Pengibul Online dan Negara

KEJAHATAN datang bukan karena ada niat dari pelakunya, tapi juga karena ada kesempatan.

Kata-kata pesan “Bang Napi” (diperankan oleh almarhum Arie Hendrosaputro) di akhir sebuah program siaran kriminal di sebuah stasiun televisi swasta itu tepat untuk menggambarkan insiden siber satu ini.

Kasus ini terbilang besar karena menimpa empat badan usaha milik negara (BUMN) Puerto Rico. Tak tanggung-tanggung, uang sebesar US$ 4 juta atau sekitar Rp 55 miliar raib.

Disebutkan dalam laporan Associated Press, sebagian dana yang raib itu, yaitu sekitar US$ 2,9 juta atau sekitar Rp 40 miliar, telah dibekukan oleh Biro Investigasi Federal (FBI). Namun, belum jelas, berapa uang yang benar-benar diambil oleh penjahat itu.

Apa pasalnya? Dikibuli penjahat siber.

Penipuan adalah trik kejahatan tertua, paling tradisional, yang dipakai sejak zaman baheula hingga modern canggih seperti sekarang.

Kini, trik jerat para pengibul telah berevolusi di era digital. Dikenallah istilah scamming atau trik konfidensi. Seseorang atau suatu kelompok tertentu sengaja mendesain sebuah kabar elektronik di dunia maya yang bertujuan mengambil untung; dengan modus “kibal-kibul” tadi.

Serangan kibul online itu berawal dari kampanye surat elektronik (surel) phishing yang diterima empat BUMN Puerto Rico itu, dua di antaranya dialami Puerto Rico Industrial Development Co dan Puerto Rico Tourims Co.

Laporan kepolisian baru dilakukan Direktur Keuangan Puerto Rico Industrial Development Co, Ruben Rivera, pada Rabu pekan lalu. Menurut Rivera, uang itu ditransfer pada 17 Januari 2020 setelah menerima layanan surel palsu itu.

Surel itu berisi bahwa ada perubahan rekening perbankan terkait dengan pembayaran uang sebuah proyek yang sedang dijalankan.

Mengapa sebuah surel begitu meyakinkan?

Menurut AP, serangan penipuan itu bermula dari peretas yang membobol sistem komputer pegawai keuangan di Employee Retirement System (TASPEN-nya Puerto Rico, red) pada Desember 2019.

Peretas selanjutnya menyamar sebagai pegawai TASPEN tersebut. Pegawai palsu yang mengidentifikasi diri sebagai sosok perempuan itu mengirim surel ke berbagai lembaga pemerintah. Tujuannya, memberitahu bahwa ada perubahan alamat rekening bank.

Siasat si peretas itu berhasil. Pada Desember 2019, Puerto Rico Industrial Development Co mentransfer senilai US$ 63.000, lalu lebih dari US$ 2,6 juta pada Januari 2020. Sementara, Puerto Rico Tourims Co telah mengirim senilai US$ 1,5 juta pada Januari 2020. Alamat rekening si penipu itu berada di daratan AS.

Masalah pun terjadi ketika bagian keuangan TASPEN sama sekali belum menerima pengiriman uang dari lembaga-lembaga pemerintah. Sementara, lembaga-lembaga pemerintah menyatakan, telah mengirimkan uang. Saat itulah, “neraka” itu terbuka. Uang negara raib jutaan dolar.

Kejadian itu terjadi di saat negara persemakmuran Amerika Serikat itu tengah pemulihan akibat dilanda bencana alam beberapa waktu lalu.

Pasca kejadian itu, Jumat lalu, pemerintah Puerto Rico memberhentikan dua pegawai Puerto Rico Industrial Development Co dan satu pegawai dari Commerce and Export Company, menurut Infosecurity Magazine. Menurut perusahaan, mereka dianggap tidak mengikuti prosedur ketat ketika menerima email.

Baca:

• Penipuan BEC, Scammers Bobol US$ 1,04 Juta di Kanada
• Email Scam US$11 Juta, FBI Tangkap Pengusaha Sukses Nigeria
• Waspadai Aksi ‘Business Email Compromise’, Apa Itu?
• Ketahui Penipuan Email yang Menarget Karyawan, Menipu CEO

Paling sering dipakai

Serangan penipuan surel seringkali terjadi di lingkup swasta, tapi tak menutup kemungkinan terjadi di lembaga pemerintahan. Serangan ini terkenal dengan nama business email compromise (BEC) atau email account compromise (EAC).

Laporan tahunan FBI yang baru dirilis pekan lalu menyebutkan, kejahatan satu ini paling merugikan di AS sepanjang 2019. Setidaknya kalkulasi kerugian mencapai US$ 3,5 miliar alias sekitar Rp 47,9 triliun. (Baca: Penjahat BEC di AS Paling Untung Ketimbang Ransomware)

Kebanyakan metode ini dimulai dengan email phishing dan teknik rekayasa sosial (social hacking). Mengapa ini seringkali dipakai peretas atau pengibul online? Karena mudah untuk dieksekusi dan tidak memerlukan keterampilan coding canggih atau malware (malicious software) kompleks.

Lima faktor

Praktik kibal-kibul di online ini sudah sering kita dengar pula di masyarakat Indonesia. Namun, tampaknya, dan semoga, tak terjadi pada lembaga pemerintahan atau swasta. Meski kita tahu peranti atau perangkat teknologi informasi yang dimiliki pemerintah cenderung kuno atau tidak diperbarui.

Di Indonesia, memang kita tidak mendengar kabar ada peretas yang meminta uang tebusan karena terkena ransomware. Atau, terkena kejahatan penipuan semacam di atas. Namun, itu bukan berarti menunjukkan, bahwa Indonesia aman dari serangan siber. Justru, pernyataan BSSN bahwa sepanjang tahun lalu ada 220 juta upaya serangan adalah bukti Indonesia masuk wilayah paling rawan. Beberapa kali lembaga riset keamanan siber menyebutkan bahwa Indonesia menjadi target para peretas.

Baca:

• Indonesia Butuh Lebih Banyak Honeypot
• Malware Emotet Serang Kampus-kampus Indonesia
• Analis BSSN: Indonesia Masih Rawan Serangan WannaCry
• Ini 5 Jenis Serangan Siber Terbanyak Menyasar Indonesia

Banyak faktor yang bisa dianalisis terkait dengan fenomena serangan siber di Indonesia, mengapa tak begitu terbuka layaknya di Eropa atau AS? Di negara-negara Barat, perusahaan/lembaga pemerintahan yang terkena ransomware atau serangan malware justru sangat terbuka. Bahkan, ada yang terang-terangan membayar uang tebusan kepada si penjahat siber demi mengamankan data yang disandera.

Jelas, secara budaya dan teknologi, Indonesia sangat jauh dengan negara-negara Barat. Namun, setidaknya ada lima problem mendasar yang menurut saya menarik untuk dicermati soal isu keamanan siber di Indonesia. Pertama, terkena serangan siber menunjukkan aib perusahaan/institusi. Jika perusahaan/kantor pemerintah mengungkapkan adanya insiden, dianggap malah bisa memperburuk citra. Padahal, dengan terbuka kepada publik, justru itu adalah sikap kejujuran dan mengakui diri bahwa secara lembaga ada kekurangan. Jangan pernah menganggap diri superior dan selalu tampil baik. Tidak pernah ada sistem jaringan yang 100 persen aman. Faktor feodal dan budaya masyarakat kita yang cenderung “mikul duwur mendem jero” sangat menghambat di era digital saat ini. Falsafah itu tidak lagi kompatibel di era internet yang kian masif.

Kedua, budaya lapor insiden siber yang rendah. Badan Siber dan Sandi Negara (BSSN) memiliki layanan aduan siber. (Baca: Anda Mengalami Insiden Siber, Ini Cara Lapor ke BSSN). Memang, secara kelembagaan tak pernah ada laporan berapa jumlah kejadian yang diterima. Bagaimana bentuk-bentuk serangan yang terjadi? Atau, bagaimana kemudian saran BSSN kepada publik? Sejak 2018 beroperasi mereka hanya menangani sesuai permintaan pelapor. Padahal, BSSN sebagai lembaga pemerintahan, juga memiliki andil untuk terbuka kepada publik. Jika tak pernah dikemukakan atau dikenalkan kepada publik, bagaimana literasi insiden siber semakin dipahami publik?

Ketiga, kekurangpahaman pegawai/karyawan. Ketika lembaga semacam BSSN saja kurang bisa terbuka soal laporan kejadian, bagaimana pegawai/karyawan juga terinformasi? Sosialisasi antarlembaga tidak menjamin bahwa pegawai/karyawan bisa langsung paham. Justru, terbuka melalui media massa, adalah jalan mudah membuat siapa saja lebih peduli. Semakin informasi terbuka, orang akan lebih tahu, setidaknya informasi itu mudah dicari.

Selain itu, perusahaan/lembaga pemerintah juga harus mengalokasikan pelatihan bagi pegawai/karyawannya untuk mendalami isu-isu ancaman dan proteksi diri dari serangan siber. Kasus email palsu yang menjerat BUMN Puerto Rico adalah contoh keteledoran juga kurang ketatnya pegawai dalam melakukan cek dan ricek.

Keempat, peranti atau perangkat yang dipakai. Seringkali ada anekdot atau semacam cibiran bahwa perangkat atau peranti lunak dan keras yang dipakai kantor pemerintahan telah usang. Inilah yang menjadi sasaran empuk peretas. Kantor pemerintahan tiap tahun bisa saja melakukan pengadaan barang, tapi persoalannya bukan itu saja. Apakah tim TI atau pegawainya selalu peduli untuk melakukan pembaruan sistem jaringan dan perangkat? Apakah memasang antivirus/antimalware? Apakah memiliki firewall untuk mencegah phishing atau ancaman siber lain? Ketika tim TI tak peduli terhadap kerentanan atau bug dalam perangkat, itu adalah awal bencana.

Kelima, tak pernah bisa sendiri. Mengamankan sistem tak pernah bisa sendirian. Maka, ajak dan rangkullah komunitas atau pihak ketiga yang konsen terhadap isu-isu ancaman dan keamanan siber. Bikinlah semacam sayembara kerentanan atau bug bounty di lingkup pemerintahan. Ini akan membantu tugas-tugas tim TI pemerintah. Program VVDP yang digagas BSSN sangat bagus, tapi jika tidak dikenalkan secara masif ke lembaga pemerintahan, maka sebagus apa pun program itu, tidak akan efektif dan efisien.

Oleh karenanya, setiap lembaga pemerintahan/swasta, harus peduli sejak dini. Sebab, tak ada sebuah sistem informasi yang benar-benar aman 100 persen. Seperti halnya pesan “Bang Napi” di atas, maka lebih baik kita mencegah kesempatan pengibul online itu seminim mungkin, sebelum kita benar-benar terjerat dalam jebakan operasi mereka. Jika insiden sudah terjadi, itu lebih pelik dan menyakitkan. Waspadalah![]

Penulis adalah koordinator newsroom juga editor di Cyberthreat.id. Tulisan ini adalah pendapat pribadi penulis.