Suwito Pomalingo | Seize The Day
Journey to Cybercrime Underground (Part-1)
Dalam lingkup cyberspace, aktivitas kriminal hampir sama dengan kriminal di dunia nyata. Kegiatannya tidak terbatas pada kejahatan setiap individu, namun saling bekerja sama membentuk mata rantai yang banyak melibatkan pihak lain. Hal inilah yang mengakibatkan adanya sebuah ecosystem cybercrime. Cybercrime akan tetap ada sebagai epidemi yang terus meningkat setiap tahun dan memberi dampak kerugian yang besar.
Pada tulisan ini akan coba mengulas bagaimana aktivitas criminal yang ada di dunia cyber atau yang sering disebut dunia underground.
Jika kita amati, beberapa hal yang memiliki kontribusi terhadap pertumbuhan cybercrime atau kejahatan siber adalah kenyamanan, kecepatan, dan sifat internet yang anonimitas. Kemajuan dalam kecanggihan serangan siber selama dekade terakhir sangat berkaitan dengan dua evolusi utama:
- Lowered Cost of Entry: Yakni adanya kemudahan dan ketersediaan terhadap tools dan training/online learning, sehingga siapa saja walaupun hanya memiliki ketrampilan minim, mampu melakukan berbagai jenis serangan siber.
- Increased Business Acumen: Penyempurnaan terhadap siklus proses penyerangan (hacking) dan struktur pendukungan berupa pesaing bisnis yang inovatif, memungkinkan proses penyerangan bisa lebih efisien dan efektif terlebih dikombinasikan dengan pengetahuan tentang pasar komoditas yang kuat.
Dengan berbagai jenis ancaman kejahatan siber yang terus berkembang, penting untuk memahami kondisi ini, mengamati trennya, dan mengantisipasi kemungkinan terjadinya evolusi terhadap jenis serangan.
Sebelum membahas lebih dalam, perlu kita pahami tentang beberapa definisi yang terkait dengan kejahatan siber dalam dunia underground.
Cybercrime: Setiap kejahatan yang melibatkan penggunaan komputer yang merugikan individu atau organisasi yang bertujuan untuk keuntungan finansial.
Indexed Web: Semua web yang terindeks dan mudah dicari pada mesin pencari di Internet. Berupa web yang sudah kita kenal dan kita gunakan dalam keseharian kita, seperti web komersil, media sosial, berita, layanan konsumen, dan lainnya.
Deep Web: Situs web yang membuat “bingung” mesin pencari di Internet dikarenakan adanya kontrol akses, konten dinamis, atau mekanisme lainnya (misalnya perangkat lunak terenikripsi). Secara umum, situs web ini tidak dapat diakses oleh crawler mesin pencari web standar yang melakukan pengindeksan. Jenis situs web ini juga biasa disebut sebagai Invisible Web, Hidden Web, atau Deepnet.
Dark Web: Sebuah subset dari situs Deep Web yang memerlukan perangkat lunak khusus untuk mengaksesnya (contohnya, TOR). Infrastruktur dari Dark Web ini banyak mengandung konten kriminal seperti informasi hasil pencurian, akses terhadap premium malware, exploit, yang semua informasi tersebut mendukung aktivitas lainnya, seperti pornografi, perdagangan narkoba, pelacuran, perdagangan manusia, dan teroris. Sejumlah situs ini bersifat sementara, hanya aktif dalam waktu yang singkat dan sering berubah-ubah, hal ini sebagai upaya meminimalkan risiko terdeteksi oleh lembaga pemerintah, penegak hukum dan periset keamanan informasi.
Cybercrime underground: Forum online dimana informasi, tools (berupa malware dan exploits), dan jual beli layanan lainnya untuk mendukung tujuan kejahatan siber. Situs ini bisa berada di di Indexed Web, Deep Web, dan Dark Web dengan konteks yang bervariasi.
Gambar 1 Diagram yang menggambarkan hubungan berbagai atribut cybercrime.
Cybercrime memiliki dampak luas bagi setiap individu dan organisasi. Kerugian cybercrime ini dapat berupa pencurian kekayaan intelektual sampai pada kerugian biaya yang besar yang timbul akibat adanya pelanggaran-pelanggaran.
Dampak kerugian dari adanya cybercrime ini dapat kita bagi menjadi dua, yakni kerugian langsung dan kerugian tidak langsung.
- Kerugian langsung
- Berupa pencurian informasi yang bersifat rahasia (mis., data pribadi, informasi keuangan, kekayaan intelektual, rahasia dagang, dan lainnya), sehingga menyebabkan kehilangan kepercayaan dalam menjalani bisnis keseharian.
- Fraud
- Gangguan layanan atau pembatasan akses terhadap data dan informasi (mis., Ransomware).
- Kerugian tidak langsung
- Biaya yang yang timbul untuk pemulihan setelah adanya insiden (incident respon), layanan investigasi, dan remediasi.
- Hancurnya reputasi.
- Hukuman bagi karyawan atau siapapun yang bertanggung jawab atas hilangnya informasi rahasia.
- Konsekuensi kerugian terhadap keuangan dan ekonomi dalam jangka panjang.
Products, Services and Actor Roles
Dunia underground cybercrime ini juga mempertahankan ekonominya sendiri, yakni dengan terus memperbaiki kualitas produk dan layanannya. Transaksi keuangan yang terus meningkat perkembangannya dengan adopsi dan aksesibilitas yang lebih luas, contohnya anonim cryptocurrencies seperti Bitcoin, yang biasa digunakan oleh mereka yang memanfaatkan malware dan menerima pembayaran dari korban.
Produk yang menjadi komoditas dalam dunia underground dapat dibagi menjadi dua kategori yaitu berupa informasi dan sumber daya. Penjual produk mendapatkan keuntungan dari sistem pembayaran cepat menggunakan pembayaran elektronik. Sedangkan pembeli mendapatkan keuntungan dari produk yang memiliki informasi penting yang dapat dilakukan untuk memuluskan tujuan kejahatannya.
Produk informasi yang diperjualbelikan seperti :
- Segala hal yang berkaitan dengan informasi pribadi yang didapatkan dari daftar mass email yang digunakan oleh spammer.
- Informasi organisasi atau perusahaan, termasuk informasi tentang modal, non-public internal data, dan internal data operasional.
- Informasi authentikasi yang bersifat kredensial, seperti kombinasi username dan password yang terkini (terupdate) dan sering digunakan di lebih dari satu sistem.
- Data keuangan dan transaksi yang dipalsukan, seperti data penarikan yang tidak sah dari rekening atau tagihan kartu kredit yang terntunya akan mengganggu pemegang rekening.
Untuk produk yang berupa sumber-daya seperti :
- Malware yang memiliki kemampuan yang bervariasi (mis., pencurian informasi, malware yang memiliki kemampuan me-remote sistem dari jarak jauh -RAT-, ransomware, dan berbagai jenis utilitas lainnya) yang menunjukkan hasil yang konsisten, menghindari kebocoran source code, dan menghasilkan pendapatan yang signifikan bagi programmer malware atau malware writer dan distributornya.
- Pembelian terhadap tools exploit. Semantara begitu banyaknya para White Hat yang berlomba-lomba mengikuti bug bounty (semacam lomba untuk menemukan bug dan memperbaikinya) dari vendor software, namun market underground tetap lebih menguntungkan dan dapat diandalkan untuk pembelian unpatched exploit.
- Pengambil-alihan kendali terhadap mesin server yang sebelumnya sudah diretas. Ini hanya berlaku untuk server yang selalu On sehingga dapat digunakan sebagai mesin penyerang atau sebagai penyimpanan informasi yang akan dijual. Model seperti ini lagi populer belakangan ini.
- Malicious actor training, berupa buku panduan atau tutorial tentang penggunaan tools yang efektif yang isinya berupa Taktik, Teknik, dan Prosedur.
Untuk services atau layanan biasa disajikan dalam bentuk penyewaan sumber daya, termasuk produk-produk yang disebutkan diatas, dimana akses ke produk-produk tersebut dapat digunakan pada periode tertentu sesuai dengan perjanjian. Memberikan layanan kepada orang-orang yang berkepentingan, akan mendapatkan keuntungan yang lebih tinggi selama periode penyewaan pelayanan memiliki waktu yang lama, terlebih jika ada penyewaan yang berulang. Adapun pelaku yang menyewa layanan ini, akan mendapatkan keuntungan berupa jaminan performance dari produk yang disewa (mis., produk yang selalu diupdate).
Jenis layanan yang disediakan seperti :
- Distributed Denial of Service (DDoS): yaitu berupa serangan berbentuk botnet yang mempengaruhi avaliability dan capability dari server target.
- Exploit Kits: biasanya disediakan bulanan untuk akses ke exploit toolkit ini sehingga memungkinkan untuk dilakukan kutomisasi terhadap payloadnya.
- Penyewaan Infrastruktur: layanan ini berupa hosting yang bisa digunakan sebagai platform untuk melancarkan serangan. mengupdate malware, mengkonfigurasi, dan sebagai wadah untuk memberikan perintah dan mengontrol malware, begitu juga dengan model penyerangan lainnya.
Salah satu penyedia hosting seperti BulletProof Hosting Services (BPHSs) memainkan peran penting dalam dunia cybercrime. Mereka membiarkan para cyber criminal untuk menggunakan layanan mereka tanpa resiko terdeteksi oleh penegak hukum. Beberapa alasan penting kenapa BHPS berhasil menyediakan layanan ini dikarenakan mereka seolah-olah bertindak seperti layaknya bisnis yang sah, server yang tersebar di berbagai negara yang mengakomodir hukum cyber, redudansi yang tinggi sehingga meminimalisir resiko kegagalan operasional, dan layanan pendukung yang profesional. - Pencucian uang: transfer secara ilegal melalui akun dan mekanisme di negara-negara yang bisa memberikan perlindungan tetap menjadi layanan utama.
Pada level yang lebih tinggi, motivasi dari aktor/pelaku kejahatan cybercrime hanyalah perpanjangan dari aktivitas kejahatan tradisional, dan berfokus pada pencurian informasi pribadi dan lainnya yang bertujuan untuk mendapatkan keuntungan finansial.
Dari tulisan diatas, dapat kita lihat bahwa cybercrime ecosystem sangat bergantung dari sejumlah peran kunci yang terbagi dengan berbagai macam motivasi.
Bersambung…