Pura-Pura Bisa Ngintip Korbannya Nonton Bokep, Sekolompok Peretas Berhasil Kuras Rp732 Juta

Berbekal password hasil membobol linkedin dan Anti-Public List, peretas bisa meminta korbannya mengirimi sejumlah uang dalam bentuk bitcoin, atau video mereka nonton bokep disebar (padahal mah boong doang)

|
Ags 24 2018, 5:12pagi

Image: Shutterstock

Kadang untuk bisa menggembosi kocek kita, seorang penipu cuma perlu ngomong kalau mereka sudah berhasil meretas kita. Sejak Juli lalu, peneliti keamanan siber, jurnalis dan sejumlah korban telah menjadi saksi meningkatnya jumlah surat dan surel pemerasan yang meminta korbannya mentransfer bitcoin dalam jumlah besar. Metodenya adalah sebagai berikut: pelaku menyebut salah satu password korban, yang kemungkinan diperoleh dari peretasan publik, dan menggunakannya untuk mengancam korban. Para pemeras ini mengklaim bahwa mereka sudah berhasil meretas webcam korban saat pemiliknya nonton konten pornografi. Tuntutan mereka: bayar sejumlah bitcoin atau video korban nonton bokep (yang sebenarnya tak ada) bakal disebar.

Menurut sejumlah periset keamanan siber, skema penipuan ini sangat menguntungkan para pemeras karena tak banyak yang harus mereka lakukan.

“Yang mengkhawatirkan adalah para pemeras ini berhasil menggondol uang sebesar $50.000 (setara Rp732 juta) dengan mengobral password-password lawas, tanpa banyak upaya berarti,” ujar Suman Kar, CEO perusahaan keamaanan siber Banbreach, kepada Motherboard lewat sebuah chat online.

Bulan Juli lalu, jurnalis keamanan siber Brian Krebs menulis tentang gelombang baru surel sextortion—email pemerasaan yang mengancam akan menyebarkan rahasia dan rekaman kegiatan seksual jika korban tak menuruti perintah yang diberikan.

“Saya tahu kalau (password korban) adalah passwordmu,” tulis pemeras dalam email yang dibahas Krebs. “Bagian pertama merekam video porno yang kamu tonton (selera lo keren juga ya), dan bagian berikutnya merekam webcam (ya, kami merekam kamu sedang coli!)” lanjut sang pemeras sebelum meminta korban mengirimkan uang senilai $1.400 (sekitar Rp20,5 juta) dalam bentuk bitcoin ke alamat bitcoin tertentu.

Tenyata ini bukan skema penipuan kecil-kecilan. Banbreach mengawasi sekitar 770 dompet virtual bitcoin, seperti yang tampak dalam spreadsheet yang diberikan perusahaan keamaan siber tersebut kepada Motherboard. Sebagian besar dompet tersebut, sekitar 540 buah, tak menunjukkan adanya kegiatan transaksi. Namun, 230 dompet lainnya memiliki lebih dari 1.000 transaksi. Dana yang terkumpul dari aksi pemerasan ini mencapai 70,18 BTC.

Angka ini masih perkiraan kasar. Jumlah dana yang terkumpul bisa jauh lebih besar. Pasalnya, metodologi yang dipakai Branbreach belum tentu bisa menangkap semua—atau setidaknya mayoritas—penyebaran surel sextortion. Kar menegaskan Branbreach mengumpulkan alamat-alamat bitcoin yang mereka pantau dari komentar di berita tentang kasus ini. Kar juga menambahkan perusahaannya juga mengumpulkan alamat-alamat bitcoin dari India yang saat ini memang sedang diincar oleh para pemeras.

“$1.000 (setara Rp14 juta) adalah uang yang sangat besar bagi penduduk India biasa,” kata Kar.

Banbreach percaya password yang digunakan untuk memerdayai para korban didapat dari peretasan Linkedin dan Anti-Public Combo List—yang kedua dianggap sebagai peretasan besar-besaran data dari berbagai sumber. Dua peretasan ini langsung ditengarai sebagai asal password yang digunakan para pemeras setelah Branbreach memasukan email korban ke situs pemeriksa peretas Have I Been Pwned, tulis Banbreach dalam pengantar hasil penilitiannya yang diberikan kepada Motherboard. Namun, sampai saat ini, masih sangat susah untuk menemukan dari mana sesungguhnya password-password itu berasal, tegas Branbreach.

More VICE
Vice Channels