Rekaman CCTV bank saat pelaku menarik uang hasil kejahatan
Berita Hari Ini ~ Syaifuddin Sayuti kaget bukan kepalang saat menerima pesan singkat beruntun dari rekan-rekannya. Semuanya menanyakan soal pinjaman yang dimintanya. Salah satunya bahkan mengaku telah mengirimkan Rp 500 ribu ke sebuah rekening.
"Saya panik, bingung, lemas seketika," kata Syaifuddin, menceritakan kejadian dua tahun lalu. Pengajar di Kalbis Institute itu tak merasa pernah mengemis bantuan.
Menurut rekan-rekannya, permintaan pinjaman disampaikan lewat Facebook miliknya. Syaifuddin makin bingung. Ia tidak pernah melakukannya.
Setelah diingat-ingat, pria itu mengaku menemukan kejanggalan pada Selasa malam, 2 Februari 2015. Kala itu, akun Facebook dan Gmail miliknya tak bisa diakses. Hal tersebut terjadi sesaat setelah ia membuka tautan sebuah situs.
Ia ingat, ketika membuka link tersebut, ada perintah untuk memasukan nama pengguna Facebook, lengkap dengan kata sandi.
"Saya dapat link itu dari teman. Saya buka karena saya pikir ada informasi penting, jadi saya ikuti saja perintah dalam website itu," tutur Syaifuddin.
Belakangan, pria yang tinggal di Jakarta itu sadar, ia jadi korban pembajakan email (email hijacking). Pelaku, yang memegang penuh kendali email dan akun Facebook miliknya, kemudian menyalahgunakannya untuk meminta rekan-rekannya mengirim uang ke sebuah rekening.
"Akhirnya saya minta tolong untuk diumumkan bahwa akun Facebook saya dibajak orang," ucap laki-laki yang aktif di media sosial itu.
Ia juga membuka ruang diskusi di blog terkait musibah yang baru saja ia alami. Ternyata banyak orang yang mengalami kejadian serupa. "Jadi polanya circle, memang menyasar teman-teman terdekat," kata Syaifuddin.
Jangan salah kira, bukan hanya para pemilik akun pribadi yang jadi target. Kerugian akibat pembajakan email ternyata bisa terjadi dalam skala besar, melibatkan jaringan internasional, dan menimbulkan kerugian hingga miliaran rupiah.
Pihak Direktorat Tindak Pidana Ekonomi Khusus, Subdit Cyber Crime, Polri membeberkan sebuah kasus besar yang menggunakan modus pembajakan email di Indonesia. Perkara ini tidak pernah terekspose secara luas di media massa.
Iptu Ericson Siregar, penyelidik yang ikut menguak kasus tersebut, menyebut nama sebuah perusahaan yang rugi besar akibat pembajakan email. Sebut saja dengan inisial PT IFA.
Menurut, Iptu Ericson, PT IFA melakukan transaksi bisnis dengan sebuah perusahaan asal China yang berkedudukan di Irak, pada 30 September 2015.
Nilai transaksinya mencapai US$ 202.539,05 atau berdasarkan kurs saat itu nilainya mencapai Rp 2,9 miliar.
PT IFA menagih uang pembelian silikon mangan tersebut ke sebuah perusahaan perantara di Hong Kong. Tagihan dikirim lewat email. Komunikasi pun terjalin.
Namun, pada pukul 15.00 WIB, PT IFA menerima dua surat elektronik, atas nama perusahaan perantara, yang menginformasikan bahwa uang telah ditransfer ke nomor rekening yang diminta.
Anehnya, alamat email keduanya berbeda, nomor rekening yang tercantum pun berbeda. Satu milik PT IFA, lainnya atas nama PT Bangun Empati Sukses Terjadi.
Saat saldo rekening dicek, tak ada penambahan uang sesuai nominal yang telah disepakati. Kisruh pun terjadi, spekulasi bermunculan. "Akhirnya timbul ketegangan di antara dua perusahaan yang sebelumnya saling percaya," kata Iptu Ericson Siregar. Pihak PT IFA kemudian melapor ke polisi.
Sebulan melakukan penyelidikan, para penyelidik Direktorat Tindak Pidana Ekonomi Khusus, Subdit Cyber Crime, Polri, akhirnya menemukan titik terang.
Dugaan kuat mengarah ke tiga orang pelaku: Caroline NV Siregar, Jessica Angel, dan Johan Susanto. Tim dari Subdit Cyber Crime pun membekuk para tersangka. "Mereka kami tangkap sekitar Desember 2015," ungkap Iptu Ericson Siregar.
Polisi mendapatkan bukti CCTV dari kantor pusat salah satu bank swasta di Jakarta. Dalam rekaman terlihat, pada 1 Oktober 2015, sekitar pukul 16.00, dua tersangka menarik uang sebesar Rp 2,9 miliar. Tunai!
Para pelaku sudah dijatuhi vonis. Salah satu pelaku, Caroline NV Siregar, telah divonis kasasi oleh Mahkamah Agung pada 8 Maret 2017. Ia dipidana selama 3 tahun penjara dan denda Rp 1 miliar.
Meski pelaku telah divonis, Iptu Eric Siregar mengaku ada yang belum tuntas.
Dari hasil penyelidikan dan penyidikan, ketiganya ternyata hanya suruhan alias kroco. Sementara otak kejahatan sesungguhnya masih kelayapan. Mereka adalah sindikat pembajakan email dari Nigeria. "Hingga saat ini jaringan sesungguhnya belum terungkap," kata dia.
Merunut akar persoalan yang menyebabkan Rp 2,9 miliar raib, polisi menemukan email yang mirip dengan alamat surat elektronik kepunyaan PT IFA dan perusahaan perantara--dengan sejumlah modifikasi yang bisa mengecoh mata orang.
Saat dilacak, ternyata IP address dua email, yang belakangan terbukti fiktif, berasal dari Nigeria.
Temuan itu menguatkan dugaan polisi, kasus yang sedang mereka tangani merupakan ulah sindikat internasional, khususnya dari Nigeria.
"Biasanya jaringan email hijacking paling atas itu Nigeria," ungkap Iptu Ericson Siregar.
Menurut Ericson, pelaku telah melakukan apa yang disebut dengan "rekayasa sosial". Pertama, pelaku meretas email target untuk mengetahui semua aktivitas pemiliknya.
Dalam kasus ini, pelaku meretas milik PT IFA dan mengamati aktivitas di dalam email tersebut untuk menemukan celah yang tepat untuk menjalankan aksinya.
Momentum didapat pada 30 September 2015, di tengah transaksi yang dilakukan lewat dunia maya. Caranya, dengan menarik email tagihan yang dikirim PT IFA ke perusahaan perantara, lalu menggantikan dengan email baru yang isinya telah diubah.
Dengan email palsu, pelaku mengubah nomor rekening tujuan transfer yang asli dengan rekening lain. Akibatnya, uang yang seharusnya ditransfer ke rekening IFA dibelokkan ke kantong sindikat.
Selanjutnya giliran para "kroco" di Indonesia yang mengambil alih permainan. Ketiganya yang mengendalikan PT Bangun Empati Sukses Terjadi.
Mereka sengaja membeli perusahaan itu sebelumnya untuk menampung uang gelap dari pelaku.
"Jadi PT ini digunakan oleh si pelaku untuk menjadi wadah dia mengirimkan dana, cuma itu saja," ungkap Eric.
Aksi mereka terekam di CCTV. Uang tunai yang diambil dari bank dimasukkan dalam tujuh kantong kain, yang dibawa pergi dengan taksi yang sudah menanti di luar.
Setelah mengosongkan rekening, duit haram itu lalu dikirim ke otak sindikat menggunakan jasa layanan pengiriman. "Jadi uang itu dikirim ke Nigeria menggunakan MoneyGram," tambah Eric.
Saat diperiksa, ketiga pelaku mengaku jadi kaki tangan sindikat asal Nigeria, dengan bayaran Rp 25 juta.
Ada alasan penting mengapa kasus yang sudah lama itu diangkat kembali. Sebab, faktanya, kejahatan dengan modus pembajakan email masih marak, baik yang menyasar pribadi maupun perusahaan besar.
"Kemarin waktu saya piket saja, masuk tiga laporan kasus email hijacking," ungkap Iptu Ericson Siregar hari Jumat, 13 Oktober 2017.
Menurut Eric, hal tersebut lantaran lemahnya kesadaran publik terhadap keamanan aset digital yang dimiliki. Temuan polisi mengungkap, hampir semua korbannya masih menggunakan domain email publik.
Padahal, tak jarang, aktivitas dalam email tersebut menyangkut transaksi uang dalam jumlah besar.
Di sisi lain, menangkap otak pelaku pembajakan email bukan perkara gampang. Keberadaan mereka sulit dilacak. Mereka merekrut orang lapangan untuk menjalankan aksinya. "Tantangan terberat, mengungkap pelaku utama karena mereka pintar sekali menggunakan proxy," ungkap Ericson.
Sementara, konsultan keamanan siber, Alfons Tanujaya mengatakan, masih banyak pegawai di perusahaan-perusahaan besar di Indonesia yang lalai terhadap keamanan penggunaan email.
Hal tersebut disebabkan kurang pemahaman tentang teknologi informasi atau tidak teliti, sehingga pelaku mudah melakukan aksinya.
"Biasanya banyak yang gaptek, jadi bisa dikelabui dengan rekayasa sosial," ujar konsultan keamanan siber, Alfons Tanujaya. Di sisi lain, modus pelaku pembajakan email juga kian canggih. Salah satu yang tren saat ini, menggunakan web phising.
Web phising merupakan salah satu teknik untuk mendapatkan alamat email dan kata sandi target. Caranya, dengan membuat situs palsu yang mirip dengan tampilan website tertentu.
Target akan masuk dalam jebakan ketika mengira situs tersebut merupakan website asli, lalu memasukkan nama pengguna serta kata sandi yang ia miliki. Padahal, saat memasukkan nama pengguna dan kata sandi, datanya direkam oleh pelaku. Sehingga pelaku dapat leluasa mengakses email target.
Untuk menguasai modus kriminal itu ternyata tidak membutuhkan waktu lama dan kemampuan teknologi informasi yang tinggi.
"Rasanya orang yang berkecimpung di dunia internet selama tiga bulan saja juga pasti bisa," kata dia.