Cyberthreat.id – Sebanyak 30.000 data warga AS dicuri dengan modus SMS phishing yang dijalankan oleh dua tersangka asal Jawa Timur. (Baca: 30 Ribu Warga AS Terkena SMS Phishing, Polda Jatim: Tersangka Curi Rp837 Miliar Bantuan Covid-19)

Kedua tersangka, Shofiansyah Fahrur Rozi (SFR) dan Michael Zeboth Melki Sedek Boas Purnomo(MZMSBP), ditangkap Ditreskrimsus Polda Jatim pada 1 Maret 2021 di kamar Hotel Quest Nomor 902 di Jalan Ronggolawe No. 27-29, Surabaya, Jatim.

Menurut Kapolda Jatim Irjen Nico Afinta, dua tersangka memiliki peran berbeda. SFR bertugas menyebarkan SMS berisi situs web palsu, sedangkan MZMSBP berperan sebagai pembuat situs web palsu.

Ada 14 situs web palsu yang menyerupai situs web Pemerintah AS. Semuanya tidak menggunakan domain .gov (government)—domain ini dipakai untuk kantor-kantor pemerintah AS—tapi, dengan domain publik berbagai macam, seperti .ly, .com, .info, .link, dan .net.

Menyalin kode sumber

Untuk membuat situs web palsu tersebut tampak terlihat sah dan resmi, tersangka mengambil atau menyalin source code atau bahasa pemrograman situs web asli.

Setelah menyalinnya, tersangka menyimpan source code itu dan disesuaikan dengan tampilan situs web palsu yang ingin dibuat. Tersangka mengedit source code yang disalinnya menggunakan perangkat lunak PHP Storm, demikian seperti dikutip dari Tribrata News Polda Jatim, diakses Jumat (16 April 2021).

Di situs web palsu itulah, tersangka mengumpulkan data pribadi dari 30.000 warga AS. Semua data yang diisi atau diunggah oleh para korban ke situs web palsu itu terkirim otomatis ke email result yang telah disiapkan tersangka.

Data-data yang diminta pada situs web palsu itu, antara lain nama, alamat lengkap, SSN (Social Security Number/Nomor Jaminan Sosial), Driver License Number (SIM), dan nomor telepon.

SMS phishing

Di dunia keamanan siber, kejahatan yang dilakukan keduanya tersebut disebut phishing.

Serangan phishing biasanya disebarkan oleh penjahat siber melalui email yang berisi sebuah tautan yang mengarahkan korban untuk mengklik situs web palsu yang mengumpulkan data. Agar korban mau mengisi data pribadi di halaman web palsu itu, penjahat siber biasa membuat pesan yang mengelabui atau iming-iming tertentu sehingga korban mau mengisi dengan sukarela.

Dalam, kasus lain, phishing juga biasa disebarkan melalui pesan pendek seluler (SMS), maka sering dikenal sebutan SMS phishing atau Smishing.

SFR bertindak menyebarkan SMS blast (pengiriman ke banyak orang secara sekaligus) ke 27 juta nomor seluler warga AS. Untuk mengirimkan SMS itu, kata Nico, SFR memanfaatkan Twilio, perangkat lunak layanan SMS dan telepon berbayar.

Tak hanya perangkat lunak itu, tersangka juga menggunakan perangkat lunak scriptdedupe.py untuk memastikan agar tidak terjadi duplikasi pengiriman SMS ke nomor ponsel korban.

Isi pesan SMS

SMS yang dikirimkan dalam bahasa Inggris itu berkedok atas nama pemerintah AS. Si penerima SMS diminta untuk memperbarui datanya melalui tautan yang terlampir di pesan tersebut.

Berikut ini salah satu isi SMS yang dikirimkan SFR kepada warga negara AS:

"alert from NyDMV: We are sorry to inform you due to our regulation-compliant update, you must update your contact information. For more info visit: ow.ty/3k02423k0"

"Yang tertipu sekitar 30 ribu orang yang tersebar di 14 negara bagian AS," kata Nico.

Nico mengatakan data itu selanjutnya dikirim kepada tersangka S, warga India yang masih buron, melalui aplikasi pesan daring WhatsApp dan Telegram.

Daftarkan bantuan Covid-19

Dari data curian itulah, tersangka kemudian mengajukan permintaan bantuan dana Covid-1 ke pemerintah AS melalui program Pandemic Unemployment Assistance (PUA). Data pribadi curian itu oleh tersangka juga dijual seharga US$100 per orang.

Nico mengatakan S berperan “mencairkan dana bantuan bagi para warga negara AS yang pengangguran" karena terdampak pandemi.

S berhasil mendapatkan US$2.000 per orang. Jika dihitung dengan jumlah data curiannya, tersangka berpotensi mendapat US$60 juta (Rp837 miliar).

"Orang-orang yang kena tipu mengisi data bantuan Covid-19. Apabila sesuai [datanya], [mereka] mendapat US$2.000, yang seharusnya diterima oleh korban, tapi justru kepada tersangka," kata Nico.

Motif tersangka, kata Nico, memang untuk mendapatkan keuntungan pribadi. Kedua tersangka mendapatkan upah dari S berupa mata uang kripto, Bitcoin, yang bisa dikonversikan menjadi mata uang rupiah. SFR mendapat US$30.000 (Rp420 juta), sedangkan MZMSBP lebih dari Rp60 juta.

Kedua tersangka dijerat pasal 35 Jo Pasal 51 ayat (1) Undang-Undang RI Nomor 19 tahun 2016 tentang Perubahan atas Undang-Undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) Jo Pasal 55 ayat (1) KUHP dan Pasal 32 ayat (2) Jo Pasal 48 ayat (2) UU ITE Jo Pasal 55 ayat (1) KUHP.[]

Redaktur: Andi Nugroho