Malware Penguras Uang ATM Telah Menyebar di Berbagai Negara

Suatu pagi di bulan November, karyawan bank di Freiburg, Jerman melihat ada yang tidak beres dengan ATM mereka. Terbiasa menangani masalah ini, seorang penegak hukum menjelaskan mesinnya telah dibobol “Cutlet Maker”, malware yang sengaja diciptakan untuk memuntahkan semua uang dari ATM.

“ Ho-ho-ho! Let's make some cutlets today!” bunyi panel kontrol Cutlet Maker di sebelah kartun koki dan manusia daging. Dalam bahasa gaul Rusia, cutlet bisa berarti segepok uang.

Investigasi Motherboard dan penyiar Jerman Bayerischer Rundfunk (BR) mengungkap detail baru dari serentetan serangan ATM di Jerman pada 2017 yang menjadikan pencuri jutawan dadakan. Jackpotting adalah teknik yang digunakan penjahat siber dengan malware atau perangkat keras agar semua uangnya keluar. Mereka bisa mendapatkan uang tanpa perlu mencuri kartu kredit. Malware ini biasanya dipasang di ATM. Pembobol akan membongkar panel mesin untuk membuka port USB.

Dalam beberapa kasus, kami mengidentifikasi bank dan produsen ATM yang kebobolan. Meski organisasi nirlaba Eropa mengatakan serangan jackpotting di sana sudah menurun pada paruh pertama tahun ini, sejumlah narasumber melaporkan aksi pembobolannya meningkat di belahan dunia lain. Serangannya sudah masuk ke kawasan seperti Amerika Serikat, Amerika Latin, dan Asia Tenggara. Masalah ini merugikan bank-bank dan produsen ATM di seluruh industri keuangan.

“[Jackpotting] sering terjadi di AS,” kata narasumber yang memahami serangan ATM. Motherboard dan BR mewawancarai beberapa narasumber, termasuk penegak hukum, yang sengaja dirahasiakan namanya agar lebih bebas membicarakan soal pembobolan ini.

Dalam konferensi keamanan siber tahunan Black Hat pada 2010, mendiang peneliti Barnaby Jack mendemonstrasikan serangan malware ATM-nya. Penonton bertepuk tangan ketika mesin mengeluarkan tulisan “JACKPOT” dan segepok uang.

Serangan serupa kini sudah menyebar ke mana-mana.

Penegak hukum mengklaim tak ada uang yang dicuri dalam skenario Freiburg. Namun, Christoph Hebbecker selaku jaksa penuntut umum di Rhine-Westphalia Utara membeberkan kantornya tengah menyelidiki 10 kasus serangan ATM sepanjang Februari-November 2017, termasuk yang menguras uang. Secara keseluruhan, menurut Hebbecker, pembobol mencuri 1,4 juta Euro (21 miliar).

Hebbecker melanjutkan rangkaian pembobolannya kemungkinan dilakukan satu komplotan karena sifat serangannya sama. Dalam beberapa kasus, jaksa penuntut mendapatkan bukti video meski belum ada yang dijadikan tersangka.

“Penyelidikannya masih berlangsung,” bunyi email Hebbecker dalam bahasa Jerman.

Beberapa narasumber mengutarakan bank Santander juga kena jackpotting pada 2017. Dua orang menjelaskan pembobolannya secara khusus menyerang model ATM Wincor 2000xe buatan Diebold Nixdorf.

“Kami biasanya tidak pernah berkomentar soal kasus tunggal yang berdedikasi,” kata Bernd Redecker, direktur divisi keamanan perusahaan dan manajemen penipuan Diebold Nixdorf, saat dihubungi lewat telepon. “Namun, kami berurusan dengan nasabah tentang jackpotting. Kami menyadari ada kasus seperti ini.” Diebold Nixdorf juga menjual mesin-mesin ini di AS.

Juru bicara Santander menyatakan dalam email, “Kami menjunjung tinggi kerahasiaan informasi nasabah dan integritas jaringan fisik kami. Kami melibatkan pakar di setiap tahap pembuatan dan operasi produk guna melindungi nasabah dan bank dari penipuan dan ancaman kejahatan siber. Kami tak bisa mengomentari masalah keamanan tertentu karena alasan ini.”

Pejabat di Berlin berujar telah menangani setidaknya 36 kasus jackpotting sejak musim semi 2018 yang merampas ribuan Euro. Mereka menolak menyebutkan malware spesifik.

Secara keseluruhan, pihak berwenang mencatat 82 serangan jackpotting di berbagai daerah di Jerman dalam beberapa tahun terakhir, menurut juru bicara kepolisian. Namun, tak semua serangannya berhasil.

Perlu diingat jackpotting bukan cuma menyerang satu bank atau produsen ATM saja. Kami fokus membahas investigasi serangan yang dialami Santander.

“Pembobolan ini juga dialami produsen-produsen lain, jadi bukan cuma satu mesin, merek, dan kawasan saja,” ungkap Redecker.

Salah satu alasan ATM gampang dibobol yaitu karena masih menggunakan komputer Windows jadul. “Mesinnya lambat dan sudah jadul,” seorang narasumber mengatakan.

Redecker menekankan produsen ATM telah meningkatkan keamanan perangkat mereka. Akan tetapi, bukan berarti semua ATM sudah memiliki standar yang sama. Pihak Bank juga bertanggung jawab melindungi akses ke mesin.

“Guna melancarkan serangan jackpot, kamu harus punya akses ke komponen internal ATM. Itu artinya meningkatkan keamanan fisik mesin sangat penting untuk mencegah pembobolan,” bunyi email David N. Tente, direktur eksekutif Asosiasi Industri ATM seluruh Amerika dan Kanada (ATMIA).

Redecker mengatakan cukup sering menemukan serangan di seluruh dunia sejak 2012. Jerman diserang pertama kali di Berlin pada 2014.

Ketika serangan 2017 terjadi, para peneliti di perusahaan keamanan siber Kaspersky menerbitkan penelitian yang mengekspos penjualan Cutlet Maker di forum peretasan sejak Mei 2017. Siapa saja bisa membeli malware ini dan membajak ATM.

“Oknum menjualnya [malware] kepada semua yang tertarik,” ujar David Sancho, peneliti ancaman siber senior di perusahaan keamanan siber Trend Micro yang bekerja sama dengan Europol dalam riset jackpotting. Menurutnya, penjahat baru dan lebih kecil juga bisa ikut mengosongkan isi ATM.

“ATM lain di seluruh dunia juga bisa kebobolan,” tutur Sancho.

Motherboard berbincang dengan penjahat siber yang menjual malware Cutlet Maker.

“Saya jual seharga $1.000 (setara Rp14 juta),” katanya di email. Dia juga bersedia mengajarkan cara penggunaannya. Penjual menyediakan tangkapan layar panduan mengosongkan ATM dalam bahasa Rusia dan Inggris. Salah dua langkahnya yaitu mengecek seberapa banyak uang di dalam mesin dan memasang malware tersebut.

Dalam laporan yang diterbitkan bulan ini, organisasi nirlaba Asosiasi Transaksi Aman Eropa (EAST) yang melacak penipuan keuangan menerangkan serangan jackpot turun 43 persen dari tahun sebelumnya. Akan tetapi, perlu diingat laporannya hanya mencakup Eropa.

“Pembobolan juga terjadi di belahan dunia lain tanpa perlu memberi tahu orang lain soal ini,” imbuh narasumber. “Kasusnya semakin banyak, tapi sayangnya tak ada yang mau membahas ini.”

Kurangnya pelindung malware ATM bisa dibilang mendorong lonjakan serangan jackpotting. Pada Januari 2018, Secret Service mulai memperingatkan lembaga keuangan akan ancaman ini di AS, meski mereka juga menggunakan malware ATM bernama Ploutus.D.

“Survei terbitan 2019 kami menunjukkan semakin banyak pembobolan ATM yang terjadi secara global,” bunyi email Tente dari ATMIA.

Sebagaimana dikatakan narasumber yang memahami pembobolan ATM, “Jackpotting sering terjadi, tetapi tak ada media yang membahasnya.”

Artikel ini pertama kali tayang di Motherboard