Serbuan Kuda Troya Rusia

Berkemeja necis, tiga agen Biro Investigasi Federal (FBI) itu duduk mengelilingi Direktur Kriminal Umum Polda Metro Jaya Komisaris Besar Krishna Murti, di ruangan kerjanya, Senin pekan lalu. Dengan saksama mereka menyimak penjelasan Krishna tentang kejahatan cyber yang baru diungkap direktoratnya.

Tak jauh di samping kiri Krishna, berdiri dua warga asing berpakaian tahanan. Mereka adalah Oleksandr Sulima dan Dmitry Gryadskiy, warga negara Ukraina, yang menjadi tersangka kasus pembobolan rekening bank. Dengan tangan terborgol, keduanya hanya mengangguk-angguk mendengarkan pemaparan Krishna. "Keduanya kami tangkap di Jimbaran, Bali," kata Krishna, Senin pekan lalu.

Menurut Krishna, Sulima dan Gryadskiy merupakan anggota jaringan peretas asal Rusia dengan spesialisasi membobol sistem Internet banking. Di Indonesia, sejak beroperasi beberapa tahun lalu, jaringan tersebut telah membobol sekitar 300 rekening nasabah bank, dengan uang yang mereka curi hampir Rp 130 miliar.

Meski Sulima dan Gryadskiy sudah dibekuk, menurut Krishna, pengungkapan kejahatan pembobolan rekening nasabah ini masih jauh dari garis finis. Soalnya, otak utama jaringan mereka belum tersentuh. Polisi menyebut otak jaringan itu bernama Anthon.

Selama ini Anthon beraksi di belakang layar. Ia menggerakkan agennya yang tersebar di berbagai kota besar Indonesia serta luar negeri. Sulima dan Gryadskiy hanya dua dari sekian banyak agen yang dikendalikan Anthon. "Itulah kenapa kami bekerja sama dengan FBI," ujar Krishna.

Sulima dan Gryadskiy kini mendekam di rumah tahanan Polda Metro Jaya. Sejauh ini mereka belum mendapat bantuan hukum dari Kedutaan Besar Ukraina. Kepala Subdirektorat Kejahatan dan Kekerasan Polda Metro, Ajun Komisaris Besar Herry Herryawan, memastikan keduanya dijerat pasal berlapis Kitab Undang-Undang Hukum Pidana, Undang-Undang Transfer Dana, serta Undang-Undang Tindak Pidana Pencucian Uang. Ancaman hukumannya maksimal 20 tahun penjara.

Krishna Murti menyebutkan kejahatan Sulima, Gryadskiy, dan Anthon sebagai phishing malware. Secara harfiah, phishing adalah upaya menilap informasi penting seperti kata sandi dan data kartu kredit. Bila pencurian data sensitif itu dilakukan dengan peranti lunak berbahaya (malicious software), kejahatan itu disebut phishing malware.

Aksi phishing malware Anthon dkk tercium polisi pertama kali pada 13 April lalu. Kala itu tiga bank besar di Indonesia melapor ke Badan Reserse Kriminal Kepolisian RI. Dua bulan berlalu, pengusutan jaringan Anthon oleh Bareskrim hanya jalan di tempat. Akhirnya Bareskrim menawarkan pengusutan kasus tersebut ke Direktorat Kriminal Umum Polda Metro Jaya pada awal Juli 2015. "Mungkin karena kami dianggap punya pengalaman mengusut kasus serupa," ujar Krishna Murti.

Tawaran itu tak disia-siakan. Direktorat Kriminal Umum Polda membentuk tim khusus beranggotakan penyidik Subdirektorat Kejahatan dan Kekerasan, pakar sistem pembayaran perbankan, serta perwakilan unit manajemen risiko bank-bank pelat merah.

Tim ini segera melakukan audit dan uji forensik digital. Mereka memeriksa gawai atau komputer yang dipakai nasabah bank untuk melakukan transaksi. "Temuan kami lalu dicocokkan dengan data transaksi di bank," kata Max Charles, ahli sistem pembayaran yang bergabung dalam tim itu, Selasa pekan lalu.

Menurut Max, perlu waktu minimal sepekan untuk uji forensik setiap gawai atau komputer. "Belum semuanya kami analisis," ujar Max. Toh, Max dkk berhasil menemukan jejak penting. Salah satunya transaksi Internet banking nasabah ternyata diretas dengan peranti lunak semacam kuda Troya alias Trojan.

Di kalangan programer komputer, Trojan dikenal sebagai peranti yang mampu menyusupkan kode-kode berbahaya untuk mengambil alih komputer serta merusak program dari jauh. "Trojan yang dipakai jaringan Anthon bermacam-macam. Ada Boxnet, SpyEye, Zeus, dan Rat," ujar Max.

Seperti tentara yang menyusup dengan kuda Troya pada mitologi Yunani, Trojan masuk ke gawai nasabah bank tanpa disadari pemiliknya. Media perantaranya bisa peranti lunak bajakan, video bajakan, musik bajakan, situs judi, serta situs porno yang pernah dibuka nasabah. "Nasabah secara tak langsung ikut memasukkan Trojan," kata Max.

Begitu Trojan berhasil menyusup, menurut Max, jaringan Anthon baru beraksi. Anthon biasanya memakai Trojan untuk dua tujuan. Pertama, untuk mematikan layar dan membekukan fungsi komputer nasabah ketika transaksi Internet tengah berlangsung. Teknik ini untuk menutupi pengalihan alur transaksi uang nasabah ke rekening milik Anthon dkk.

Anthon juga memakai Trojan untuk melakukan DNS poisoning. Ini adalah teknik membelokkan akses nasabah dari portal Internet banking yang asli ke portal lain yang dikendalikan peretas. Portal lain itu tampil menyerupai situs asli. Nasabah yang tidak jeli akan tertipu dan menyetorkan uangnya ke rekening peretas. "Setelah ditelusuri, IP address-nya semua dikendalikan dari Rusia," ujar Max.

Nah, Sulima dan Gryadskiy berperan ketika uang sudah masuk ke rekening Anthon dkk. Direkrut di Club Sky Garden, Legian, Bali, pada Juni lalu, kedua orang ini bertugas "menjaga" sejumlah rekening Anthon di Indonesia. "Anthon pun meminta mereka menyangkal keberadaan uang ilegal itu jika ditahan," kata Herry Herryawan.

Anthon pula yang mengajari Sulima dan Gryadskiy cara mencuri data identitas orang Indonesia. Identitas curian itu diperlukan untuk membuka rekening penampung 'uang haram'. Cara paling mudah yang diajarkan Anthon adalah membuat lowongan palsu di situs pencari kerja. Dari sana Sulima dan Gryadskiy kemudian mengambil identitas para pelamar.

Sejauh ini hasil digital forensic baru mengantarkan kepolisian pada sepuluh rekening ciptaan Anthon dkk. Empat rekening berada di Bali. Sisanya menyebar di Medan, Jakarta, dan Surabaya.

Berbekal sepuluh rekening temuan tim ahli, polisi lantas menelusuri siapa saja di balik rekening itu. Tiga pekan lebih menelusuri, membuntuti, dan menyadap percakapan telepon, polisi menemukan sebagian rekening Anthon ternyata dikelola orang-orang Indonesia.

Rupanya Sulima dan Gryadskiy yang mengkoordinasi orang-orang Indonesia itu untuk mengirim uang ke rekening Bitcoin milik Anthon. Sebagian uang juga dikirim ke Rusia melalui layanan Western Union. "Keduanya mengatur pengiriman lewat MacBook mereka," ujar Krishna Murti.

Polisi menduga Anthon dkk punya pertimbangan khusus mengapa mereka memakai Bitcoin. Antara lain, mata uang digital itu belum begitu diawasi. Transaksinya pun tak perlu melalui bank. Selain itu, akun Bitcoin bisa dibuka dengan nama samaran. Toh, Sulima dan Gryadskiy pada akhirnya tertangkap juga.

Polisi membekuk Sulima pada 4 September lalu, ketika tengah berasyik-masyuk dengan kekasihnya di Villa Puri Jimbaran, Bali. Adapun Gryadskiy ditangkap keesokan harinya di Toko Nirmala Shop, masih di Jimbaran.

Dari tangan mereka polisi menyita buku tabungan, empat kartu ATM, slip Western Union, slip Bitcoin, dua MacBook, dan dua telepon genggam. Di telepon itu, menurut Krishna, tercatat rencana ekspansi dengan membuka rekening-rekening baru.

Ketika diperiksa pada Kamis pekan lalu, Sulima mengaku hanya menjadi bawahan Gryadskiy. Gryadskiy, yang diperiksa pada hari yang sama, juga membenarkan bahwa Sulima adalah kaki tangannya. "Saya yang berhubungan dengan atasan saya," ujar Gryadskiy.

Penangkapan Sulima dan Gryadskiy tak serta merta menguak jaringan Anthon. Dari uang nasabah Rp 130 miliar yang diduga dibobol jaringan ini, polis baru melacak transaksi Rp 11 miliar di empat kota. Karena itu, kata Krishna, polisi perlu bertukar informasi dengan FBI. "Mereka juga direpotkan oleh jaringan yang sama," ujar Krishna.

Seorang kepala unit manajemen risiko bank milik negara yang bergabung dengan tim polisi mengatakan hal senada. Menurut dia, pengungkapan jaringan Anthon tak akan sepenuhnya menghapus risiko pembobolan Internet banking di Indonesia. Malware, seperti kebanyakan program jahat lainnya, terus berevolusi mengikuti perkembangan sistem keamanan perbankan. "Malware akan terus mencari jalan masuk. Tak ada sistem yang benar-benar aman," ujarnya.

Istman M.P.