Cyberthreat.id - Phillipe Christodoulou, seorang pengguna iPhone buatan Apple, tak pernah menyangka upayanya untuk mengamankan aset digital dalam bentuk bitcoin, justru berakhir dengan kehilangan semua tabungan.

Bulan lalu, dia bermaksud memeriksa saldo bitcoinnya, dan mencari "Trezor" di App Store di iPhone-nya. Trezor adalah perangkat keras kecil yang dia gunakan untuk menyimpan mata uang kripto.

Dia kemudian mengunduh aplikasi itu dan mengetikkan kata sandinya. Naas, dalam sekejap, hampir semua tabungan hidupnya - berisi 17,1 bitcoin senilai US$ 600 ribu atau setara hampir Rp9 miliar pada saat itu - hilang. Aplikasi itu palsu, dirancang untuk mengelabui orang agar mengira itu adalah aplikasi asli.

Tapi Christodoulou lebih marah kepada Apple daripada pencuri itu sendiri. Sebab, menurutnya, Apple memasarkan App Store sebagai tempat yang aman dan terpercaya, di mana setiap aplikasi ditinjau sebelum diizinkan muncul di App Store untuk diunduh pengguna iPhone.

Christodoulou, yang pernah menjadi pelanggan setia Apple, mengatakan dia tidak lagi mengagumi perusahaan tersebut.

"Mereka mengkhianati kepercayaan yang saya miliki pada mereka," katanya dalam sebuah wawancara dengan The Washington Post.

“Apple tidak pantas lolos begitu saja,” tambahnya.

Apple menggembar-gemborkan App Store-nya sebagai "toko aplikasi paling tepercaya di dunia", tempat setiap kiriman dipindai dan ditinjau, memastikannya aman, terjamin, berguna, dan unik. Namun faktanya, mudah bagi penipu untuk menghindari aturan Apple.

Pengembang aplikasi kriminal dapat menerobos aturan Apple dengan mengirimkan aplikasi yang tampaknya tidak berbahaya untuk mendapatkan persetujuan dan kemudian mengubahnya menjadi aplikasi phishing yang mengelabui orang agar memberikan informasi mereka. Ketika Apple mengetahuinya, perusahaan mengatakan segera menghapus aplikasi dan memblokir pengembang aplikasi, kata perusahaan itu. Tapi itu sudah terlambat bagi mereka yang jadi korban penipuan.

Penipuan kripto juga umum terjadi di Google Android dan di Web. Tetapi kehadiran mereka di Apple App Store lebih mengejutkan karena Apple mengatakan mereka mengatur toko dan memeriksa setiap aplikasi, yang menciptakan tingkat kepercayaan konsumen yang tinggi. Komisi 15 hingga 30 persen yang diambil Apple untuk semua penjualan di App Store digunakan untuk mendanai pengalaman pelanggan yang "sangat dikurasi", kata perusahaan itu.

“Kepercayaan pengguna adalah dasar dari mengapa kami menciptakan App Store, dan kami hanya memperdalam komitmen itu di tahun-tahun sebelumnya,” kata juru bicara Apple Fred Sainz.

“Studi demi studi menunjukkan bahwa App Store adalah pasar aplikasi paling aman di dunia, dan kami terus bekerja untuk mempertahankan standar tersebut dan lebih memperkuat perlindungan App Store. Dalam kasus terbatas saat penjahat menipu pengguna kami, kami mengambil tindakan cepat terhadap aktor tersebut serta untuk mencegah pelanggaran serupa di masa mendatang,” katanya.

Kemampuan aplikasi jahat untuk mengelabui deteksi oleh App Store, menimbulkan pertanyaan tentang keefektifan proses peninjauan Apple untuk menghentikan penipu. Apple tidak akan mengatakan seberapa sering penipuan ini muncul, atau seberapa sering penipuan ini dihapus. Tapi dikatakan telah menghapus 6.500 aplikasi untuk "fitur tersembunyi atau tidak berdokumen" tahun lalu. Apple berdalih keselamatan pengguna sebagai alasan membela diri terhadap tuduhan dari pembuat undang-undang, regulator, dan pesaing bahwa perusahaan melakukan monopoli atas distribusi aplikasi di iPhone.

“Apple sering mendorong mitos tentang privasi dan keamanan pengguna sebagai perisai terhadap praktik App Store anti-persaingannya,” kata Meghan DiMuzio, direktur eksekutif Koalisi untuk Keadilan Aplikasi, yang dibentuk untuk melawan kekuasaan Apple atas App Store-nya.

“Sebenarnya, 'standar' keamanan Apple tidak diterapkan secara konsisten di seluruh aplikasi dan hanya diterapkan jika menguntungkan Apple,” katanya.

Apple mengakui ada penipuan mata uang kripto lainnya di App Store tetapi tidak mengatakan berapa banyak. Apple tidak akan mengatakan apakah aplikasi Trezor palsu telah menyelinap ke App Store di masa lalu, atau apakah aplikasi baru yang disebut "Trezor" akan ditandai sebagai berpotensi penipuan di masa mendatang.

Coinfirm, sebuah perusahaan yang berbasis di Inggris yang berspesialisasi dalam regulasi cryptocurrency dan melakukan investigasi penipuan, mengatakan telah menerima lebih dari 7.000 pertanyaan tentang aset crypto yang dicuri sejak Oktober 2019. Aplikasi palsu di Google Play Store Android dan Apple App Store adalah hal biasa, kata Pawel Aleksander, kepala informasi perusahaan.

Coinfirm mengatakan lima orang telah melaporkan cryptocurrency dicuri oleh aplikasi Trezor palsu di iOS, dengan total kerugian senilai US$ 1,6 juta. Ada tiga laporan aplikasi Trezor palsu di Android yang mencuri total US$ 600 ribu dalam bentuk cryptocurrency.

Apple tidak akan memberi nama pengembang aplikasi Trezor palsu atau memberikan informasi kontak pengembang. Apple tidak akan mengatakan apakah mereka menyerahkan nama tersebut kepada penegak hukum atau apakah itu menyelidiki pengembang lebih lanjut. Apple juga tidak akan mengatakan apakah pengembang tersebut telah mengembangkan aplikasi lain di masa lalu atau memiliki koneksi ke akun pengembang lain dengan nama yang berbeda.

“Kami tidak mengizinkan aplikasi yang menyesatkan pengguna dengan meniru aplikasi, pengembang, atau perusahaan lain, dan ketika kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata juru bicara Google Colin Smith.

Google mengatakan mengetahui dua aplikasi Trezor palsu telah muncul di Google Play Store. Mereka menghapus keduanya. Tidak disebutkan bagaimana aplikasi Trezor berhasil masuk ke toko. Tidak ada juga keterangan apakah mereka melaporkannya ke penegak hukum, atau berapa banyak aplikasi scam lain yang ditemukan di toko aplikasinya. Tidak disebutkan juga apakah mereka menyelidiki para pengembang. Sementara firma analitik, App Figures, menemukan delapan aplikasi Trezor palsu muncul di Play Store.

Dari semua penipuan internet, pencurian cryptocurrency adalah salah satu yang paling menguntungkan bagi pencuri. Jutaan dolar dalam mata uang digital dapat dicuri dalam sepersekian detik, dan perampokan kripto terkenal telah menjaring  sebanyak US$ 530 juta, yang terjadi dalam peretasan Coincheck pada tahun 2018.

Pada tahun 2014, Apple melarang dompet kripto di App Store tetapi kemudian memulihkannya pada tahun yang sama. Apple tidak mengizinkan aplikasi penambangan cryptocurrency, dan menempatkan pembatasan ekstra pada aplikasi dompet kripto.

Untuk lebih mengamankan investasi mereka, orang-orang yang memiliki mata uang kripto mentransfer investasi mereka ke "dompet perangkat keras", yang seperti flash disk USB yang menyimpan informasi rahasia dan sensitif yang dibutuhkan pencuri untuk mencuri mata uang kripto seseorang.

Dompet perangkat keras dihubungkan ke komputer melalui koneksi USB. Dengan mengetikkan PIN dan terkadang kata sandi tambahan, dompet perangkat keras dapat diakses dan digunakan untuk melakukan transaksi. Jika dompet perangkat keras hilang atau hancur, informasi tersebut dapat dipulihkan dengan "frasa awal" rahasia. Beberapa orang menyimpan frase awal di brankas, berharap mereka tidak perlu menggunakannya, atau terukir pada logam tahan lama yang dapat bertahan dari api. Para penipu menggunakan phishing untuk mengelabui orang agar melepaskan frasa awal mereka.

Trezor yang asli

Trezor, yang berbasis di Republik Ceko dan dimiliki oleh perusahaan bernama Satoshi Labs, adalah pembuat dompet perangkat keras terkenal. Trezor tidak memiliki aplikasi seluler, tetapi pencuri crypto membuat yang palsu dan meletakkannya di App Store Apple pada bulan Januari dan Google Play Store pada bulan Desember, menurut perusahaan tersebut, menipu beberapa pelanggan Trezor yang tidak curiga untuk memasukkan frasa benih mereka.

Kristyna Mazankova, juru bicara Trezor, mengatakan perusahaan telah memberi tahu Apple dan Google selama bertahun-tahun tentang aplikasi palsu yang menyamar sebagai produk Trezor untuk menipu pelanggannya. Trezor tidak pernah memiliki aplikasi seluler, meskipun perusahaan sedang mengerjakannya. Dia mengatakan proses pelaporan aplikasi itu "menyakitkan" dan perwakilan Apple dan Google belum menghubungi.

Mazankova mengatakan Trezor memberi tahu Apple tentang aplikasi peniru pada 1 Februari. Apple menghapus aplikasi pada 3 Februari, tetapi muncul lagi beberapa hari kemudian, menurut Christodoulou, sebelum dihapus lagi.

Meskipun disebut Trezor dan menggunakan logo dan warna Trezor, ia merepresentasikan dirinya sebagai aplikasi "kriptografi" yang akan mengenkripsi file iPhone dan menyimpan kata sandi, menurut Apple. Pengembang aplikasi Trezor palsu memberi tahu tim peninjau Apple bahwa "tidak terlibat dalam mata uang kripto apa pun". Apple menyetujui aplikasi tersebut dan muncul di App Store pada 22 Januari, menurut perusahaan analitik seluler Sensor Tower.

Beberapa waktu kemudian, tanpa sepengetahuan Apple, aplikasi kriptografi Trezor berubah menjadi dompet cryptocurrency. Apple tidak mengizinkan perubahan semacam ini, tetapi Apple mengatakan tidak tahu kapan itu terjadi. Itu bergantung pada pengguna dan pelanggan untuk melaporkannya ketika itu terjadi, kata perusahaan itu.

Setelah Trezor melaporkan aplikasi palsu tersebut ke Apple, Apple mengatakan telah menghapus aplikasi tersebut dan melarang pengembangnya. Dua hari kemudian, aplikasi Trezor palsu lainnya muncul. Apple juga menghapus aplikasi itu. Apple tidak mengatakan bagaimana mereka mengetahui tentang aplikasi palsu tersebut, tetapi mengatakan menghapusnya karena mereka curang.

Sensor Tower mengatakan aplikasi Trezor muncul di Apple App Store setidaknya dari 22 Januari hingga 3 Februari dan tampaknya telah diunduh sekitar 1.000 kali. Aplikasi ini diunduh sekitar 1.000 kali di Android, tetapi Sensor Tower tidak mengumpulkan data kapan tepatnya aplikasi itu tersedia.

James Fajcz, seorang insinyur keandalan di sebuah perusahaan kertas yang tinggal di Savannah, Ga., juga menjadi korban aplikasi Trezor palsu. Pada bulan Desember, ketika dia melihat harga aset digital itu melonjak naik, dia membeli Ethereum dan bitcoin senilai US$ 14.000 di Coinbase dan Binance dengan uang tabungannya.

Karena ingin memastikan investasinya aman, dia membeli dompet perangkat keras Trezor Model T dan mengunduh aplikasi di iPhone-nya yang disebut Trezor, yang menanyakan frasa awalnya. Aplikasi tidak terhubung ke dompet Trezor-nya, dan dia pikir itu tidak berfungsi.

Beberapa minggu kemudian, dia membeli lebih banyak Ethereum di Coinbase. Dia mencolokkan perangkat Trezor-nya, tetapi tidak ada apa-apa di sana. Dia lalu datang ke forum dukungan Trezor di Reddit untuk mendapatkan jawaban. Sebuah poster Reddit memberitahunya: Tidak ada aplikasi Trezor.

“Rahangku jatuh ke lantai. Hati saya hancur, ”katanya. "Saya menyadari apa yang saya lakukan."

Fajcz mengatakan dia menelepon saluran dukungan Apple. Seorang perwakilan Apple mengatakan perusahaan tidak bertanggung jawab, kata Fajcz.

"Ini adalah aplikasi tepercaya di App Store yang mengklaim sebagai toko aplikasi terbaik dan tepercaya di sistem mana pun," katanya.

“Dan aplikasi jahat ini masuk ke platform? Saya merasa Apple harus bertanggung jawab sebagian atau sepenuhnya untuk itu," tambah Fajcz.

Selama beberapa tahun, Christodoulou telah mengumpulkan 18,1 bitcoin. Pada awal pandemi virus korona, masing-masing bernilai sekitar US$ 5.500. Pada bulan Oktober, harganya mulai meroket, mencapai US$ 60.000 pada awal tahun ini.

Christodoulou berharap kepemilikan bitcoin-nya akan membantu menyelamatkan bisnis dry-cleaningnya, yang hancur selama pandemi. Pada 1 Februari, dia ingin dapat memeriksa saldo bitcoin menggunakan ponselnya, bukan komputer. Jadi dia memeriksa App Store, mengunduh aplikasi Trezor palsu dan memasukkan frase benihnya.

Segera setelah itu, dia mencolokkan dompet perangkat keras Trezor ke komputernya dan login untuk memeriksa saldo. Semuanya hilang.

Malam itu, Christodoulou membuka lagi App Store lagi untuk melihat review lebih dekat. Sebelum dihapus, aplikasi Trezor memiliki 155 ulasan di App Store dengan peringkat hampir lima bintang, menurut firma analitik App Figure. Ketika Christodoulou membuka ulasan tertulis, dia membaca keluhan dari orang lain yang telah ditipu dengan cara yang sama. Peringkat bintang lima yang membantu membuat aplikasi tampak sah pasti palsu, simpulnya.

Christodoulou menelepon dukungan pelanggan Apple dan seorang perwakilan mengatakan dia akan meneruskannya ke supervisor. Dia mengatakan dia juga memberi tahu Apple dan mengajukan laporan ke FBI. Lauren Hagee Glintz, juru bicara FBI, menolak mengomentari laporan tersebut.

Chainalysis, sebuah firma analisis blockchain komersial, meninjau dokumen yang disediakan oleh Fajcz dan Christodoulou dan mengonfirmasi bahwa cryptocurrency mereka dipindahkan dari dompet mereka ke akun yang mencurigakan. Kedua pencurian itu tampaknya terkait, kata Madeleine Kennedy, juru bicara Chainalysis. “Ada bukti bahwa ini adalah penipuan besar yang menghasilkan ratusan ribu dolar,” katanya.

Hanya satu dari 18,1 bitcoin Christodoulou yang disimpan karena dia mentransfernya ke layanan tabungan bitcoin yang disebut BlockFi. Pada saat pencurian, 17,1 bitcoin yang dicuri bernilai US$ 600.000, tetapi nilainya kini telah naik lagi menjadi US$ 1 juta.

Christodoulou mengatakan dia minum obat dan menemui psikiater. “Itu menghancurkan saya. Saya masih belum pulih dari itu," katanya.

Dia juga masih belum mendengar kabar lanjutan dari Apple.[]