Kejahatan Antarnegara: Dua Hacker Indonesia Curi Data, Sedot Dana Rp480 M

Ilustrasi hacker mencuri dana (Shutterstock).

Suara Kalbar – Kepolisian Daerah Jawa Timur atau Polda Jatim mengamankan dua tersangka pembuat dan penyebar website palsu (scampage) milik pemerintah Amerika Serikat.

Kedua tersangka yang terlibat berinisial
Shofiansyah Fahrur Rozi (SFR), sebagai penyebar scampage dan Michael
Zeboth Melki Sedek Boas Purnomo (MZMSBP) sebagai pembuat scampage.

“Jajaran Siber Ditreskrimsus berhasil mengungkap tindak pidana kejahatan antarnegara karena korbannya berada di luar negeri, pelakunya ada di Indonesia,” kata Kapolda Jatim Irjen Nico Afinta, dikutip dari Tribrata News Polda Jatim, Minggu (18/4/2021).

Aksi kejahatan tersangka ini berhasil diketahui
tim penyidik Ditreskrimsus Polda Jatim pada 1 Maret 2021 di kamar Hotel
Quest nomor 902 di Jalan Ronggolawe No. 27-29 Wonorejo, Kecamatan
Tegalsari, Surabaya.

Diketahui, dua hacker
ini telah memanfaatkan website untuk mencuri data warga Amerika
Serikat. pemohon dana bantuan untuk korban pandemi Covid-19 atau
Pandemic Unemployment Assistant (PUA) dari Amerika Serikat. Data dari
laman palsu tersebut kemudian dijual.

Adapun jumlah data yang dicuri yakni sebanyak 30
ribu orang dan berasal dari 14 negara bagian. Nico menyebut, kejahatan
yang dilakukan sejak Mei 2020 hingga Maret 2021 ini telah merugikan
setidaknya Rp 480 miliar.

“Pengisian data itu dibuat tersangka untuk
mengambil sejumlah uang. Yang mengisi data dan yang tertipu sebagian
besar warga negara Amerika Serikat. Ini orang-orang yang kena tipu
mengisi data bantuan Covid-19, apabila sesuai mendapat 2000 dolar AS,
yang seharusnya diterima oleh korban tapi justru ke tersangka,” imbuh
Nico.

Menurut Nico, keuntungan yang didapat dua hacker
ini berupa mata uang kripto Bitcoin yang bisa dikonversikan menjadi mata
uang rupiah.

Keuntungan ini juga melibatkan tersangka
berinisial S, seorang warga Negara India yang juga masuk daftar
pencarian orang (DPO). S dinyatakan terlibat karena perbuatan kedua
hacker ini berasal dari permintaannya.

Baca Juga:
Bakamla Bergerak Kapal Tanker Yunani Masuk ZEE Indonesia

Data pribadi milik warga negara Amerika yang
telah didapatkan oleh tersangka SFR dan telah diberikan kepada S via
WhatsApp dan Telegram sekitar 30.000 data.

Keuntungan yang telah diterima oleh tersangka SFR
selama melakukan perbuatan tersebut diatas kurang lebih sebesar 30.000
dolar AS atau Rp 420 juta. Sementara keuntungan yang diterima MZMSBP
sekitar Rp 60 juta.

Pengungkapan kasus ini bermula pada 1 Maret 2021,
di mana petugas Siber Ditreskrimsus Polda Jatim mendapati adanya
kegiatan penyebaran scampage yang menyerupai website resmi pemerintahan
Amerika. Penyebaran ini dilakukan lewat SMS oleh SFR.

Polisi juga menemukan barang bukti seperti laptop
dan handphone yang berisi scampage/website palsu dan data data pribadi
milik Warga Negara Amerika yang didapatkan dari penyebaran
scampage/website palsu tersebut.

Selanjutnya, petugas Siber Polda Jatim menemukan
tersangka MZMSBP di dekat Stasiun Kereta Api Pasar Turi Surabaya, lalu
menemukan adanya script scampage yang tersimpan di dalam laptopnya.

Polda Jatim menyebut kedua tersangka ini
memperoleh data nomor handphone korban dengan menggunakan fitur “Grab
Phone Number” yang terdapat pada tools atau software Phyton. Setelah
mendapatkan ribuan nomor target, maka kemudian dilakukan penyaringan
agar tidak terjadi duplikasi pengiriman menggunakan software
scriptdedupe.py.

Sementara cara kerja scampage yang dikirimkan
menggunakan SMS ke para target. Kepolisian menyebut ada target yang
tidak tertipu dan mengabaikan, namun target yang percaya akan mengklik
link URL yang mengarah ke situs palsu tersebut. Data pribadi yang
dimasukkan ke scampage maka secara otomatis terkirim ke akun email SFR.

Kemudian, polisi juga mengungkap cara membuat
scampage yang dilakukan MZMSBP. Ia melihat pada website asli yang ingin
ditiru tampilannya lewat source core dan bahasa pemrograman website
aslinya. Source code ini kemudian dijadikan bahan untuk membuat website
palsu versi tersangka.

Data pribadi yang diminta untuk diisi di website
palsu ini terdiri dari nama, alamat lengkap, SSN (social security
number), driver license number, hingga nomor telepon. Adapun jumlah
website resmi milik pemerintahan Amerika Serikat yang dipalsukan
sebanyak 14 laman.

Polisi menyebut, ada perbedaan di website palsu
dengan website resmi. Domain yang biasa digunakan di website resmi
pemerintahan AS adalah gov (government), sementara scampage menggunakan
domain public seperti .ly, .com, .info, link, dan .net.

Atas perbuatannya, kedua tersangka dijerat Pasal
35 jo Pasal 51 ayat 1 Undang-Undang RI No. 19 Tahun 2016 tentang
Informasi dan Transaksi Elektronik Jo Pasal 55 ayat (1) KUHP, dengan
ancaman hukuman 12 tahun penjara dan/atau denda paling banyak Rp12
miliar.