Pencurian kredensial yang berisi akun dan password kian marak. Pencurian masif lewat komputer ini didorong pula oleh permintaan yang meningkat di pasar gelap.
Belakangan akun Twitter @darktracer_int melaporkan malware pencuri data (infostealer) mengekspos jutaan data kredensial dari pengguna di puluhan ribu situs web. Pengumuman terkini, muncul di linimasanya pada 7 Maret 2022.
Menurut data yang dirilis, setidaknya 2.000 entitas situs web milik pemerintah Indonesia—ditandai dengan nama domain go.id—nangkring dalam daftar tersebut. Dari ribuan situs barusan, terdapat kurang lebih 200.000 kredensial (nama akun dan password) yang diklaim hasil curian.
Akun Twitter itupun menyarankan pengelola situs yang pengaksesnya jadi korban, meminta para pengakses tersebut mengganti password akun mereka. Ini adalah langkah pencegahan, agar bila kredensial login pengguna benar-benar telah dicuri, kredensial tersebut tidak bisa digunakan.
Langkah ini sudah ditindaklanjuti oleh Kementerian Keuangan. Situs pembayaraan pajak online, termasuk dalam daftar situs pemerintah yang penggunanya banyak kecolongan. Akun @DitjenPajakRI pun membuat pengumuman, bahwa berdasarkan investigasi kebocoran data tersebut diduga berasal dari perangkat pengguna yang terinfeksi malware.
Adapun situs web pajak (djponline) diklaim dalam kondisi aman dan dapat diakses secara normal. Mereka mengimbau kepada para wajib pajak yang menggunakan situs tersebut segera mengganti password login di situs djponline dengan password baru yang lebih kuat dan aman, serta memasang antivirus termutakhir pada perangkat masing-masing untuk menghindari terinfeksi malware.
Dalam daftar Dark Tracer, terdapat 17.585 kredensial login di situs djponline.pajak.go.id yang diklaim telah berhasil dicuri, menurut data per 7 Maret tersebut. Angkanya bisa bertambah setelah beberapa hari atau minggu, tergantung luasnya sebaran malware di komputer pengguna.
Pencurian password kian marak
Meningkatnya popularitas pasar “bawah tanah” yang menjual data kredensial login menimbulkan ancaman besar di dunia maya. Aktor jahat menyedot informasi ini dari komputer korban, menggunakan malware pencurian kredensial dan menjualnya di pasar gelap (dark web) seharga US $10 hingga US $200 (sekitar Rp150 ribu hingga Rp2,8 juta) per paket.
Riset Accenture menunjukkan pasar pencurian informasi (infostealer) biasanya dirancang untuk mendapatkan (mengakses atau menyalin) kredensial dengan fungsionalitas yang luas, melampaui perekam aktivitas papan ketik (keylogging). Ini bisa meliputi nama pengguna, kata sandi, kunci, token, sesi cookie, dan sebagainya.
Infostealer adalah perangkat lunak berbahaya (malware) yang mencuri informasi dari komputer (personal maupun korporat). Malware kompleks seperti trojan perbankan biasanya menyertakan komponen ini di dalamnya. Ia bermental hit and run, tujuan utamanya menemukan apa pun yang berharga pada perangkat korban, dan melapor balik ke operatornya.
Contohnya Bloody Stealer (BloodyStealer). Peranti lunak pencuri informasi ini mampu beraksi tanpa terdeteksi peranti pendeteksi virus (antivirus) meski aktif di komputer target. BloodyStealer mencuri informasi seperti cookie, kata sandi, atau formulir pengisian otomatis yang disimpan di peramban.
Ia juga bisa mencuri informasi komputer, misalnya rincian tentang spesifikasi perangkat keras dan perangkat lunak yang diinstal, serta informasi lainnya. Selain itu bisa nyolong data sesi akses pengguna di situs Bethesda, EpicGames, GOG, Origin, Steam, Telegram, dan VimeWorld, file teks (.txt) yang disimpan di desktop dan file uTorrent. Bloody Stealer pun dapat membuat tangkapan layar.
Ibarat mata-mata, malware ini kemudian mengirimkan data yang dikumpulkan ke “induknya” melalui aplikasi pesan Telegram. Si pencuri dapat memanfaatkan akses ke berbagai email, media sosial, atau bahkan akun perbankan (dan klien yang disebutkan di atas) milik korban.
Mereka lalu bisa saja menyalahgunakan akun-akun tersebut untuk melakukan pembelian, transaksi, mencuri identitas, mendistribusikan perangkat lunak berbahaya (termasuk Bloody Stealer, ransomware, penambang cryptocurrency, dll.), menyebarkan spam, atau untuk tujuan jahat lainnya. Atau menjual koleksi hasil curiannya tersebut di pasar gelap.
Pencuri info bisa menginfeksi baik komputer korporat maupun pribadi. Pencurian password terhadap komputer pribadi bisa menciptakan eksposur yang lebih besar bagi keduanya. Terutama saat si pelaku berhasil mensinkronkan hasil curiannya dengan pangkalan data milik perusahaan terkait.
Sinkronisasi ini memungkinkan infostealer untuk semakin menghindari langkah-langkah keamanan yang ketat di lingkungan perusahaan, memungkinkan infostealer tetap berada di sistem korban lebih lama, dan selalu memutakhirkan informasi.
Dalam catatan Accenture, makin banyaknya “bot” pemanfaat data hasil curian patut diwaspadai. Bot ini berupa peranti lunak mini yang menggabungkan fungsionalitas pencatat kredensial login, dan sesi cookie melalui plug-in di peramban, yang memudahkan pemanfaatan data curian.
Pasar penjualan “bot” ini di pasar gelap terus meningkat sejak 2017—dari sekitar 76.000 “bot” untuk dijual antara Desember 2017 dan Desember 2019, menjadi lebih dari 11 juta “bot” dijual antara Desember 2019 hingga November 2021.
Peningkatan pesat ini berkat kerja jarak jauh yang marak selama pandemi COVID-19, dan penggunaan sistem keamanan otentifikasi multi-faktor yang makin luas (MFA). Keduanya membuat utilitas dan nilai dari “bots” tersebut meningkat tajam, memicu upaya pencurian data kredensial di dunia.
Ditambah lagi, kewaspadaan pengguna internet di Indonesia yang rendah menjadikan mereka sasaran empuk bagi pelaku kejahatan daring. Capaian literasi digital Indonesia, khususnya pada bagian Digital Safety, merupakan skor literasi digital terendah. Kondisi ini tergambar dari survei Kementerian Kominfo.
Darimana asalnya maling ini?
Dengan contoh Bloody Stealer, e-maling ini bisa menyusup ke komputer lewat berbagai cara. Paling umum adalah penyerang menggunakan email phishing. Mereka mengirim email berisi lampiran berbahaya atau tautan ke situs web yang dirancang untuk menginstal malware. Penerima menginfeksi komputer mereka sendiri setelah membuka file atau mengklik tautan berbahaya itu.
Penjahat dunia maya menyamarkan email phishing sebagai email penting atau resmi untuk mengelabui penerima agar membuka berkas tertentu, misalnya berkas Ms Office terinfeksi, dokumen PDF, RAR, ZIP atau arsip lainnya, juga file yang dapat dieksekusi (seperti .exe) atau file JavaScript.
Dalam kebanyakan kasus, penjahat dunia maya menggunakan situs web tidak resmi, situs unduhan peranti lunak gratisan, hosting gratisan, jaringan Peer-to-Peer (klien torrent, atau eMule), pengunduh pihak ketiga, dan saluran lain sejenis untuk mengelabui pengguna agar mengunduh penginstal malware.
Phishing juga bisa berupa tautan untuk mendapatkan hadiah yang menggiurkan, undangan rapat daring, atau sekadar tautan untuk mengunduh atau membuka sesuatu yang mengusik perhatian—seperti pornografi. Jadi, berhati-hatilah bila mendapatkan surel dengan isi tautan mencurigakan.
Metode populer lainnya adalah dengan mengelabui pengguna agar menginstal jenis trojan tertentu. Ada trojan yang dapat menginfeksi komputer dengan malware tambahan. Biasanya, trojan menyamar sebagai program yang sah. File yang diunduh dari situs atau kanal yang tidak dapat dipertanggungjawabkan, lazim digunakan sebagai cara mendistribusikan malware lewat cara ini
Pengguna menginstal malware dengan membuka/mengeksekusi unduhan berbahaya tersebut. Beberapa peranti lain yang digunakan operator pencurian password untuk mendistribusikan program jahat ini adalah lewat paket pembaruan peranti lunak palsu, atau alat aktivasi peranti lunak abal-abal.
Peranti lunak abal-abal ini tidak melakukan apa yang dijanjikan, alih-alih menginstal perangkat lunak berbahaya atau menginfeksi komputer dengan mengeksploitasi kekutu dari peranti lunak usang. Alat aktivasi peranti lunak tidak resmi, yang juga dikenal sebagai alat ‘cracking‘, sangat berbahaya karena bisa jadi tunggangan peranti jahat tersebut.
Bagaimana menghindari malware?
Disarankan untuk menghindari unduhan yang berasal dari situs web yang meragukan, jaringan Peer-to-Peer, pengunduh pihak ketiga, dan sebagainya. Berkas atau aplikasi sebaiknya hanya diunduh dari halaman web resmi yang sah, dan menggunakan tautan langsung.
Hindari juga membuka lampiran atau tautan situs web dalam email yang mencurigakan. Terutama ketika email tersebut dikirim dari akun yang mencurigakan atau tidak dikenal. Satu lagi cara untuk menghindari penginstalan malware adalah dengan mengaktifkan sistem pembaruan perangkat lunak apapun yang diinstal dengan benar, dan secara rutin memperbaruinya.
Hal ini perlu dilakukan lewat fungsi atau peranti yang disediakan pengembang resmi. Alat tidak resmi/pihak ketiga, sebaknya tidak digunakan untuk memperbarui atau mengaktifkan perangkat lunak apa pun. Peranti yang tak bisa dipercaya itu sanagt mungkin dibandel dengan malware.
Hati-hatilah bila berkunjung ke situs aneh dan mencurigakan. Bila tidak meyakinkan, coba periksa statusnya ke layanan pendeteksi malware, seperti buatan Google ini. Dari daftar situs dalam pengumuman Dark Tracer, kami mencoba memeriksa 10 situs teratas, dan Google menyatakan tidak menemukan konten berbahaya di situs-situs tersebut.
Bantuan seperti dalam laman Google barusan, hanya bisa mendeteksi apakah sebuah situs berpotensi mengirimkan malware. Alat ini tidak bisa membantu Anda mendeteksi peranti jahat yang kemungkinan terkirim lewat kotak surat elektronik. Ingatlah selalu, jangan klik atau unduh sembarang lampiran (attachment) dari kotak surel Anda. Lebih baik berhati-hati daripada menyesal.
Disarankan untuk menggunakan aplikasi yang sah dan resmi. Pindai sistem operasi secara teratur, dan gunakan perangkat lunak antivirus atau anti-spyware yang memiliki reputasi baik. Jika yakin bahwa komputer Anda sudah terinfeksi, segera jalankan pemindaian dengan peranti khusus untuk menghilangkan malware yang telah menyusup secara otomatis.
*Photo by Anete Lusina from Pexels