh penegak hukum akhirnya 2020 berhenti. Padahal, enggak pernah dihubungi penegak hukum. Cuma kan kalau makin bandel, ya mungkin dihubungi. Di tahun 2020 sudah tidak ada aktivitas-aktivitas lagi.
Lalu, Anda diberitakan lagi pada tahun ini, disangkutpautkan dengan Cash App. Apa bukti bahwa Anda tidak terlibat?
Kalau dilihat dari email saya ini isinya cuman test akun gitu. Waktu itu kalau mau bikin akun atau apa pakai email ini saja, buat aplikasi atau apa-apa gitu. Sebenarnya ini email bukan utama saya sih, email yang tidak tepakai. Makanya saya berani email langsung dengan email ini, kan ini email yang tertera di ZeroFOX saya email langsung ke media pakai email ini.
Ada ingin membersihkan nama Anda?
Ya pastilah
Ada rencana membantu penegah hukum, mungkin?
Belum. (Namun, ia bersedia jika polisi meminta bantuan dirinya untuk mendeteksi dan memblokir serangan phishing dengan script-nya itu. Ia juga menambahkan masih menunggu tanggapan dari ZeroFOX untuk membuat sebuah aplikasi pendeteksi phishing.)
Kalau sudah bukan di balik 16Shop. Apa kesibukan Anda sekarang?
Kalau sekarang ya jadi itu freelance fotografer, masih di dunia komputer juga sih. Editing gitu.
Enggak mau lagi di dunia script?
Enggak sih
Kenapa tidak ingin mengembangkan kemampuan di cybersecurity, jalur profesional?
Mengembangkan sih iya. Saya dulu itu mengembangkan 16Shop juga sambil belajar tentang cybersecurity, cuma ya enggak mendalami lah. Belum sempat berpikir untuk membuat konsultan keamanan siber. Sebenarnya kalau saya kembali ke dunia cybersecurity itu ya masih belajar lagi, soalnya kan teknologi sekarang sudah beda dari teknologi zaman dulu. Sekarang lebih fokus fotografi dan videografi.
Apa yang ingin disampaikan Anda ke publik?
Ya intinya sih saya sudah berhenti di dunia begituan. Sudah beralih profesi gitu, sudah enggak mau lagi main gitu-gituan.
Intinya saya berhenti di dunia ginian. Lebih enak di dunia visual editing, di dunia sekarang ini bertemu banyak teman. Real, yang langsung, bukan dunia maya lagi. Kalau dahulu kan menyendiri di rumah, di kamar (karena punya teman di dunia maya). Sekarang temannya kamera ini, editing juga.
Ada tokoh yang disukai?
Kalau cyber consultant bang Teguh Aprianto (pendiri komunitas Ethical Hacker Indonesia) itu. Dia menjelaskan secara rinci dan detail tentang siber.
Pengin ketemu?
Enggak pernah. Hehehe.. kalau masa pandemi gini susah.
Apa yang ingin disampaikan ke Teguh, salam mungkin?
Maaf, saya salah jalur, saya salah ngambil langkah di dunia underground. []
Share:
