Sindikat Pembobol Kartu Kredit Memakai ‘Clash of Clans’ untuk Sarana Cuci Uang

Scammer di Facebook menjual perangkat yang bisa secara otomatis mengubah nomor kartu kredit curian menjadi mata uang dalam game untuk dijual kembali.
23.7.18
Clash of Clans. Image: Supercell

Kromtech Security—perusahaan IT dan keamanan siber Jerman—telah menemukan bukti bahwa scammer menggunakan kartu kredit curian untuk membeli mata uang dari Clash of Clans, Clan Royale, dan Marvel Contest of Champions, dan menjualnya kembali ke pasar gelap untuk mendapatkan uang.

“Sekelompok scammer dengan sistem otomatis kompleks memanfaatkan aplikasi main gratis, game third party, situs web reseller, dan Facebook untuk mencuci uang dari kartu kredit curian,” Kromtech melaporkan.

Mata uang dan transaksi mikro dalam game adalah sumber pendapatan penting bagi pengembang gim video modern. Electronic Arts—perusahaan penerbit gim Star Wars: Battlefront IImemperoleh $787 juta (Rp11,3 triliun) dari pembelian dalam gim pada kuartal fiskal terbarunya.

Pengamat keamanan siber sudah sejak lama memperingatkan bahwa mata uang yang ada dalam gim dan komoditas digital yang bisa diperdagangkan dalam World of Warcraft dan game video lainnya bisa disalahgunakan oleh pencuci uang. Teorinya, pelaku kriminal bisa dengan mudah menggunakan uang hasil curian untuk membeli mata uang yang ada di game seperti Clash of Clans, lalu menjualnya kembali kepada pihak ketiga untuk mendapatkan uang tunai.

Para pengamat keamanan siber sudah bertahun-tahun memperingatkan kita. Pada 2011, FBI merazia asrama mahasiswa yang dicurigai telah melakukan penipuan lewat World of Warcraft, walaupun hasilnya nihil. Komunitas EVE Online—space faring MMO— sudah lama mengkhawatirkan penyalahgunaan mata uang digital game untuk kegiatan cuci uang.

Menurut Bob Diachenko, kepala bidang komunikasi Kromtech, motif kejahatan seperti itulah yang ditemukan timnya.

Tim keamanan siber Kromtech menemukan skema pencucian uang lewat gim saat sedang mengaudit MongoDB, platform database SQL open source, pada Juni kemarin. Ada yang aneh dari databasenya karena tidak terproteksi dan berisi 37.606 nomor kartu kredit padahal usianya masih seumur jagung.

Mereka menemukan tautan grup Facebook yang digunakan para scammer untuk mengorganisasikan sistem otomatis yang akan memproses kartu kredit, menghubungkannya ke akun Apple baru, membeli mata uang dari game main gratis, dan menjualnya ke pasar gelap.

Image: Kromtech Security diagram.

Apple, Supercell, dan Kabam—pengembang Marvel Contest of Champions—tidak segera memberi tanggapan kepada Motherboard.

Hal ini belum pernah terjadi sebelumnya. Anehnya, pelaku kejahatan ini membiarkan datanya tanpa pengamanan. Diachenko menjelaskan kepada Motherboard lewat email bahwa Kromtech bisa menemukan grup Facebook ini setelah menelusuri database tanpa pengamanan. “Penjahat juga bisa melakukan kesalahan,” ujar Diachenko.


Tonton dokumenter Motherboard tentang tambang bitcoin rahasia di pedesaan Cina:


Sebagian besar sistemnya otomatis, termasuk pembuatan akun Apple. Menurut Diachenko, para scammer menggunakan iPhone yang di-jailbroken pakai perangkat untuk menciptakan akun Apple dengan data pengguna yang telah ditentukan. Dia menunjukkan video dari grup Facebook yang menampilkan satu rak penuh iPhone yang sedang menjalankan software otomatis.

Image: g2g.com screengrab via Kromtech.

“Dengan proses pembuatan akun yang otomatis, para pencuci uang melakukan tindakan lebih lanjut. Mereka secara otomatis mengubah kartu sampai menemukan yang valid, membeli gim dan sumber daya, mempostingnya untuk dijual, memanfaatkan dompet digital untuk memproses pemesanan, dan mengelola beberapa perangkat Apple untuk mendistribusikannya,” menurut laporan Kromtech. “Hasilnya: perangkat pencucian uang otomatis bagi pencuri kartu kredit.”

Mereka menggunakan pasar gelap g2g.com—situs web jual beli mata uang digital untuk game seperti World of Warcraft dan Clash of Clans—untuk mentransfer mata uang curian tadi. Menurut laporan, akun sock puppet yang memposting di g2g menjual akun Clash of Clans (yang diizinkan oleh Supercell untuk melakukan transfer antar pengguna) sekaligus mata uang game yang dijual dari $30 sampai $90 (Rp434 ribu-1,3 juta). Transaksinya memang kecil, tapi bisa cepat bertambah jika dijalankan pada sistem otomatis yang memposting ribuan setiap harinya. Kromtech berhasil memverifikasi bahwa 20.000 dari 30.000 kartu kredit digunakan untuk motif pencucian uang ini.

Kromtech tidak tahu pasti seberapa banyak pendapatan pencuri. Mereka memperkirakan bahwa skemanya baru berjalan sekitar satu setengah bulan. Laporan lengkap skema tersebut disusun untuk Department of Justice AS dan Supercell—pengembang Clash of Clans dan Clan Royale—guna membantu mereka menuntaskan aksi pencucian uang ini.

Tampaknya para pencuri juga berusaha menggunakan ponsel Android, tapi pembatasan Google terhadap aktivitas pemindahan kredensial akun membuatnya sulit untuk diotomatisasi. Diachenko mengatakan bahwa Apple bisa menghentikan aksi pencurian serupa di masa mendatang jika menerapkan verifikasi kartu kredit yang lebih ketat. Menurut Diachenko, apabila ada kartu kredit baru yang ditambahkan ke akun Apple, maka Apple akan memverifikasi kartunya dengan melakukan pembelian sebesar $1 (Rp14.494) lalu mengembalikan uangnya. “Kami menemukan banyak kartu kredit yang terproses dengan nama dan alamat salah,” katanya. “Verifikasi kartu kredit yang lebih ketat akan menyulitkan [scammer].”

Motherboard berhasil mengonfirmasikan rincian skema dengan melihat grup Facebook yang disebut dalam dokumen Kromtech. Namun, berhubung para pencuri sedang menjalani proses penyelidikan, kami tidak boleh menyertakan rinciannya di artikel ini. Motif pencurian tersebut menunjukkan bahwa selagi ada jalan, siapa saja bisa menyalahgunakan mata uang digital dalam game demi uang tunai.

Artikel ini pertama kali tayang di Motherboard