Setengah juta aplikasi malware untuk penipuan diciptakan per hari. Siapa terlibat?
Begitu mudahnya membuat aplikasi scam. Di Vietnam — satu dari 10 pusat utama kejahatan siber global — program Talking Point menemukan bahwa seorang remaja dengan seperangkat komputer pun bisa ciptakan aplikasi malware.
HANOI: Dalam waktu satu jam saja, seseorang dapat menciptakan perangkat lunak berbahaya untuk mengakses hampir semua fitur ponsel korban — kamera, pesan, panggilan, penyimpanan, mikrofon, lokasi, hingga kontak.
Bekerja untuk Pusat Keamanan Siber Nasional Vietnam, ahli keamanan siber Ngo Minh Hieu menemukan bahwa lebih dari 500 ribu aplikasi malware semacam ini dibuat per hari.
Menurut Otoritas Keamanan Informasi Vietnam, penipuan online di negara tersebut meningkat 64 persen pada paruh pertama 2023 ketimbang periode yang sama tahun lalu.
Makin banyak insiden terkait malware dalam lima tahun terakhir, kata Nguyen Quang Dong, direktur Institut Studi Kebijakan dan Pengembangan Media di Vietnam.
Penipuan dunia maya yang marak di sana menjadikan Vietnam satu dari 10 pusat utama kejahatan siber dunia menurut Global Tech Council — demikian temuan program Talking Point saat menelusuri berbagai penipuan malware yang muncul di Singapura tahun ini.
DULU SCAMMER, KINI PEMBURU ANCAMAN SIBER
Menurut kepolisian Singapura, antara Januari dan Agustus lalu, lebih dari 1.400 korban di Singapura mengalami kerugian finansial setidaknya S$20,6 juta (hampir Rp240 miliar).
Menurut Ang Hua Huang, asisten pengawas di pusat komando anti-scam yang baru saja diresmikan oleh Kepolisian Singapura, sebagian besar pelaku terkait penipuan malware berperan sebagai bagal uang (money mule).
Beberapa remaja pun ikut ditangkap karena diduga terlibat.
"Orang-orang ini menyerahkan rekening bank atau bahkan menjual kredensial Singpass mereka karena tawaran kerja lewat Telegram," kata Hua Huang. Pelaku scam lantas mentransfer uang dari rekening bank korban ke rekening bank lokal.
"Mereka memfasilitasi sindikat-sindikat penipuan melakukan pencucian uang di luar negeri."
Sindikat-sindikat ini biasanya berpusat di negara-negara tetangga, imbuh Hua Huang.
Sementara itu di Vietnam, mayoritas penipu malware adalah anak-anak muda, ujar Dong, dan kebanyakan beroperasi sendiri-sendiri.
"Anak-anak muda di sini jago teknologi. Mereka tech-savvy. Dan sebagian orang belajar sendiri. Mereka belajar berbagai keterampilan (meretas)," ujarnya.
Vietnam memang tak kekurangan jagoan teknologi — ilmu komputer diwajibkan di sebagian besar sekolah umum di Hanoi dan Ho Chi Minh sejak kelas tiga sekolah dasar. Di sekolah menengah atas, para siswa wajib belajar coding di kelas-kelas IT.
Saat ini, Vietnam dikenal sebagai salah satu negara di Asia dengan sumber daya manusia berteknologi tinggi terbaik.
Hieu sendiri sedikit banyak tahu seluk-beluk penipuan malware. Di usia 14 tahun, dia “iseng-iseng” mulai meretas. Dua tahun kemudian, ia mulai mencuri informasi kartu kredit, dan uangnya ia gunakan untuk turut membiayai kuliahnya di Selandia Baru.
Di umur 23 tahun, targetnya jauh lebih besar: mencuri data pribadi 200 juta warga Amerika Serikat dari lokasinya di Vietnam. Tahun 2013, dia ditangkap dan dihukum 13 tahun penjara.
Pada 2019, Hieu dibebaskan karena berkelakuan baik. Ia lantas bergabung dengan pemerintah, memburu para penjahat siber.
LOKAPASAR PERANGKAT JAHAT
Pembuatan malware sudah begitu marak, alat-alatnya bahkan tersedia secara luas. Disebut perangkat lunak sumber terbuka, para penipu bisa menggunakannya untuk membuat aplikasi secara otomatis. Inilah "langkah pertama" bagi kebanyakan peretas saat ini, kata Hieu.
Layaknya prasmanan, peretas bebas memilih fitur aplikasi — kemampuan akses ke pesan-pesan pada ponsel korban, misalnya — dan produk akhir bisa diterima satu jam kemudian.
Berbagai sumber daya peretasan dan penipuan juga mudah ditemukan di aplikasi Telegram, tempat para pengembang berbagi tip dan trik.
Menurut Hieu, penipu tanpa pengalaman teknis pun bisa membeli aneka aplikasi malware dengan mudah lewat platform e-commerce eBay. Berlangganan "layanan malware" atau "layanan phishing" juga bisa dilakukan melalui Telegram, yakni dengan membayar US$300 (Rp4,7 juta) hingga US$500 (Rp7,7 juta) untuk dapat mengakses malware pilihan selama sebulan.
Menurut Vu Ngoc Son, direktur teknis Perusahaan Teknologi Keamanan Siber Nasional Vietnam, ada malware baru yang tidak terdeteksi perangkat lunak antivirus. Artinya, bisa jadi peringatan tidak muncul sebelum pengunduhan malware tersebut.
Ada pula beberapa "insiden kalangan atas" yang menargetkan politisi atau jurnalis tertentu untuk mencuri informasi, ujar Hieu. "Butuh banyak biaya dan waktu untuk fokus meneliti berbagai kerentanan (pada ponsel) ini."
Ia memperingatkan, apa pun bisa terjadi seiring waktu, baik itu terhadap Android, Windows, maupun iOS. "(Fitur-fitur keamanan) ponsel tidak akan bisa 100 persen mengejar laju perakitan malware. Tiap hari saya menemukan lebih dari setengah juta malware baru."
AKSI PIHAK BERWENANG
Vietnam, seperti halnya Singapura, baru-baru ini membentuk satu departemen yang fokus pada penanganan kejahatan dunia maya.
"Kami selalu memperoleh informasi terbaru lewat peringatan-peringatan berita dari berbagai perusahaan atau bisnis keamanan siber yang memperingatkan kami tentang kelompok-kelompok hacker penyebar malware dari Vietnam," ujar Letkol Trieu Manh Tung, wakil direktur departemen keamanan siber dan pencegahan kejahatan teknologi tinggi, bagian dari Kementerian Keamanan Publik Vietnam.
"Untuk beberapa kasus kami berhasil ... mengidentifikasi para pelaku pembuat dan penyebar malware, serta saling tukar informasi dengan lembaga-lembaga penegak hukum luar negeri demi penanggulangan bersama."
Departemen ini juga menjalankan kampanye pengawasan keamanan siber guna "secepatnya mengungkap berbagai perilaku yang berbahaya bagi masyarakat" serta secara rutin memberi rekomendasi kepada pemerintah dan berbagai ormas terkait peningkatan kesadaran masyarakat akan keamanan siber, imbuh Tung.
"Terutama (mendidik) anak muda bahwa penggunaan malware untuk merusak sistem informasi adalah pelanggaran hukum."
Di Singapura, Otoritas Moneter Singapura (MAS) dan Otoritas Pengembangan Media Infokom (IMDA) akhir Oktober lalu mengusulkan cara bagi perusahaan dan konsumen untuk bersama-sama menanggung kerugian akibat penipuan.
Jika terbukti lalai, lembaga keuangan maupun perusahaan telekomunikasi bisa jadi harus memberikan kompensasi kepada para pelanggan yang menjadi korban penipuan.
Kelalaian ini dapat berupa kegagalan bank untuk mengirimkan peringatan transaksi keluar kepada konsumen atau kegagalan perusahaan telekomunikasi untuk menerapkan filter pencegah penipuan via SMS. Sebagai ancang-ancang, kerangka kerja ini akan fokus pada phishing.
Menurut MAS dan IMDA, kerangka kerja ini belum memasukkan poin penipuan malware karena relatif baru. Selain itu, langkah-langkah mitigasi risiko pun masih terus bergulir, sehingga menetapkan tanggung jawab khusus bagi berbagai pemangku kepentingan dinilai “terlalu dini”.
Sebagai contoh, bank-bank ritel besar di Singapura telah meluncurkan pembaruan keamanan anti-malware terkini dan berencana memperkenalkan fitur "money lock", memungkinkan pelanggan untuk menyisihkan sejumlah uang yang tidak dapat ditransfer secara digital tanpa otentikasi ketat.
Baca artikel ini dalam bahasa Inggris di sini.
