Berminggu-minggu ARA KOMPUTER mengikuti jejak mafia Rusia serta mengamati bagaimana bisnis mereka dijalankan dan malware baru diproduksi. Dari luar, kalangan ini tampak sangat eksklusif dan tidak dapat diakses. Namun, setelah tim ARA KOMPUTER berhasil menyusup, semuanya terasa sangat mudah.
Tanpa malu-malu dan sembunyi lagi, kejahatan terorganisir menawarkan layanannya. Pemerintah maupun perusahaan keamanan sama sekali tidak mereka takuti. Kekalahan atas aparat keamanan yang jarang terjadi diterima secara santai.
Pada tanggal 11 September 2007, Dinas Kriminal dan Jaksa Federal Jerman mencatat sukses besar dengan menangkap komplotan phishing internasional.
Penyelidikan berlangsung selama 18 bulan. Penyidik mengikuti aliran uang dan mengawasi pelaku. Akhirnya, 8 orang ditangkap di Jerman 2 wanita dan 6 pria yang berasal dari Jerman, Ukraina, dan Federasi Rusia. Mereka dianggap sebagai dalang dari banyak serangan phishing.
Dengan e-mail palsu yang seolah-olah datang dari Deutsche Telekom AG, eBay, dan berbagai perusahaan terkenal lainnya, mereka berhasil memancing korban dan menyebabkan kerugian beberapa ratus ribu Euro.
Salah satu pukulan terbesar dari penegak hukum Jerman tersebut bagi mereka hanya dianggap sebagai gigitan nyamuk. Sepuluh hari kemudian, gelombang phishing berikutnya melanda pengguna Internet di Jerman. Celah yang ditinggalkan oleh komplotan tersebut telah ditutup. Mail palsu dari bank-bank ternama kembali memenuhi mailbox. Tujuannya hanya satu, korban terpancing memberikan data account yang relevan berikut PIN dan password.
Bisnis Internet: cara kalangan bawah tanah berkomunikasi
ARA KOMPUTER masuk ke sudut-sudut tergelap Internet secara menyamar. Di sana, para pelaku kejahatan terorganisir melakukan transaksinya. Pencarian dalang bisnis milyaran dollar dimulai dari sebuah forum yang tampak tidak berbahaya. Tempat-tempat kontak penting mafia Internet adalah website (forum) yang bebas diakses siapa saja. Alamat pertama ini yang harus Anda kenal—tujuan selebihnya diberikan melalui link dari sana.Dengan cepat ARA KOMPUTER dapat sampai ke website seperti Car-der-Biz, Anti-Chat, dan Zloy. Di sini, semua peserta bertemu, bertukar info mengenai celah keamanan, dan jual-beli ‘barang’. Semua bergerak serbacepat. Ketika sebuah forum tiba-tiba tidak dapat lagi diakses akibat pemblokiran, di tempat lain langsung muncul dua forum baru penggantinya. Tim ARA KOMPUTER juga harus selalu mengikuti dengan cermat agar tidak sampai kehilangan jejak.
Tak soal ke mana ARA KOMPUTER berkunjung, di mana-mana ARA KOMPUTER dapat menemukan nama yang sama, misalnya Infected Team yang menawarkan jaringan bot untuk spam dan serangan phishing. Mereka sangat sukses sehingga memiliki website sendiri. Beberapa pelaku sudah cukup puas dengan artikel forum yang diulang ratusan kali di Internet dengan copy & paste.
Hacker Morozov yang menawarkan trojan-kit Power Grabber, beriklan dengan sebuah screenshot dan keterangan singkat mengenai malware khusus online-banking berikut nomor ICQ-nya. Mereka yang ingin berbisnis akan mendapatkan detailnya dalam pembicaraan virtual secara ‘empat mata’.
"Trojan terbaik ditawarkan seharga 300 dollar. Sangat murah." Shalten, penjual trojanChatting sangat digemari di kalangan ini, terutama melalui ICQ. Proteksi ICQ memungkinkan routing melalui sock-proxy yang menjamin anonimitas. Dari sini saja, sudah terbentuk cabang bisnis baru. Para pengunjung forum Nomerkov misalnya, memiliki spesialisasi mendapatkan nomor ICQ yang singkat dan unik. Seperti nomor telepon, alamat ICQ yang mudah diingat memiliki suatu nilai lebih. Hacker seperti Komarik dan Krokus menawarkan jasa untuk mendapatkan password account ICQ semacam itu dengan tool Malefic Brute. Dengan harga antara 7-70 dollar/hack yang berhasil, layanan ini merupakan sebuah bisnis yang menguntungkan.
Hacker ICQ tidak bermodal dengkul, mereka juga mengeluarkan biaya. Mereka memerlukan pengelola jaringan bot dan PC-PC zombie yang dapat disewa. Fraud Crew berbisnis di bidang ini dengan menawarkan proxy secara llatrate seharga 70 dollar/ bulan. Dengan biaya sebesar ini, penyewa memiliki akses ke sekitar 700 PC Zombie yang dibutuhkan untuk proses hacking ICQ. Dengan jaringan berisi 700 sock-proxy, serangan Brute-Force dapat dibagi ke banyak account dan alamat IP—sangat cepat dan aman.
uang lebih banyak daripada bekerja magang secara legal. Bahkan, beredar rumor bahwa mereka langsung direkrut dari universitas untuk pembuatan trojan.
Tim ARA KOMPUTER mendapat informasi bahwa phisher favorit saat ini adalah Pinch 3. Trojan-kit yang juga digunakan untuk phi-shing-mail oleh komplotan yang ditangkap di lerman ini dapat membuat sebuah program mata-mata kecil yang ampuh. Bila korban menjalankan file mata-mata ini, semua password dibaca dan dikirim ke hacker melalui mail atau HTTP.
Namun, trojan jenis do-it-yourself ini memiliki kelemahan besar. Tbol mata-mata semacam ini memiliki banyak kemiripan satu sama lain sehingga mudah bagi perusahaan keamanan untuk membuat signature yang dapat mengenali ratusan varian sekaligus. Dalam jargon forum, trojan semacam itu disebut 'burned'—terbakar.
Kalangan phisher tidak pernah menyerah. Bukannya menulis ulang trojan agar sulit dikenali, mereka malah memrogram downloader atau dropper. Ini adalah program-program sederhana yang tugasnya men-download malware sebenarnya dari Internet. Varian terkecil saat ini berukuran 474 byte—setengah dari ukuran dokumen Word kosong. Seringkah program semacam ini sudah dilengkapi dengan fungsi untuk mematikan software proteksi seperti firewall atau virus-scanner.
Untuk mencegah agar downloader tidak 'terbakar’, di forum-forum sedang booming tawaran EXE-packer dan EXE-crypter. Hacker tidak tertarik untuk mengecilkan malware. Bagi mereka, yang lebih penting adalah berubahnya signature melalui proses kompresi dan enkripsi.
Metoda tersebut sangat sukses sehingga perusahaan keamanan seperti Symantec tidak dapat lagi mengandalkan metode sidik jari ‘signature’ dan harus menggunakan teknik-teknik baru seperti analisis berbasis perilaku. Dengan teknik ini, sebuah program keamanan dapat mengenali sebuah downloader ketika ia berupaya mematikan firewall dan men-download sebuah tool dari Internet.
Berbagai tools yang ARA KOMPUTER temukan memiliki satu persamaan, yaitu semakin profesional. Bahkan, saat ini, para pakar sendiri sudah sulit membedakan mana aplikasi yang baik dan mana yang buruk. Sebagai contoh, tool untuk menyerang yang paling sederhana bernama Joiner dapat membundel file baik—biasanya gambar atau game ringan—dengan trojan. Pengguna yang membuka paket ini dapat langsung terjerat oleh mafia Internet.
Membeli trojan sangat mudah. Sekelompok phisher hanya perlu memikirkan apa yang diperlukan dan segera dapat mulai bekerja. Lalu, bagaimana cara membayar 'barang’ ilegal tersebut? Untuk mengetahuinya, ARA KOMPUTER mencoba berbisnis dengan membeli trojan Power Grabber. Menurut keterangan, software ini mampu memata-matai password tanpa ketahuan.
Seperti yang biasa dilakukan di kalangan underground, ARA KOMPUTER menghubungi penjual melalui ICQ. Ia curiga dan ingin mengetahui dari mana ARA KOMPUTER mendapatkan alamatnya. ARA KOMPUTER menyebutkan forum yang bersangkutan dan mendapatkan sebuah alamat ICQ. Ia percaya dan transaksi mulai berjalan.
Trojannya sudah agak tua. Hacker tahu, ARA KOMPUTER pun tahu. Satu-satunya yang baru pada trojan ini adalah signature yang diubah dengan sebuah crypter. ARA KOMPUTER mencoba menawar dalam bahasa Inggris yang terpatah-patah. Hacker meminta 300 WBZ. WBZ adalah penyedia layanan e-payment WebMoney Transfer yang disukai kalangan bawah tanah. Mata uang WBZ dikonversi 1:1 ke USD.
Tampaknya, tim ARA KOMPUTER berhasil mencapai kesepakatan harga dan mendapatkan data sebuah account di WebMoney. Di sini ARA KOMPUTER berhenti. Bila ARA KOMPUTER membayar dan penjualnya menepati janji, ARA KOMPUTER akan dapat men-download trojan dari sebuah portal download di Rusia serupa dengan RapidShare dalam bentuk arsip RAR terenkripsi.
Bisnis malware: hacker tetap anonim
Apakah hacker dapat ditemukan melalui nomor accountnya? Mungkin tidak. Pada pandangan pertama, sebuah account di WebMoney tampak tidak terlalu anonim. Namun, "Uang tidak pernah ditransfer secara langsung, tetapi melalui beberapa saluran," jelas pakar keamanan Eugene Kaspersky.Agar tidak dapat dihubungkan dengan penjualan malware, para hacker menggunakan perantara. Satu-satunya tugas perantara ini adalah mengelola sebuah account dan mentransfer uang yang masuk ke account hacker. Untuk pekerjaan ini, sang perantara mendapatkan komisi sampai dengan 10%, tergantung jumlah uangnya. Account hacker yang biasanya dibuat di luar negeri— dapat dipastikan menggunakan nama palsu. Mereka kemudian mengambil uangnya secara cash melalui ATM.
Cara yang hampir sama digunakan pada serangan phishing. Bila phisher mendapatkan data seperti PIN, TAN (nomor akses transaksi), dan nomor account, ia akan mentransfer uang korban melalui online-banking ke seorang perantara yang meneruskan lagi ke satu atau beberapa perantara lainnya. Perantara terakhir akan mentransfer uang ke berbagai account asli (dengan data palsu) milik phisher. Di banyak negara, pencucian uang semacam itu dilarang. Artinya, meskipun tidak melakukan tindakan ilegal, Anda tetap terancam hukuman.
Bisnis terselubung yang sering digunakan oleh para hacker adalah iklan dan affiliate-link. Di berbagai forum sering didapati iklan penyedia traffic-handler.
Layanan yang pertama adalah menjual traffic. Bila website Anda kurang populer dan Anda ingin meningkatkan frekuensi kunjungan serta ranking di Google, Anda dapat membeli pengunjung. Pengelola jaringan bot langsung membanjiri blog dan forum Anda dengan spam yang berisi komentar dan (ini yang berbahaya) link untuk memancing pengunjung ke website hacker.
Layanan kedua adalah membeli traffic. Pada banyak website, misalnya iFrame.biz, para peselancar ARA KOMPUTER menemukan iklan dari phisher untuk memperoleh uang secara cepat. Tawarannya adalah mengintegrasikan sebuah iFrame yang katanya tidak berbahaya ke dalam website Anda. Untuk setiap 1000 pengunjung, pemilik website mendapatkan 25 sen USD. Sebenarnya, website dalam iFrame tersebut berisi download atau adware yang berbahaya—tidak seperti kata penjual, legal dan sama sekali tidak berbahaya.
Beberapa pengelola website porno juga senang menggunakan jasa mafia Internet dan jaringan botnya. Dengan imbalan sejumlah uang, korban diarahkan oleh mafia ke website porno. Selain mendapatkan banyak banner iklan biasa, saat berselancar korban juga menerima tampilan iklan website porno. Ini merupakan sebuah bisnis yang tampaknya menguntungkan banyak orang.
Pelaku: siapa yang berada di balik bisnis ini?
Siapa yang berada di balik bisnis-bisnis gelap di Internet? Ini adalah pertanyaan yang paling menarik. Namun, para pakar yang telah menangani hal ini selama bertahun-tahun pun tidak dapat memberikan jawaban yang memuaskan kepada tim ARA KOMPUTER.Saat pameran keamanan BlackHat pada bulan November 2007 yang lalu, seorang hacker mengungkapkan dugaannya kepada ARA KOMPUTER bahwa kemungkinan besar mafia klasik Rusia yang berada di balik bisnis-bisnis tersebut. Banyak juga orang yang percaya pada teori konspirasi bahwa bisnis ini didalangi oleh mantan anggota KGB (dinas rahasia Uni Sovyet yang sudah dibubarkan) dan ClA. Para aparat yang berwenang juga tidak dapat memberikan jawaban yang pasti. Ketika ditanya apakah dalangnya adalah sebuah organisasi mapan, mereka menjawab, "Kami tidak dapat mengatakannya bahwa semuanya seperti itu." Sebuah jawaban yang sama sekali tidak jelas!