Cyberthreat.id – Sebanyak 21.113 kredensial pengguna yang dipakai untuk mengakses layanan online kantor pajak diduga telah dibobol peretas dan dibocorkan di darkweb.

Layanan yang ditarget peretas mulai situsweb vpn.pajak.go.id hingga efiling.pajak.go.id. Kredensial pengguna yang bocor di internet itu mencakup di 21 domain seperti di tabel bawah ini.

---

Disortir dari laporan DarkTracer.

---

Informasi tersebut terungkap dalam laporan serangan perangkat lunak jahat (malware) pencuri informasi alias stealer malware yang dikeluarkan lembaga riset intelijen dark web, DarkTracer. (Baca: Kredensial 1.900 Situsweb Pemerintah Indonesia Dicuri Malware Stealer)

“1.753.658 kredensial dari 49.880 situsweb pemerintah telah bocor dari pengguna yang terinfeksi malware pencuri. Pengguna dapat mencakup pengguna pemeritnah atau pengguna publik dari layanan publik pemerintah,” tulis DarkTracer tentang temuannya tersebut di akun Twitter, Selasa (2 Maret 2022).

Laporan tersebut mencakup domain pemerintah di seluruh dunia, salah satunya pemerintah Indonesia. Dalam amatan Cyberthreat.id, terdapat 1.900 domain pemerintah yang masuk daftar target peretas.

Dari jumlah domain tersebut, total 268.945 kredensial milik pengguna layanan web pemerintah tersebut telah dibocorkan di internet. Perlu diketahui, pengguna layanan ini tak sebatas warga, tapi juga pegawai kantor pajak.

DarkTracer mengatakan, laporan internal itu didukung oleh modul kumpulan data yang diretas, bersumber dari 100 miliar mahadata di seluruh darkweb  dan deepweb.

Sayangnya, DarkTracer tak menyebutkan kredensial pengguna apa saja yang dicuri. Namun, umumnya, kredensial pengguna layanan online bisa saja mencakup username, password, email, dan lain-lain. (Baca: 4.145 Pegawai Pemerintah Indonesia Terinfeksi Malware Stealer, Kredensial Login DIbocorkan di Darkweb)

Peneliti keamanan siber Adi Saputra mengatakan, serangan malware pencuri murni karena kesalahan pada pengguna karena perangkat yang dipakai telah disusupi malware.

Kebocoran kredensial itu bukan berasal dari server situsweb atau layanan online pemerintah.

Namun, Adi menegaskan, dalam kasus infeksi malware pencuri, informasi sensitif tidak hanya terbatas pada akun layanan publik, misal layanan pajak.

Sepanjang pengguna menggunakan perangkat yang terinfeksi mengakses akun online lain, kemungkinan besar kredensial terkait akun tersebut bisa diakses oleh peretas.

Hal itu lantaran malware pencuri informasi biasanya mengandung alat keylogger yang bisa membaca setiap yang diketikkan pengguna, kata Adi kepada Cyberthreat.id, Jumat (4 Maret 2022).

Selain itu, malware pencuri juga memiliki kemampuan untuk mencuri cookies pada peramban web yang dipakai pengguna. Jika pengguna sering menyimpan username dan password akun online di peramban web, kemungkinan besar informasi tersebut bisa dicuri oleh malware.

Dari mana serangan dimulai? Adi menjelaskan malware pencuri bisa menginfeksi perangkat pengguna melalui email phishing.

Aktor ancaman umumnya melampirkan file atau memberikan sebuah tautan untuk diklik pengguna yang ditargetkan.

Ketika pengguna tergiur untuk mengklik atau mengunduh file bahaya itu dan menjalankannya, malware mulai menginfeksi perangkat pengguna. Sesuai dengan perintah dan kontrol operator, malware mulai mengumpulkan data-data yang dicari, seperti kredensial login dan lain-lain.

Pencurian kredensial juga bisa dilakukan oleh peretas melalui tautan phishing atau jebakan. Tautan ini mengarahkan pada login di halaman web yang mirip dengan situsweb yang ditargetkan.

Dalam amatan Adi, jenis-jenis malware pencuri yang beredar di Indonesia, antara lain Redline, Formbook, Loki, Raccoon, AVE Maria, Pony, Azorult, dan Predator.

Pada 2020, Badan Siber dan Sandi Negara mengumumkan nama-nama malware pencuri ini. Ada lima malware pencuri yang menyebabkan 79.439 pelanggaran data di Indonesia sepanjang 2020. Kelima malware ini memiliki ciri khas yang sama yaitu mencuri informasi kredensial seperti username, password, email, kartu kredit, dan lain-lain.

Jenis malware tersebut, antara lain Russian password, Vidar stealer, AzorUlt Botne, Smoke Loader, Racoon stealer, dan Predator stealer. Dari kelimanya, jenis Russian password dan Vidar stealer paling banyak memakan korban. (Baca: 5 Malware Pencuri yang Memicu Insiden Data Breach pada 2020)

Bahaya serangan malware pencuri

Ancaman nyata dari serangan malware ini adalah kebocoran data. Ini lantaran peretas bisa berperilaku sebagai pengguna aslinya setelah mengakses layanan online dengan kredensial yang dicurinya.

Pencurian hingga manipulasi data sangat dimungkinkan terjadi; ancaman ini sangat rawan bagi bagi pemilik kredensial yang dicuri.

Jawaban Ditjen Pajak

Direktorat Jenderal Pajak (DJP) Kementerian Keuangan memastikan data DJP termasuk data wajib pajak yang disimpan “dalam kondisi aman dan dapat diakses sebagaimana biasanya.”

Berdasarkan investigasi internal, kebocoran data diduga berasal dari perangkat pengguna yang terinfeksi malware, kemudian digunakan untuk masuk ke dalam situsweb pemerintahan.

“Saat ini, kebocoran data (leak) diduga berasal dari perangkat pengguna (user) yang terinfeksi malware,” tutur Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat Neilmaldrin Noor dalam sebuah pernyataan di situsweb DJP, Kamis (3 Maret).

DIkarenakan kebocoran dari sisi pengguna, DJP menyarankan agar pengguna situsweb pajak.go.id dan wajib pajak secara luas segera mengganti kata sandi.

Noor meminta agar kata sandi yang dibuat lebih kuat dan aman agar tidak mudah diretas.

Selain itu, wajib pajak perlu juga memasang antivirus terbaru di perangkat masing-masing dalam upaya menghindari infeksi malware, katanya.[]