16Shop, Alat Peretasan Made in Hacker Indonesia

Peneliti Akamai Amiram Cohen memaparkan temuannya di Universitas Tel Aviv, Israel, pada 24 Juni 2019 | Tangkapan layar Youtube

CYbethreat.id - Di atas sebuah panggung di Universitas Tel Aviv, Israel, Amiram Cohen berdiri memaparkan temuannya. Di belakangnya, pada layar presentasi, muncul tulisan "16Shop: A new Phising kit with a hidden feature."  

Hari itu, 24 Juni 2019, peneliti dari perusahaan keamanan siber Akamai itu sedang membedah "jeroan" paket alat peretas (phishing kit) yang oleh pembuatnya dijual ke pihak lain.  Alat itu kemudian dipakai untuk meretas dan mengambil alih akun milik pengguna Apple. Yang ditargetkan data kartu pembayaran (debet dan kredit) yang terhubung ke akun Apple.  

Seperti umumnya aktivitas peretasan menggunakan phishing, 16Shop bekerja dengan cara mengirimkan email palsu ke email pemberitahuan palsu ke banyak target. Isinya dibuat seolah-olah ada pemberitahuan dari Apple bahwa akun target terancam terkunci dan meminta target untuk mengamenakankannya dengan login ke akun mereka. Calon korban lalu diarahkan ke laman login Apple palsu yang dapat mengirim kredensialnya (username dan password) ke server yang dikontrol oleh pelaku peretasan. Data itu kemudian dipakai oleh peretas untuk mengambil alih akun atau sekedar mencuri informasi kartu pembayaran di akun itu.

Namun, Amiram bilang, 16Shop itu berbeda dengan yang pernah ditemukan sebelumnya. Amiram bilang, 16Shop itu berbeda dengan yang pernah mereka temukan sebelumya. Mengandung lebih dari 500 file, perangkat lunak jahat itu dibuat teknik evasive, yakni dapat mengontrol mekanisme dan memutuskan siapa saja yang bisa melihat laman phising-nya berdasarkan data geolokasi korban. Itu artinya, jika seseorang membukanya di luar negara yang ditargetkan, laman phishing-nya akan menampilkan pesan error.

"Konsepnya tidak baru, yang baru adalah teknis dan varian serangannya," kata Amiram seperti terlihat dalam sebuah video di YouTube yang diunggah oleh BSidesTLV.

Paket peretasan yang berisi lebih dari 500 file itu, kata Amiram, dilengkapi dengan kemampuan melindungi diri dari pelacakan otomatis anti-phishing, mesin pencari Google, pemindai otomatis, dan peneliti keamanan siber.


Presentasi Amiram Cohen dari Akamai | Sumber: Tangkapan layar Youtube

Untuk itu, 16Shop dilengkapi dengan kemampuan untuk menghindari daftar IP (internet protokol) yang dicekal oleh perangkat antivirus. Diketahui, daftar cekal IP dibuat berdasarkan jejak masa lalu.

Keunikan lainnya, kata Amiram, 16Shop dapat mencegah agar tidak mengirim pesan ke target yang sama lebih dari satu kali. Itu artinya, 16Shop bisa menandai alamat IP yang telah menerima pesannya.

Selain itu, 16Shop dilengkapi dengan lebih dari 10 bahasa di dunia, yang membuatnya bisa menyasar pengguna di banyak negara.


Sampel sejumlah bahasa yang digunakan di 16Shop | Twitter/Dave_daves

Dalam perkembangannya, 16Shop juga meminta korban untuk mengunggah foto mereka dengan KTP.

Dalam presentasinya, Amiram menyebut alat peretas itu dibuat oleh orang Indonesia. Wajah seorang pemuda terpampang di sana. Wajah itu sama dengan yang diunggah oleh peneliti keamanan siber Lookout di Twitter pada 27 Juni 2018. Amiram tak mencantumkan namanya di presentasi itu, namun Lookout menyebutnya bernama Riswanda Noor Saputra. 

Temuan itu juga diunggah di situs Akamai.

“Ini benar-benar peralatan multi-level, menjalankan tahapan berbeda untuk merek berbeda, tergantung pada informasi yang diberikan korban,” tulis Amiram Cohen dan koleganya Katz.

“Ini memiliki kemampuan untuk mengubah tata letak dan presentasinya bergantung pada platform, sehingga pengguna seluler akan melihat situs web yang disesuaikan dengan perangkat mereka, sementara pengguna desktop melihat sesuatu yang lebih sesuai dengan situasi mereka.”

Bagi Amiran dan Katz, 16Shop adalah contoh dari "industrialisme phishing." Dan karena itu, kata dia, perangkat phishing seperti 16Shop tidak bisa diabaikan.

"Di satu sisi, phishing adalah langkah pertama dalam rangkaian serangan yang jauh lebih canggih yang dapat terjadi," kata Katz seperti dilansir CyberScoop. “Hal terpenting yang dapat kami lakukan sebagai komunitas keamanan adalah menciptakan lebih banyak kesadaran seputar jenis serangan itu.”


Indeks isi dalam 16Shop 

***

Hampir dua tahun setelah Amiram memaparkan presentasinya di Universitas Tel Aviv, nama 16Shop kembali bikin geger. Pekan lalu, tepatnya 1 Maret 2021, giliran peneliti keamanan ZeroFOX yang berbasis di Amerika Serikat yang mengungkap temuannya. Disebutkan, 16Shop kini menargetkan pengguna Cash App, aplikasi pengirim uang via ponsel yang populer di Amerika sana.

Meskipun prinsip kerjanya masih sama, dalam versi terbaru yang menyasar pengguna Cash App ini, 16Shop telah dilengkapi dengan lebih banyak bahasa. Itu artinya, target sasaran telah diperluas ke lebih banyak negara.

Setahun sebelumnya, ZeroFOX juga menemukan bahwa 16Shop digunakan utuk menyerang pengguna PayPal, Amazon, hingga penyedia kartu kredit American Express. Temuan serupa juga muncul dari McAfee.

16Shop Made in Indonesia
Nama Riswanda Noor Saputra kemudian identik dengan 16Shop. Temuan Akamai, ZeroFOX, maupun McAfee merujuk pada namanya. Jejaknya ditemukan pada 16Shop dalam bentuk alamat email, nama samaran "DevilSrceam" hingga beberapa salin kode skrip yang menggunakan bahasa Indonesia.

Awalnya muncul dugaan bisa jadi Riswanda bukanlah identitas asli. Biasanya, seorang peretas menyamarkan jejaknya untuk menghindari pelacakan oleh penegak hukum. Kemungkinan lain: pembuatnya ceroboh sehingga meninggalkan jejak di mana-mana.

Sekian lama namanya disebut-sebut, Riswanda tak pernah muncul untuk merespon atau mengklarifikasinya. Padahal, namanya muncul di sejumlah media besar luar negeri, termasuk media ternama Forbes, sebagai pembuat alat peretas 16Shop.

Cyberthreat.id berhasil mewawancarainya pada Kamis malam (4 Maret 2021) setelah sebelumnya ia mengirimkan email, mengklarifikasi temuan terbaru dari ZeroFOX yang mengaitkan namanya dengan upaya peretasan akun Cash App.

Riswanda mengakui dialah yang pertama kali mengembangkan 16Shop. Itu dibuat pertama kali pada akhir 2016, saat ia masih duduk di bangku sekolah, menekuni teknik komputer dan jaringan di SMK Negeri 1 Amuntai, Kalimantan Selatan. Saat itu, ia masih berusia 16 tahun.

"Saya akui 16Shop yang dipakai untuk menyerang pengguna Apple, Paypal dan Amazon itu saya yang buat, tetapi saya tidak terlibat langsung dalam peretasannya," kata Riswanda kepada Cyberthreat.id dalam wawancara lewat konferensi video Google Meet.

Sedangkan dalam serangan terbaru yang menyasar pengguna Cash App dan American Express, dia mengatakan sudah tidak terlibat lagi di sana.

"Pokoknya, saya itu dari Apple, Amazon, dan PayPal. Untuk yang lain seperti American Express dan Cash App itu teman saya," ujarnya.

Riswanda bercerita, sekarang penjualan 16Shop dilakukan oleh dua orang temannya sesama orang Indonesia.

Tentang identitasnya yang terlacak oleh peneliti keamanan siber dunia, Riswanda mengatakan itu karena kecerobohannya saat itu yang masih berusia 16 tahun. Emailnya awalnya digunakan untuk uji coba. Namun, terus melekat di sana.

Selain itu, Riswanda juga sempat menjualnya di Facebook, juga mengunggah video promosinya di Youtube menggunakan akun aslinya.

"Januari-Mei 2018 itu sedang ramai-ramainya script saya itu, tiba-tiba waktu itu banyak yang minat, banyak yang kontak saya. Saya jual di Facebook dengan nama Riswanda," katanya.

Seperti kebanyakan aksi kejahatan dunia siber, awalnya Riswanda tertantang untuk membuktikan kemampuannya kepada sesama komunitas underground. Teman-temannya, kata dia, mengakui kemampuannya. Setelah mendapat pengakuan, target berikutnya mengerucut pada urusan duit.

Dia bilang, awalnya alat itu dijual seharga Rp500 ribu, lalu terus naik hingga Rp900 ribu. Dia awal-awal, dia sempat menikmati penghasilan hingga puluhan juta dari berjualan alat peretasan itu. Di dunia keamanan siber, ini dikenal dengan sebutan layanan phishing atau Phishing as-a-Services (PaaS).

Setelah namanya ramai diperbincangkan oleh pakar keamanan siber, termasuk ada yang mengunggah foto dirinya dengan sang ibu, Riswanda akhirnya memilih pensiun dari 16Shop.

Kini, menurut Riswanda, dia sudah tidak lagi berkomunikasi dengan dua temannya yang masih menjalankan 16Shop. Namun begitu, ia mengatakan bersedia membantu polisi jika diminta untuk mendeteksi dan memblokir serangan phishing.

Ia juga mengatakan sudah menghubungi ZeroFOX, menawarkan untuk membuat aplikasi pendeteksi phishing, namun belum mendapat respon.

Ditanya apakah menyesal setelah alat peretasan yang dibuatnya terus dipakai untuk kejahatan dunia maya, Riswanda mengatakan itu sebagai "blunder masa lalu."

"Maaf, saya salah jalur, saya salah ngambil langkah di dunia underground," katanya.

Namun, di tempat lain, dua temannya masih mengoperasikan 16Shop "made in Indonesia" yang dulu dibuat Riswanda. Mengintai mangsa baru. Di seluruh dunia. []