Walau gaungnya tidak sekencang tertangkapnya koruptor, pelaku cybercrime banyak pula yang berhasil diciduk. Di Indonesia peristiwa seperti ini masih belum terlalu marak walau aksi cybercrime sudah banyak. Kemungkinan besar karena kita belum punya rambu-rambu yang jelas untuk cybercrime.
Tidak demikian halnya di Amerika Serikat (AS) atau negara lain yang bahkan bisa menjerat seorang pelaku cybercrime dengan rentetan pasal. Tak heran sebab AS memang sudah memiliki UU Cybercrime yang lengkap. Tentu saja karena memang internet sendiri sudah lebih dulu populer di sana. Bahkan memang dari sanalah cikal bakal dunia maya terlahir. Ingat saja bahwa internet memang ditelurkan dari kantor Defense Advance Research Project Agency (DARPA atau lebih dikenal dengan ARPA), sebuah sistem interkoneksi komputer antar sejumlah kampus. Sistem ini dimanfaatkan untuk berkomunikasi, membagi data dan informasi antar empat kampus besar di AS. Jaringan yang kemudian dikenal sebagai ARPANET ini merupakan embrio dari internet yang kini kita kenal. Sejarah itu terjadi pada 21 November 1969, karena itu tak heran kalau Amerika sudah punya sederetan Cybercrime Law yang cukup komplet.
Bagaimana dengan Indonesia? Rahman Samik Ibrahim, salah seorang praktisi TI senior dari Universitas Indonesia menyebut bahwa sesungguhnya internet muncul di Indonesia sejak 1983. UNInet, begitu nama jaringan antar kampus yang terbentuk saat itu, menghubungkan antara pengajar dan peneliti melalui Local Area Network (LAN). Masih sangat sederhana memang, setidaknya bisa dijadikan salah satu tonggak sejarah di mana Indonesia pertama mengenal internet.
Lalu pada 1993 dirintis proyek bernama Catur Karsa Jala Raya (Cakar Jaya), sebuah gagasan mewujudkan internet di Indonesia. Cakar Jaya merupakan usulan pengembangan jala komputer global di Indonesia yang berdasarkan pengalaman masa lalu, keadaan sekarang, dan prakiraan keadaan mendatang.
Tidak banyak yang mengenal kedua hikayat tadi. Bisa disimpulkan bahwa secara resmi internet dikenal di Indonesia sejak 1993-an. Masih seumur jagung dibandingkan dengan sejarahnya di AS. Maka tak heran kalau di bidang Cyber crime Law kita sangat tertinggal jauh.
Berikut ini adalah beberapa kasus cybercrime yang ada di Indonesia dan beberapa di luar negeri.
Dani Xnuxer versus KPU
Masih segar dalam ingatan kita bagaimana seorang Dani Firmansyah menghebohkan dunia hukum kita dengan aksi defacing-nya. Defacing alias pengubahan tampilan situs memang tergolong dalam cybercrime dengan menggunakan TI sebagai target.
Sesungguhnya aksi ini tidak terlalu fatal karena tidak merusak data penting yang ada di lapisan dalam situs tersebut. Defacing biasa dilakukan dalam cyberwar. Aksi ini biasa dilakukan sekadar sebagai peringatan dari satu hacker ke pihak tertentu. Pada cyberwar yang lebih besar ruang lingkupnya, defacing melibatkan lebih adari satu situs. Kasus perseteruan Ambalat antara Indonesia-Malaysia beberapa waktu lalu misalnya, adalah satu contoh cyberwar yang lumayan seru.
Defacing yang dilakukan Dani alias Xnuxer diakuinya sebagai aksi peringatan atau warning saja. Jauh-jauh hari sebelum bertindak, Dani sudah mengirim pesan ke admin situs http://tnp.kpu.go.id bahwa terdapat celah di situs itu. Namun pesannya tak dihiraukan. Akibatnya pada Sabtu 17 April 2004, tepatnya pukul 11.42, lelaki berkacamata itu menjalankan aksinya. Dalam waktu 10 menit, Dani mengubah nama partai-partai peserta Pemilu dengan nama yang lucu seperti Partai Jambu, Partai Kolor Ijo dan sebagainya. Tidak ada data yang dirusak atau dicuri. Ini aksi defacing murni.
Konsultan TI PT. Danareksa ini menggunakan teknik yang memanfaatkan sebuah security hole pada MySQL yang belum di patch oleh admin KPU. Security hole itu di-exploit dengan teknik SQL injection. Pada dasarnya teknik tersebut adalah dengan cara mengetikkan string atau command tertentu pada address bar di browser yang biasa kita gunakan.
Seperti yang diutarakan di atas, defacing dilakukan Dani sekadar sebagai unjuk gigi bahwa memang situs KPU sangat rentan untuk disusupi. Ini sangat bertentangan dengan pernyataan Ketua Kelompok Kerja Teknologi Informasi KPU Chusnul Mar’iyah di sebuah tayangan televisi yang mengatakan bahwa sistem TI Pemilu yang bernilai Rp 152 miliar, sangat aman 99,9% serta memiliki keamanan 7 lapis sehingga tidak bisa tertembus hacker.
Dani sempat melakukan spoofing alias penghilangan jejak dengan memakai proxy server Thailand, tetapi tetap saja pihak kepolisian dengan bantuan ahli-ahli TI mampu menelusuri jejaknya. Lantas, acuan hukum apa yang digunakan oleh aparat untuk menahan Dani mengingat kita belum memiliki Cybercrime Law? Aparat menjeratnya dengan Undang-Undang (UU) No. 36 / 1999 tentang Telekomunikasi, khususnya pasal 22 butir a,b,c, pasal 38 dan pasal 50. Dani dikenai ancaman hukuman yang berat, yaitu penjara selama-lamanya enam tahun dan atau denda sebesar paling banyak Rp 600 juta rupiah.
Berikut kutipan UU No. 36/1999:
Pasal 22
Setiap orang dilarang melakukan perbuatan tanpa hak, tidak sah, atau memanipulasi
a. akses ke jaringan telekomunikasi ; dan atau
b. akses ke jasa telekomunikasi ; dan atau
c. akses ke jaringan telekomunikasi khusus.
Pasal 50
Barang siapa yang melanggar ketentuan sebagaimana dimaksud dalam pasal 22, dipidana dengan pidana penjara paling lama 6 (enam) tahun atau denda paling banyak Rp 600.000.000,00 (enam ratus juta rupiah).
Akhirnya Dani Firmansyah dituntut hukuman satu tahun penjara dan denda Rp 10 juta subsider tiga bulan kurungan oleh Jaksa Penuntut Umum Ramos Hutapea dalam persidangan di Pengadilan Negeri Jakarta Pusat tanggal 9 November 2004.
Buyung versus Republik Indonesia
Jangan lupa juga dengan kasus carding kita. Ingat, nama Indonesia sempat tercemar di tatanan global maya akibat IP kita ada di daftar hitam. Semua tak lain dipicu maraknya carder asal Indonesia.
Salah satu carding yang sempat populer adalah tertangkapnya carder asal Bandung. Buyung alias Sam, mahasiswa 25 tahun menggunakan kartu kredit orang lain untuk transaksi melalui internet. Nilainya mencapai sekitar DM 15 ribu. Aksi ini dilakukan melalui warnet selama satu tahun. Kasus ini diserahkan Polda Jabar ke Mabes Polri. Pertimbangannya karena kejahatan yang dilakukan tersangka berdampak ke berbagai negara, sehingga pengusutannya membutuhkan keterlibatan pihak interpol.
Terbongkarnya kejahatan Buy sendiri berawal dari berita teleks Interpol Wiesbaden No. 0234203 tertanggal 6 September 2001 yang melaporkan adanya penipuan melalui internet dan diduga melibatkan seorang WNI yang bertindak sebagai pemesan barang bernama Buy. Berdasarkan informasi tersebut, jajaran serse Polda Jabar segera melakukan pelacakan dan pencarian terhadap Buy yang disebutkan beralamat di Perumahan Santosa Asih Jaya Bandung. Akhirnya, melalui pengejaran yang terorganisir, Buy bisa ditangkap di rumahnya, tanpa perlawanan.
Menurut Kapolda Jabar waktu itu, saat ini untuk sementara kepolisian akan menjerat sang mahasiswa dengan Kitab Undang-Undang Hukum Pidana (KUHP) soal pencurian dan penipuan mengingat perangkat hukum yang lebih tepat, terutama soal cyberlaw dan cybercrime di Indonesia belum ada.
Belum jelas bagaimana kasus ini ditindaklanjuti sebab pihak kepolisian juga kurang terbuka pada pers. Kabarnya Buyung dilepas setelah diberik semacam wejangan oleh sejumlah praktisi TI dan pihak kepolisian untuk tidak mengulangi perbuatannya. Buyung juga didesak agar memberi pesan moral kepada para carder lain agar tidak melanjutkan aksinya.
Wenas versus Publik Singapura
Yang tidak kalah unik adalah kasus terciduknya hacker asal Indonesia di negeri jiran Singapura. Kasus ini sudah lama berselang memang, tepatnya tahun 2000, tetapi patut dicatat dalam sejarah karena ini pertama kali hacker asal Indonesia diadili di negeri asing.
Saat ini Wenas yang menggunakan nama maya hC didakwa melakukan aktivitas ilegal terhadap server dua buah perusahaan Singapura, baik yang dilakukannya sewaktu masih di Australia maupun setelah mendarat di Singapura. Yang meringankan hukuman adalah fakta bahwa usia terdakwa masih di bawah umur, yakni 15 tahun. Berikut petikan berita yang ditulis oleh Donny BU yang meliput langsung persidangan Wenas tersebut.
Saat hadir di persidangan Pengadilan Rendah Singapura divisi Juvenile Court, hacker terdakwa tersebut didampingi oleh kedua orang tuanya. Bahkan pihak Kedutaan Besar Republik Indonesia (KBRI) menugaskan Thony Saut P. Situmorang (second secretary) dan A.Guntur Setyawan (third secretary) dari bidang konsuler untuk hadir di persidangan.
Persidangan digelar Kamis (20/7/2000) dalam bahasa Inggris. Persidangan dimulai pukul 10.15 waktu Singapura (rencana awal dimulai pukul 09.00) dan baru berakhir pukul 11.30. Dalam persidangan tersebut, bertindak selaku hakim adalah hakim Mark Tay dan sebagai penuntut umum adalah jaksa Chew. Sedangkan pengacara yang mendampingi terdakwa adalah Mimi Oh.
Hadir pula dalam persidangan tersebut Mark Koh, Investigation Officer Computer Crime Branch CID (Criminal Investigation Department) Singapura sebagai investigator dan yang menyusun ‘statement of facts’ (sof) yang berisi kronologis lengkap tindakan terdakwa, mulai dari laporan korban, penahanan, hasil investigasi, fakta kasus hingga kerugian korban. Sof bernomor D/000603/001/D tersebut merupakan bahan rujukan bagi jaksa Chew dalam mengajukan tuntutannya.
Chew saat membacakan tuntutannya memang menyadari usia terdakwa yang masih di bawah umur 15 tahun, sebagai salah satu faktor yang dapat meringankan hukuman. Tetapi tidak tanggung-tanggung berdasarkan sof yang disusun oleh Mark Koh, terdapat 16 buah tuntutan yang merupakan tuntutan untuk setiap aktivitas yang dilakukan oleh terdakwa secara ilegal di server dua buah perusahaan Singapura, baik yang dilakukannya sewaktu masih di Australia maupun setelah mendarat di Singapura.
Pada saat persidangan berlangsung, Mimi Oh menyampaikan pembelaannya dengan harapan dapat mendapatkan keringanan dari hakim. “Dia (terdakwa) tidak bermaksud melakukan kriminalitas. Dia tidak tahu bahwa tindakannya adalah ilegal dan melanggar hukum,” ujar Mimi Oh di depan pengadilan.
Tampaknya hakim Mark Tay tidak percaya dengan pembelaan tersebut. “Masak dia tidak tau. Benarkah dia tidak mengerti bahwa aktivitas hacking itu ilegal?” tukas hakim Mark Tay. Pertanyaan tersebut disampaikan lebih dari satu kali, dan Mimi Oh selalu mencoba meyakinkan pengadilan bahwa terdakwa memang tidak mengerti bahwa tindakannya ilegal. Selain itu, Mimi Oh juga menegaskan bahwa semangat terdakwa yang sebelumnya akan menuntut ilmu di Singapura merupakan hal positif yang hendaknya menjadi pertimbangan.
Mengenai kelakuan sehari-hari terdakwa di pergaulan atau sekolahnya yang barangkali dapat meringankan hukuman, ditolak oleh pengadilan karena terdakwa belumcukup lama berada di Singapura sehingga hal tersebut belum dapat menjadi faktor yang meringankan.
Sampai persidangan usai, belum dapat diambil keputusan mengenai kasus tersebut. Baik hakim, penuntut umum maupun pengacara terdakwa sama-sama membutuhkan waktu tambahan untuk mempelajari kasus unik tersebut. Mengapa unik? Karena ternyata Pengadilan Rendah Singapura baru kali ini menghadapi kasus cybercrime yang melibatkan warga negara asing. Akhirnya pada sidang final ditetapkan bahwa terdakwa dikenai hukuman denda senilai Rp 150 juta. Tidak dijelaskan secara rinci ikhwal pasal-pasal yang dilanggar.
Kevin Mitnick versus Publik Amerika Serikat
Bagaimana dengan negara lain? Amerika serikat sudah punya serangkaian aturan hukum yang mampu menjerat pelaku cybercrime dengan lebih ampuh lagi. Bagi pegaul dunia maya, nama Kevin Mitnik tentu tidak asing lagi. Sampai sekarang nama Mitnick masih cukup populer bagi kalangan underground tanpa kenal batas negara. Kevin Mitnik ditangkap FBI tanggal 15 Februari 1995 dengan tuduhan telah melakukan beberapa computer crime maupun cybercrime.
Ia sudah mengakui empat kasus wire fraud, dua kasus computer fraud dan sebuah kasus penyadapan komunikasi lewat kabel. Tidak tanggung-tanggung, ulah Mitnick telah memakan korban berbagai perusahaan besar seperti Motorola, Nokia, Fujitsu, Novell, NEC, Sun Microsystems, Colorado SuperNet, Netcom On-Line Services, The University of Southern California.
Tanggal 27 Juni 1997 Mitnick didakwa tahap pertama oleh Hakim Mariana R. Pfaelzer selama 22 bulan hukuman penjara. Dan akhirnya pada tanggal 9 Agustus 1999, Hakim Mariana R. Pfaelzer memberikan keputusan final bagi Mitnick. Hakim memutuskan hukuman tambahan 46 bulan bagi Mitnick dan denda ganti rugi sebesar $ 4,125.
Mitnick dibebaskan tanggal 21 Januari 2000 setelah dipenjara selama 4 tahun, 11 bulan, dan 6 hari. Setelah dibebaskan, selama 3 tahun Mitnick berada di bawah pengawasan pihak berwenang dan harus membayar denda. Selama masa itu, Mitnick tidak boleh menggunakan dan mengakses segala jenis peranti keras maupun peranti lunak komputer. Begitu juga, Mitnick tidak boleh mengakses segala jenis komunikasi nirkabel.
Mau tahu berapa banyak pasal yang menjerat seorang Mitnick di Amerika Serikat?
- 18 U.S.C. § 1029: Possession of Unauthorized Access Devices; Penggunaan peralatan akses secara ilegal
- 18 U.S.C. § 1030(a)(4): Computer Fraud; Pelanggaran komputer
- 18 U.S.C. § 1030(a)(5): Causing Damage To Computers; Menimbulkan kerusakan pada komputer
- 18 U.S.C. § 1343: Wire Fraud; Interception of Wire or Electronic Communications; Pelanggaran (komunikasi) kabel, penyadapan lewat kabel atau alat komunikasi elektronik
- 18 U.S.C. § 2(a): Aiding and Abetting; Membantu kejahatan atau melakukan persekongkolan
- 18 U.S.C. § 2(b): Causing and Act to be Done; Menjadi dalang kejahatan
Masih ada lagi pasal-pasal lain seperti:
Undang-undang yang mengatur masalah computer intrusion (pembobolan jaringan komputer) di Amerika Serikat:
- 18 U.S.C. § 1029. Fraud and Related Activity in Connection with Access Devices
- 18 U.S.C. § 1030. Fraud and Related Activity in Connection with Computers
- 18 U.S.C. § 1362. Communication Lines, Stations, or Systems
- 18 U.S.C. § 2510 et seq. Wire and Electronic Communications Interception and Interception of Oral Communications
- 18 U.S.C. § 2701 et seq. Stored Wire and Electronic Communications and Transactional Record Access
- 18 U.S.C. § 3121 et seq. Recording of Dialing, Routing, Addressing, and Signaling Information.
Bayangkan betapa kompleksnya aspek hukum yang berhasil menahan Kevin Mitnick. Sangat jauh dengan pasal yang menjerat seorang Dani di Indonesia. Memang aksi cybercrime yang dilakukan Mitnick jauh lebih parah ketimbang Dani. Namun setidaknya ini bisa memberi gambaran betapa negara yang diisukan menganut azas kebebasan seperti Amerika Serikat punya aturan hukum yang cukup detail untuk menjerat warganya.
John Zuccarini versus Publik Amerika Serikat
Katakanlah yang dilakukan Mitnick masih belum terlalu parah imbasnya bagi publik. Lalu bagaimana dengan aksi seorang John Zuccarini yang terkenal sebagai pelaku cybercrime pornografi?
Zuccarini tercatat sebagai pelaku tindak pornografi di dunia maya yang pertama kali dimejahijaukan. Lelaki usia 53 tahun tersebut memiliki sebuah situs porno. Ia dengan sengaja memikat anak-anak di bawah umur untuk mengakses situs tersebut. Situs milik Zuccarini cukup banyak. Situs-situs yang diberi nama Joescartoon.com, joecartoon.com, joecartoons.com serta cartoonjoe.com dan beragam variasi domain yang mirip itu didaftarkan pada November 1999.
Cara John Zuccarini menarik perhatian dari remaja dan anak-anak agar bisa masuk ke situs pornonya adalah dengan menggunakan nama-nama domain yang populer di kalangan remaja dan anak-anak, seperti Bob the Builder, Britney Spears, Nsync, Disneyland, dan Teletubbies. Kurang lebih ada 3000 domain yang dipalsukannya atau dibuat mirip. Contohnya, ia mendaftarkan nama domain www.dinseyland.com, jadi bila seorang anak mengakses situs-situs palsu tersebut, mereka akan menuju situs yang menayangkan gambar-gambar porno, dan iklan-iklan pop up porno pun segera bermunculan. Zuccarini berdagang The Country Walk, JZDesign, RaveClub Berlin, dan lebih dari 22 nama yang menggunakan kata “Cupcake”, termasuk Cupcake Party, Cupcake-Party, Cupcake Parties, Cupcake Patrol, Cupcake Incident, dan Cupcake Messenger.
Tentu saja banyak anak di bawah umur yang terjebak oleh ulah Paman John ini. Akhirnya ia ditangkap pihak berwajib Amerika Serikat pada hari Rabu tanggal 3 September 2002 di sebuah hotel di Florida, dan sudah berada di penjara kepolisian Manhattan.
Berdasarkan undang-undang Truth in Domain Names Act, tindakan Zuccarini digolongkan sebagai kejahatan karena memikat anak-anak ke dalam pornografi internet. Zuccarini bisa dijatuhi hukuman penjara hingga empat tahun dan denda sebesar 250.000 dolar AS. Undang-undang yang telah dilanggar oleh John Zuccarini adalah sebagai berikut:
- Online Child Pornography, Child Luring, and Related Activities
- 18 U.S.C. § 2251 et seq. (sexual exploitation and other abuse of children)
- 18 U.S.C. § 2421 et seq. (transportation for illegal sexual activity)
- 15 U.S.C. § 1125(d) (the “Act”). Anticybersquatting Consumer Protection Act
- 28 U.S.C. § 1331. This court has jurisdiction by virtue of 28 U.S.C. §§ 41 dan 1291
- 15 U.S.C. § 1117(a)
- 477 U.S. 317, 323 (1986) (quoting Rule 56(c), Federal Rules of Civil Procedure (Celotex Corp. v. Catrett)
- 166 F.3d 65, 74 (2d Cir. 1999). Nihon Keizai Shimbun, Inc. v. Comline Business Data, Inc
- 15 U.S.C. § 1117(a), plenary. Securacomm Consulting, Inc.v.Securacom, Inc., 224F.3d 273, 279 (3d Cir. 2000).
- 15 U.S.C. § 1117(d) (Supps. 2000), The district court in its discretion id. at § 1117(a). attorneys’ fees in “exceptional”.
- 15 U.S.C. § 1117(a) and (d), award attorneys’ fees and statutory
- 15 U.S.C. § 1125(d) (Supp. 2000)
- 15 U.S.C. § 1125(d)(1)(A) cf. Sporty’s Farm L.L.C. v. Sportsman’s Market Inc., 202 F.3d 489, 497-499 (2d Cir. 2000). (3)
- 15 U.S.C. § 1125(c)(1).S. REP. NO. 106-140 (1999), 1999 WL 594571, at*15 (emphasis added).
- 15 U.S.C. § 1117(a). In trademark infringement cases
Chavet Versus Publik Amerika Serikat
Itu tadi contoh-contoh kasus yang sudah berlangsung lumayan lama. Sesungguhnya Cybercrime Law milik Paman Sam sudah menjerat cukup banyak hacker hitam di negara tersebut. Tahun 2005 lalu saja tercatat ada puluhan pelaku cybercrime yang diringkus. Salah satunya adalah mantan karyawan perusahaan search engine Alta Vista.
Peristiwanya sudah cukup lama berselang, Juni 2002. Namun aksi yang dilakukan oleh Laurent Chavet ini baru diputuskan oleh Pengadilan Negeri California pada 2005 kemarin. Chavet didakwa bersalah karena menyusup ke dalam sistem jaringan komputer Alta Vista dan menimbulkan kerusakan di dalamnya. Lelaki berusia 30 tahun asal Kirkland ini telah menggunakan password dan username karyawan Alta Vista untuk mengakses jaringan komputer tempat ia pernah bekerja itu dari rumahnya di Mateo, California. Sejumlah data penting Alta Vista telah dihapus dan dirusak oleh Chavet tanpa sepengetahuan karyawan lain.
Chavet resmi didakwa bersalah pada 2 Juli 2004. Ia dikenai pasal yang mengatur ikhwal pelarangan mengakses tanpa izin ke sistem komputer yang dilindungi, yakni pasal 18 U.S.C. ayat 1030(a)(4). Jerat lain adalah pada pasal yang sama ayat 1030(a)(5) tentang mengakibatkan kerusakan pada sistem komputer yang dilindungi.
Putusan hukuman dilakukan pada 19 Agustus 2005 oleh Hakim Susan Illston dari San Fransisco. Chavet dikenai hukuman penjara lima tahun dan denda sebesar 250.000 dolar Amerika.
Tertangkapnya Chavet adalah hasil investigasi bersama antara pihak Computer Hacking and Intellectual Property (CHIP) Unit of the United States Attorney’s Office dan Federal Bureau of Investigation (FBI).
Anthony S. Clark versus Publik Amerika Serikat
Kasus paling gres yang baru saja diputus hakim Amerika Serikat adalah pembuat program worm Anthony Scott Clark. Pemuda asal Oregon ini masih berumur 21 tahun waktu didakwa oleh penuntut umum Kevin V. Ryan pada Desember 2005 lalu. Penyebabnya terkesan simpel, tetapi fatal akibatnya. Clark sepertinya iseng menyerang situs belanja online eBay dengan worm buatannya. Akibat ulahnya itu Clark berhasil menginfeksi begitu banyak komputer yang mengunjungi eBay pada bulan Juli dan Agustus 2003.
Selama periode itu Clark menyebarkan kerusakan berupa Distributed Denial of Services (DDOS) pada situs eBay. Serangan DdoS merupakan salah satu jenis serangan yang menyebabkan terjadinya penolakan terhadap perintah user. Target dari aksi ini adalah sistemnya.
Selama kurun waktu itu pula Clark telah menghasilkan sekitar 20.000 bots yang dihasilkan program worm-nya. Bots ini masuk melalui celah kelemahan yang terdapat pada Windows Operating System – “Remote Procedure Call for Distributed Component Object Model,” alias RPC-DCOM. Bot ini beraksi melalui server Internet Relay Chat (IRC). Begitu user terkoneksi, melakukan log, lalu Clark tinggal menginstruksi agar bot melakukan serangan DdoS pada komputer yang terhubung ke internet. Secara personal Clarks memerintahkan agar bot-bot itu merilis serangan DdoS pada server bernama eBay.com. Maka bukan hanya komputer yang terhubung dengan IRC saja yang terinfeksi, melainkan juga situs eBay.
Atas tindakannya ini Clark dijerat pasal 18 U.S.C. § 1030(a)(5)(A)(i), (a)(5)(B)(i), (c)(4)(A) dan 2, dengan tuntutan penjara maksimum 10 tahun dan denda 250.000 dolar Amerika Serikat. Pada 3 April 2006 akan dijadwalkan ketokan palu terakhir oleh Hakim James Ware.
Pencipta Spyware Loverspy versus Publik Amerika Serikat
Salah satu ancaman yang tidak kalah bahaya dari worm dan virus adalah spyware. Penyebaran spyware juga menjadi tindakan mengganggu yang tergolong dalam aksi cybercrime. Adalah Carlos Enrique Perez Melara, pencipta sekaligus penyebar program spyware yang diberi nama Loverspy. Seperti halnya spyware, Loverspy mampu menyusupi sistem jaringan komputer untuk kemudian menyerap semua informasi yang ada di dalamnya, sesuai dengan kata “spy” alias mata-mata yang terkandung di dalamnya.
Spyware bersembunyi di balik sebuah peranti lunak bernama Loverspy yang dibuat dan dipasarkan oleh Perez. Para pembeli yang membayar sejumlah 89 dolar AS melalui situs akan terhubung langsung ke komputer Perez di San Diego. Pembeli bisa mengakses area “member” untuk memilih menu yakni kartu ucapan elektronik. Kartu ini bisa dikirimkan ke lima alamat email yang berbeda. Member bisa memilih apakah ia mau mengirim dengan menggunakan alamat emailnya sendiri atau alamat palsu.
Sekali email berisi kartu ucapan ini dibuka oleh penerima, maka otomatis program Loverspy terinstal ke komputernya. Sejak itulah segala aktivitas yang dilakukan di komputer itu mulai dari mengirim dan menerima email, membuka situs bahkan juga password dan username yang diketikkan pemilik komputer akan terekam oleh Loverspy. Semua informasi pribadi ini terkirim ke komputer Perez dan pembeli Loverspy.
Lebih parah lagi, Loverspy memungkinkan pengirimnya untuk memerintah komputer korban, seperti menghapus pesan, mengubah akses, password dan banyak lagi. Bahkan juga mengakses kamera web yang terkoneksi dengan komputer sang korban.
Tidak main-main, ada lebih dari 1000 pembeli Loverspy di AS saja. Mereka ini menggunakan Loverspy untuk memata-matai para korban yang diperkirakan tak kurang dari 2000 user. Untung sejak Oktober 2003 aksi brutal ini dihentikan oleh aparat kepolisian Amerika Serikat.
Perez dijerat berbagai sanksi pelanggaran mulai dari menciptakan peranti yang melanggar hukum, mengirim program dalam bentuk kartu ucapan palsu, mengiklankan program terlarang itu, mengiklankan kegunaan buruk dari program itu, mengakses saluran pribadi orang lain, menyusup ke sistem komunikasi tanpa izin, dan mengakses data di komputer orang tanpa diketahui pemiliknya. Masing-masing pelanggaran itu dituntut hukuman penjara maksimum lima tahun dan denda 250.000 dolar AS per pelanggaran.
Selain Perez, ditahan pula empat orang pengguna Loverspy yaitu John J. Gannitto dari Laguna Beach, Kevin B. Powell dari Long Beach, Laura Selway dari Irvine, dan Cheryl Ann Young dari Ashland. Tidak separah Perez, mereka hanya dikenai sanksi terhadap pelanggaran melakukan akses terhadap komunikasi elektronik orang lain secara ilegal. Kasus Perez ini adalah pertama kalinya pembuat spyware ditangkap dan diajukan ke pengadilan. Yang menakjubkan, adalah seorang Perez dikenai bermacam sanksi seperti:
Count 1: Manufacturing a Surreptitious Interception Device 3 Title 18, United States Code, Section 2512(1)(b)
Count 2: Sending a Surreptitious Interception Device Title 18, United States Code, Section 2512(1)(a)
Count 3: Advertising a Surreptitious Interception Device Title 18, United States Code, Section 2512(1)(c)(i)
Count 4: Advertising a Surreptitious Interception Device Title 18, United States Code, Section 2512(1)(c)(ii)
Counts 5-14: Unlawfully Intercepting Electronic Communications Title 18, United States Code, Section 2511(1)(a)
Counts 15-24: Communications Title 18, United States Code, Section 2511(1)(c)
Counts 25-35: Unauthorized Access to Protected Computers for Financial Gain Title 18, United States Code, Section 1030 (a)(2)(C) and (c)(2)(B)(I)
2.4 milyar poundsterling kerugian akibat kejahatan berteknologi canggih.
Pada tahun 2004, kegiatan bisnis di Inggris sempat mengalami kerugian sekitar 2.4 milyar poundsterling akibat kejahatan yang dilakukan secara elektronik, demikian menurut pengakuan Unit Nasional Kejahatan Teknologi Tinggi (The National Hi-Tech Crime Unit).
Unit ini telah mengklaim bahwa pada kongres kejahatan internet (E-Crime Congress) yang dilaksanakan di London pada 5 April 2005, yang menurut sebuah survei yang dilakukan oleh NOP, sekitar 89% dari sampel contoh yang terdiri dari 200 perusahaan mengatakan bahwa mereka sempat mengalami berbagai bentuk serangan kejahatan berteknologi tinggi sejak tahun 2004.
Menurut survei tersebut, dapat dilaporkan bahwa:
- 90% dari 200 perusahaan di Inggris pernah mengalami serangan penetrasi yang ilegal yang berusaha masuk ke sistem komputer perusahaan mereka.
- 89% merasa pernah dirugikan akibat data-data informasi penting mereka telah dicuri dan lolos keluar melalui jaringan internet
- 97% dari responden pernah mengalami serangan virus komputer yang telah merugikan mereka sekitar 71 poundsterling
- Sementara kerugian akibat penipuan/pemalsuan data finansial (financial fraud) telah merugikan mereka sekitar 9% yaitu sebesar 68 juta poundsterling.
Survei ini juga menemukan bahwa lebih dari seperempat jumlah perusahaan yang menjadi responden telah gagal dalam mengamankan jaringan data mereka saat dilakukan proses audit keamanan jaringan data.
Detektif Superintendent Mick Deats, deputi kepala dari Unit Nasional Kejahatan Teknologi Tinggi (The National Hi-Tech Crime Unit), pernah mengatakan bahwa, “sejak beberapa tahun yang telah lewat, mereka telah menyaksikan gejala peningkatan yang berkesinambungan dalam hal lingkup pelaku kejahatan internet (cyber criminals), namun kami telah dapat membangun sebuah strategi yang efektif untuk menanggulangi hal ini.”
Trevor Pearce, direktur jendral Pasukan Nasional Pencegah Kejahatan (National Crime Squad), pernah mengungkapkan pada para delegasi yang menghadiri kongres ini bahwa “tiga puluh lima persen dari perusahaan-perusahaan yang disurvei di Inggris tidak mempunyai masalah dalam hal prosedur manajemen krisis, dimana dalam hal ini, kami tahu bahwa dari pengalaman panjang menangani jaringan offline dunia, sangat esensial untuk mengenali situasi dan gejala-gejala tindak pemerasan.”
Dia mengkonfirmasi bahwa agen rahasia yang menangani masalah kejahatan serius dan terorganisir (SOCA _ Serious and Organised Crime Agency), telah merencanakan untuk bekerja sama dengan para pegawai pemerintah dalam hal pertanggungjawaban mereka untukmenangani masalah kejahatan berteknologi tinggi yang terorganisir baik lokal maupun internasional melalui unit ini, bila unit ini sudah benar-benar bekerja dengan baik.
Citibank Call Center Fraud mengungkap kurangnya perlindungan data finansial di India.
Pada sekitar bulan April 2005, beberapa perusahaan outsourcing di India mengaku takut diembargo oleh sistem perekonomian barat akibat adanya gejala kebangkitan kejahatan penipuan dan pemalsuan (fraud) melalui internet yang menyasar Citibank. Terdapat tiga mantan pegawai Mphasis, sebuah perusahaan outsourcing di Bangalore dan sembilan orang lainnya yang mengaku pernah berhasil mencuri lebih dari $ 350.000 dari berbagai nomor rekening Citibank yang ada di Citibank Newyork. Para pelaku kejahatan ini telah ditangkap oleh polisi Pune di India setelah mendapat laporan keluhan dari perusahaan rekanan Citibank, Nasscom sebagai salah satu group perusahaan industri bidang jasa TI yang telah menerapkan sebuah sistem pendataan seluruh karyawan secara nasional yang dikenal dengan istilah “Benteng India - Fortress India”.
Kegiatan pendataan ini telah dilakukan sejak sebelum bulan Mei 2005 yang akan mendaftar kurang lebih 350.000 para pegawai yang bekerja di BPO India.
Pengamat sektor industri India, Krishnan Thiagarajan, yang pernah menulis di Grup Publikasi India “eWeek” pernah mengatakan bahwa saat pemerintah Amerika memprotes adanya kerugian akibat sistem outsourcing yang diterapkan (yang berefek terhadap rentannya sistem keamanan data finansial) di Amerika, pemerintah India justru masih belum menangani masalah pengamanan data dan privasi data finansial secara baik di India.
Kasus kejahatan penipuan/pemalsuan (fraud) yang pernah terjadi di India, mengungkap adanya indikasi kebocoran data finansial akibat adanya sistem outsourcing di BPO, katanya lagi, dan keluhan ini disampaikan pada Nasscom maupun pada pemerintah India untuk bertindak lebih serius dalam menangani pengamanan serta perlindungan data, maupun memberlakukan screen test bagi para calon karyawan yang akan bekerja di sektor industri perbankan (baik yang langsung maupun yang melalui outsourcing).
Para pelanggan setia situs Ralph Lauren kebobolan
Para pelanggan setia adi busana rancangan Ralph Lauren yang menggunakan kartu kredit GM Mastercard di toko online Ralph Lauren pada tahun 2005 telah dihubungi oleh penyedia jasa kartu kredit mereka akibat situs Polo Ralph Lauren Group telah kebobolan kecurian sekitar 180.000 data informasi kartu kredit para pelanggannya. Kantor HSBC Amerika Utara telah menghubungi para pemilik kartu kredit tersebut untuk memperingatkan mereka adanya kemungkinan bahwa kartu kredit mereka telah dibobol maling saat mereka berbelanja di layanan situs penjualan pakaian kasual dari Amerika itu. Walau Polo Ralph Lauren tidak juga mengakui akan hal itu (berusaha menyangkal tentang kebenaran kabar itu), namun Wall Street Journal telah mengutip pernyataan dari orang dalam yang bekerja di perusahaan pakaian itu bahwa kasus kebobolan itu terjadi di salah satu layanan yang ada di Amerika.
Polisi Estonia menangkap pencuri digital situs perbankan
Pada bulan April 2005, polisi Estonia telah berhasil menangkap seorang pemuda berusia 24 tahun yang didakwa telah mencuri dan membobol dana sebesar jutaan dollar dari rekening-rekening online bank-bank di seluruh Eropa dengan menggunakan virus yang dapat menghapus dirinya sendiri setelah pekerjaan haram itu dilakukan.
Modus operandi di pencuri adalah dengan menuliskan semacam pengumuman yang mengatasnamakan lembaga-lembaga pemerintah, bank-bank dan perusahaan-perusahaan investasi, yang dalam pengumuman yang dikirim online tersebut dicantumkan pula sebuah link yang secara sembunyi-sembunyi akan mengirimkan (mengupload) virus. Virus ini kemudian mentransmisikan setiap data pribadi, termasuk data rekening dan password internet banking yang dikirimkan kepada si pencuri yang menciptakan virus ini. Setelah pekerjaan mengirimkan informasi finansial ini selesai dilakukan, maka virus itu akan menghapus dirinya sendiri setelah sebelumnya mengosongkan isi seluruh rekening yang ada di rekening yang dibobolnya. Sang pencuri digital itu pun diganjar lima tahun penjara akibat ulahnya.
Pembobol situs eBay diganjar enam tahun penjara
Sebuah pengadilan federal di Amerika pada tahun 2005 telah menjatuhkan hukuman penjara kepada seorang pemuda yang bernama Charles Stergio, 21 tahun dengan hukuman enam tahun penjara akibat ulahnya membobol, mencuri data finansial dan menipu (scamming) para pelanggan situs eBay, dimana akibat ulahnya itu sekitar 321 orang telah dirugikan, dengan total kerugian sekitar $421.000. Hakim akhirnya memutuskan untuk menolak pembebasan dengan jaminan akibat ulah Stergios yang melemparkan wadah berisi air (semacam galon air) ke ruang sidang akibat jaksa penuntut menyebutnya dengan sebutan “maling”.
Pharming mengalahkan Phising
Sebuah gejala baru dalam kejahatan internet telah ditemukan. Pharming adalah sebuah modus operandi baru dalam hal kejahatan internet scamming (pembobolan situs, pencurian data finansial dan penipuan terhadap para pemegang rekening data finansial tersebut). Pharming adalah suatu tindakan membajak dan mengarahkan para pengunjung sebuah situs layanan finansial ke sebuah halaman palsu yang berisi database aneka data finansial (seperti daftar password, nomor kartu kredit, dan data pribadi lainnya yang sangat rentan untuk disalahgunakan). Pharming sangatlah berbahaya. Walaupun seseorang mengetikkan suatu alamat situs dengan benar, namun ia akan dipaksa untuk diarahkan ke sebuah halaman palsu dengan tampilan situs menggunakan alamat situs yang asli. Jadi si pengunjung tidak akan pernah tahu bahwa situs yang sedang dikunjunginya adalah situs gadungan alias palsu.
Pakar perusahaan software keamanan dan software antivirus - Symantec, Oliver Friedrichs mengatakan bahwa ini sama sekali bukanlah karena adanya kesalahan ketik si pengguna internet (pengunjung situs) seperti halnya dalam kasus phising. Si pengunjung situs akan diarahkan ke sebuah situs palsu begitu ia selesai mengetikkan alamat url situs yang akan dikunjunginya (walaupun alamat URL itu diketik dengan benar).
Jika phising itu ibarat kegiatan memancing ikan, maka pharming ibarat menjaring ikan di lautan dengan menggunakan kapal pukat harimau, kata pria itu lagi.
“Pharming langsung memotong/menyela hubungan komunikasi internet si pengguna (pengunjung situs), dengan cara mengeksploitasi sistem nama domain di internet dan menterjemahkannya ke kode numerik saat internet routing,” demikian penjelasan Oliver Friedrichs (Symantec).
Selamat datang di Blog beracun
Kemudahan akses web logs atau yang lebih dikenal dengan blog, kemampuan anonimnya serta kemudahannya untuk dapat dibaca orang-orang di seluruh dunia membuat para penulis, para pelobi bisnis, remaja dan bahkan para pegawai frustasi untuk memanfaatkan kemudahan menulis di blog ini. Selain kapasitas besar yang biasa ditawarkan oleh jasa layanan blog gratis, sangat tidak mengherankan bahwa blog kini adalah sebuah fenomena. Setiap orang walaupun tidak memahami bahasa pemrograman (html, css, php, dsb) tidak akan merasa kesulitan untuk mempunyai sebuah blog dan menuliskan apa yang ingin ditulisnya.
Sayangnya, para hacker juga mengamati tren ini, sehingga mereka dengan sangat kreatif menciptakan apa yang dinamakan dengan blog beracun atau dikenal dengan istilah “Toxic blog”.
Dengan memanfaatkan layanan jasa penyedia blog gratis, para hacker biasanya menciptakan blog beracun ini dengan tampilan dan isi yang menarik, dimana setiap halamannya di bagian background (tidak nampak oleh pengunjung situs) diisi dengan kode jahat (malicious code) ataupun link untuk mengaktifkan keylogger.
Selanjutnya para hacker jahat itu akan menyebarluaskan publikasi blog mereka melalui spam atau jasa pesan instant (chatting, sms), dan menjadikan para pengunjung situs blog beracun ini sebagai sasaran empuk. Saat mangsa sudah mengunjungi blog tersebut, maka mereka itu tanpa sadar telah terinfeksi (entah oleh virus, keylogger, atau semacamnya) serta dengan mudah dimata-matai segala gerak-gerik mereka saat online.
Sebuah perusahaan layanan sekuriti jaringan di Amerika, Websense Security Labs, telah merilis detil dari blog-blog beracun ini untuk memperingatkan para konsumen dan pengunjung situs internet agar lebih waspada karena terdapat ratusan blog beracun yang ada di internet pada sekitar tahun 2005, dan akan semakin meningkat pesat dari waktu ke waktu.
Karena umumnya penyedia layanan gratis blog tidak melengkapi blog mereka dengan filter atau proteksi terhadap file-file yang mengandung skrip jahat (malicious code), ataupun link-link yang akan mengarah pada download software jahat secara otomatis, maka sangat mudah bagi seorang hacker untuk memasang jebakan-jebakan di berbagai blog yang ia sebar di internet, dan dengan mudah dapat menjaring mangsa dalam jumlah besar hanya dengan menggunakan tehnik social engineering sederhana agar orang-orang (mangsa korban) mau berkunjung ke blog mereka yang memang dibuat semenarik mungkin.
Walau gejala blog beracun ini tidak semarak aneka tipu muslihat lainnya di internet, namun sebaiknya perlu dilakukan tindakan pencegahan yaitu selalu mengupdate sistem pengaman komputer dan jaringan kita (seperti antivirus, firewall, spyware, adware) dan tidak mudah percaya terhadap email-email berisi link-link mencurigakan ataupun orang-orang tak dikenal yang kita temui melalui di layanan instant messenger di internet.
Kasus Pencurian data pribadi atau data finansial.
Menurut organisasi perlindungan konsumen di Inggris, “Which”, kasus pencurian data pribadi telah menimbulkan beban kerugian yang cukup besar yang dalam hal ini dianggap sebagai biaya. Totalnya bahkan bisa mencapai hingga 1.3 milyar poundsterling tiap tahunnya dan ada kecenderungan laju peningkatan yang cukup tinggi. Masalah pencurian data pribadi seseorang yang seharusnya merupakan rahasia, seperti tanggal lahir, nomor jaminan sosial, dan data-data lain tampaknya menjadi isyu yang cukup serius, dan bisa dimanipulasi oleh pihak-pihak yang tidak bertanggung jawab untuk mencuri data lebih detil tentang seseorang demi motif keuntungan atau penipuan. Misalnya saja dengan mengetahui tanggal lahir, dan nomor jaminan sosial (biasa terdapat di negara-negara maju seperti Inggris dan Amerika), seorang penipu atau pemburu data pribadi akan bisa memperoleh data lebih banyak lagi mengenai seseorang, misalnya ia akan dengan mudah bisa mengetahui nomor kartu kredit, nomor rekening bank, atau bahkan nomor telepon seseorang, hanya dari mengetahui nama, tanggal lahir, dan nomor jaminan sosialnya. Kalau sudah begitu, maka sangatlah berbahaya bagi seseorang yang sudah kebobolan atau kecurian data pribadinya, apalagi kalau sempat menyebar di internet.
Hal paling fatal yang bisa terjadi atau menimpa seorang korban, adalah kebobolan dana yang ia simpan di bank akibat ada orang lain (pencuri digital) yang telah membelanjakan dananya tanpa sepengetahuan si pemilik rekening atau si pemilik kartu kredit. Cara paling sederhana yang dapat dilakukan untuk mencegah kebobolan adalah secepatnya mengganti nomor pin atau menghubungi bank yang bersangkutan untuk memblokir dana pribadi, bila ada firasat atau bila merasa ada seseorang yang sedang mengincar dana yang Anda simpan di bank.
Seperti di California dan Texas (Amerika), pengguna jasa layanan bank bisa segera membekukan dananya setiap saat bila ia merasa ada sesuatu yang tidak beres. Pengaktifan kembali rekening bank atau kartu kredit bisa segera dilakukan setelah yang bersangkutan datang langsung ke bank untuk mengisi formulir penggantian nomor rekening dan kartu kredit.
SAMPAH KOMPUTER MASIH MENINGGALKAN INFORMASI-INFORMASI PENTING
Lebih dari 100 hard disk dari komputer rusak, buangan berbagai perusahaan dan organisasi yang di tempat daur ulang barang-barang elektronik di Inggris, ternyata masih berisi data-data vital perusahaan atau organisasi yang bersangkutan. Untunglah ada yang bertugas memeriksa setiap hard disk pada komputer sebelum proses daur ulang dimulai.
Universitas Glamorgan - Inggris, adalah sukarelawan yang bersedia melakukan hal ini. Seperti yang telah diketahui, bahwa sering kali perusahaan-perusahaan besar atau pun organisasi demikian ceroboh membuang sampah elektronik seperti komputer tanpa memformat dulu hard disknya. Bahkan hard disk komputer yang sudah diformat (dihapus isinya) sekalipun masih bisa dimunculkan kembali isinya dengan menggunakan software recovery ataupun tehnik-tehnik tertentu. Informasi yang ada tersebut biasanya berisi data-data vital perusahaan, seperti misalnya daftar klien berikut rinciannya, blue print atau bahkan data finansial sebuah perusahaan dan organisasi tersebut. Bila informasi-informasi ini sampai jatuh ke tangan orang-orang jahat, maka bisa jadi hal tersebut akan memicu potensi kejahatan seperti spionase rahasia perusahaan (industrial espionage), pemerasan akan, manipulasi data pribadi seseorang untuk motif keuntungan (identity theft & fraud). Sangat sedikit perusahaan atau organisasi yang mengetahui tentang hal ini. Sebagian besar dari mereka beranggapan bahwa data-data yang sudah dihapus atau pun diformat tidak akan bisa dimunculkan lagi. Pendapat ini sama sekali salah. Bahkan hampir tak ada satu pun perusahaan atau organisasi yang mempunyai ide untuk “merusak” hard disk komputernya sebelum dibuang. Misalnya dengan menggesek-gesekkan hard disk dengan magnet besar (seperti yang terdapat di bagian belakang loudspeaker). Bisa juga dengan cara membakar atau merusak secara fisik hard disk yang mungkin memang katanya sudah rusak (supaya benar-benar rusak dan tidak bisa lagi dilihat-lihat isinya), sebelum membuang hard disk tersebut. Seorang hacker atau mungkin juga penjahat berpengetahuan teknologi tinggi yang memiliki ilmu forensik komputer (computer forensic) akan dengan mudah mengembalikan data-data yang tadinya sudah dianggap tidak bisa dipulihkan lagi. Begitu banyak kasus pemerasan yang terjadi terhadap perusahaan-perusahaan besar akibat kecerobohan mereka sendiri.
KASUS CHOICEPOINT DI AMERIKA
Choicepoint, sebuah perusahaan bank data terbesar di Amerika yang berkantor pusat di Georgia, bahkan pernah kebobolan. Sekitar 145.000 data pribadi kliennya telah bocor dan diduga telah jatuh ke tangan para penjahat digital (black hat ; istilah untuk hacker jahat). Bahkan ada yang berspekulasi bahwa jumlah data klien yang tercuri mencapai sekitar 500.000 data para klien.
Kasus ini membuat bisnis penyimpanan data (khususnya di Amerika) menjadi lesu. Munculnya kasus ini menunjukkan betapa lemahnya perlindungan terhadap data-data penting dari jarahan para penjahat digital, dan juga sebagai indikasi akan lemahnya sistem perundang-undangan di suatu negara terhadap perlindungan privasi data konsumen atau warga negaranya, bahkan untuk negara besar seperti Amerika sekalipun yang nota bene adalah pusat dari perkembangan teknologi maju. Berbagai debat dan diskusi langsung bermunculan seputar masalah perlindungan data dan privasi seseorang, terutama data-data yang berhubungan dengan e-commerce maupun data-data sektor finansial lain yang biasanya membutuhkan akses internet untuk saling berhubungan satu sama lain (real-time data access).
Kebocoran data diduga sudah terjadi sekitar bulan November 2004, namun sayangnya baru terungkap sekitar bulan Februari 2005, yang tentu saja langsung mendapat protes keras dan reaksi panik dari berbagai praktisi ekonomi yang merasa dirugikan akibat adanya kebocoran data-data vital perusahaan atau lembaga mereka. Data-data yang sempat bocor tersebut antara lain:
Catatan dan arsip kasus-kasus pengadilan, formulir isian pernyataan bangkrut beberapa perusahaan (yang seharusnya berstatus sangat rahasia), catatan kepolisian dan daftar nomor-nomor SIM kendaraan di Amerika, catatan dan data kependudukan di Amerika, data-data preferensi konsumen, data-data karyawan perusahaan-perusahaan (employment background checks), catatan kontrak sewa menyewa antar perusahaan, surat-surat klaim asuransi, data-data nomor jaminan sosial (social security numbers), data-data catatan kelahiran penduduk, dan banyak lagi.
Akibat kebocoran data itu, Choicepoint mendapat banyak sekali tuntutan hukum dari para kliennya, dan hampir dapat dipastikan akan segera bangkrut karena tidak mampu lagi menanggung beban biaya tuntutan ganti rugi dari para kliennya. Apalagi kredibilitasnya sebagai sebuah perusahaan besar telah demikian rusak oleh kecerobohannya sendiri. Nilai sahamnya langsung anjlok, dan banyak klien-klien besar segera menarik diri dari jasa layanan mereka (walaupun belum diketahui apakah data-data perusahaan mereka termasuk yang sempat bocor ke tangan para black hat).
Diduga para pelaku pencurian data adalah sekelompok sindikat pencuri data digital (black hat) yang menyaru sebagai 50 pengusaha dari 50 perusahaan dan berpura-pura mendaftar sebagai klien baru yang berminat untuk menyimpan data-data mereka di Choicepoint. Dengan tehnik social engineering tingkat tinggi, mereka dengan mudah mengorek berbagai informasi penting yang berhubungan dengan sistem keamanan data yang diterapkan di Choicepoint. Bahkan ada dugaan bahwa Choicepoint tidak menerapkan standar enkripsi data atau pun otentifikasi data (authentication data), sehingga memudahkan para pengusaha gadungan itu untuk membobol sistem keamanan data di Choicepoint.
Choicepoint merupakan kasus terburuk yang pernah terjadi, karena selain nilai sahamnya langsung anjlok menjadi hanya senilai 20% dari nilai saham semula, para eksekutif perusahaan ini juga langsung diperiksa oleh SEC (Securities and Exchange Commission) yang bertugas untuk menyelidiki hal ini.
CEO Choicepoint, Derek BV Smith langsung meminta maaf kepada para klien perusahaannya ini melalui pernyataannya, “Kami meminta maaf sekali lagi kepada para konsumen kami yang mungkin merasa dirugikan akibat menjadi korban aksi penipuan akibat adanya kebocoran data di sistem kami.”
KERENTANAN KEAMANAN DATA, PELUANG EMPUK BAGI JARINGAN TERORIS INTERNASIONAL UNTUK MENDULANG DANA
Peter Warren dalam bukunya yang berjudul Cyber Alert menggambarkan bahwa tahun-tahun terakhir ini terdapat indikasi kenaikan tindak cybercrime di internet. “Tampaknya mereka (para teroris) mencoba untuk merekrut para ahli teknologi informasi untuk membantu mereka mendapatkan sumber dana (dengan memanfaatkan celah keamanan perlindungan data finansial di internet).”
Dalam bukunya itu, dikatakannya bahwa Al Qaeda kini sudah menjadi organisasi kejahatan karena keahlian mereka dalam hal pencucian uang. Seorang pakar teknologi informasi Rusia - bidang kejahatan internet (cyber crime), Dr. Galeotti, pernah mengatakan bahwa tampaknya Al-Qaeda sedang berusaha mencari para ahli teknologi informasi dari seluruh dunia dan bersedia membayar mahal demi mendukung aksi mereka, daripada mengandalkan tokoh-tokoh mereka sendiri atau anak buah mereka, karena membayar orang luar akan lebih mudah dilakukan,lebih cepat dan lebih efisien, serta kerahasiaannya lebih terjamin.
“Al Qaeda bersedia membayar tiga kali lipat lebih besar dari yang diminta para mafia Rusia seperti Cosa Nostra, misalnya,” katanya lagi.
Peter Warren dalam bukunya itu juga menyebutkan bahwa Al Qaeda juga membayar beberapa orang senior mantan anggota dinas rahasia negara-negara Barat agar bekerja sama dengan para ahli komputer rekrutan mereka untuk menghack beberapa sasaran utama di negara-negara Barat. Menurutnya, Al Qaeda juga pernah berusaha untuk merekrut beberapa dosen atau pakar ahli komputer dari negara-negara blok Timur (negara-negara pecahan Rusia), dan menyebarkan mereka di negara-negara di wilayah Afrika untuk bersatu padu meng-hack sasaran-sasaran utama di negara-negara Barat secara online, seperti sistem kontrol utama lalu lintas bandar udara dan juga fasilitas pembangkit-pembangkit listrik maupun fasilitas lain. Sungguh mengerikan!
PARA PELAKU PEMBOBOLAN BANK SECARA ONLINE TERTANGKAP
Polisi Israel berhasil menangkap seorang pelaku pembobolan bank Sumitomo yang konon kabarnya berhasil menilep dana sekitar 13.9 juta poundsterling. Si pelaku tertangkap tangan saat sedang mengoperasikan software keylogger untuk memperoleh informasi dan data finansial lebih banyak lagi. Yeron Bolondi, 32 tahun, dijatuhi dakwaan telah melakukan tindak pidana pencucian uang dan penipuan.
Sementara itu, pada tanggal 8 Maret 2005, lembaga jasa pembayaran online di Inggris, APACS telah merilis secara online wajah-wajah para buronan penipu digital untuk pertama kalinya. Akibat ulah para penjahat itu, telah menimbulkan kerugian yang tidak sedikit yaitu sekitar 12 juta poundsterling, kurang dari jumlah yang pernah dibobol oleh hacker dari Israel, Yeron Bolondi.
Sebuah berita di harian Financial Times bahkan menyebutkan pernyataan Sumitomo (sebuah perusahaan besar dari Jepang) pada 17 Maret 2005, yang menyebutkan bahwa terdapat dana sekurang-kurangnya sebesar 220 milyar poundsterling yang diputar dengan sistem pencucian uang di berbagai perusahaan dan juga untuk menyogok para polisi.
Takashi Morita, kepada komunikasi dari pihak Sumitomo di Tokyo pernah mengatakan bahwa perusahaannya mengalami kerugian finansial yang demikian besar sebagai konsekuensi dari adanya tindak perampokan digital yang dilakukan oleh para hacker di internet.
Salah satu tokoh dari perusahaan penyedia jasa keamanan jaringan - Symantec, Richard Archdeacon pernah berkata, “Kami telah menyaksikan sendiri bagaimana sebuah kejahatan cyber fraud akhir-akhir ini telah demikian banyak menyerang berbagai target data yang sifatnya rahasia bagaikan hujan meteor.”
Simon Perry, tokoh dari Computer Associates mengatakan bahwa penggunaan software-software keylogger dalam kasus-kasus kejahatan internet paling tidak memberikan pesan yang kuat kepada perusahaan-perusahaan bahwa penggunaan software anti spyware sebaiknya berada di baris terdepan dalam membentengi jaringan data perusahaan dari ancaman kejahatan internet.”
Computer Associates juga menyatakan bahwa di Inggris sebagian besar kasus kejahatan pencurian data finansial secara online lebih banyak dilakukan dengan menggunakan bantuan berbagai software keylogger.
KEAMANAN KARTU KREDIT DAN SISTEM PEMBAYARAN ELEKTRONIK (E-PAYMENT)
Kasus Penipuan Kartu Kredit pada Sistem Pembayaran Elektronik
Kemudahan dalam transaksi perdagangan secara elektronik ternyata membawa beberapa masalah serius sehubungan dengan masalah keamanan dalam pembayaran secara elektronik yang diterapkan. Sistem pembayaran secara elektronik telah begitu mendominasi dalam era teknologi seperti sekarang dan banyak menarik minat para pemodal, pebisnis, perusahaan jasa pembayaran elektronik, perusahaan kartu kredit. Namun demikian kemudahan ini diiringi pula oleh resiko yang harus ditanggung dalam menggunakan sistem transaksi perdagangan seperti ini. Masalah utama yang dihadapi adalah begitu banyak penyalahgunaan teknologi untuk kejahatan, mengingat transaksi elektronik umumnya mengandalkan teknologi internet, maka kasus-kasus kejahatan internet secara langsung berhubungan dengan kerentanan transaksi dan pembayaran elektronik yang dilakukan melalui internet ini. Mengingat transaksi elektronik umumnya dilakukan dengan menggunakan pembayaran melalui kartu kredit sebagai aktivasi atau otentifikasi transaksi, maka tentu saja kejahatan teknologi internet berhubungan pula dengan sistem pembayaran yang dilakukan dengan menggunakan kartu kredit, sehingga muncullah apa yang dinamakan dengan tindak penipuan atau penyalahgunaan kartu kredit (credit card fraud).
Kejahatan penyalahgunaan kartu kredit ini muncul dengan berbagai versi. Kasus yang umum terjadi adalah kasus pemalsuan kartu kredit dengan berbagai tehnik terbaru, misalnya dengan teknik “Cardholder-Not-Present / CNP (Si Pemilik Kartu tidak Hadir saat transaksi) yang banyak terjadi di banyak negara akhir-akhir ini. Dengan semakin banyaknya jasa perbankan dan situs dagang yang menawarkan kemudahan jasa pembayaran dan finansial secara elektronik seperti internet banking, phone banking, dan e-commerce diiringi dengan penggunaan kartu kredit sebagai otorisasi transaksi maka para pelaku kejahatan yang mulanya bertindak secara fisik (begal, perampok, pencopet, dsb) kini mulai beralih ke dunia maya dengan harapan memperoleh target sasaran yang lebih besar, lebih menguntungkan dan resiko yang lebih kecil. Dengan berbagai cara mereka berusaha untuk mencari celah dan jalan yang bisa mereka susupi untuk menjalankan aksi-aksi kejahatan mereka.
Ide pembayaran transaksi perdagangan secara elektronik bukanlah hal yang baru. Bahkan sejak tahun 1970-an dan awal 1980-an, berbagai metode dan tehnik pembayaran melalui jaringan komputer dan kartu kredit sudah mulai diperkenalkan, terutama di negara-negara maju. Semakin tidak mengherankan lagi bahwa beberapa tahun terakhir ini para pengguna internet dunia meningkat dengan pesat hingga mencapai 930 juta pengguna dan jumlah ini terus meningkat secara eksponensial dari waktu ke waktu. Sistem pembayaran secara elektronik baru benar-benar mendunia sekitar akhir tahun 1996 dan awal tahun 1997, dimana begitu banyak lembaga komersial maupun lembaga pendidikan mulai berlomba-lomba mengembangkan sistem pembayaran baru ini dengan berbagai cara dan variasi yang unik pula. Beberapa banyak pula yang gagal dalam menerapkan sistem pembayaran elektronik ini. Misalnya sistem cyber cash dan Digi cash yang mengalami kerugian saat memperkenalkan cara pembayaran elektronik dan kemudahan penarikan uang tunai.
Sistem pembayaran elektronik (E-Payment) mengandalkan pada sistem pentransferan nilai mata uang melalui jaringan internet dan teknologi komunikasi sebagai sarana lalu lintas data finansial sehubungan dengan sistem perdagangan elektronik yang diberlakukan (e-commerce). Sistem pembayaran elektronik (E-Payment) yang umum dilakukan ada beberapa jenis, yaitu menurut kategori Business to Business (B2B), Business to Consumer (B2C), Consumer to Business (C2B) dan Consumer to Consumer (C2C).
Masalah keamanan masih saja menjadi isyu utama dalam hal sistem pembayaran seperti ini karena resiko penipuan dan pemalsuan data elektronik masih saja ditemui sebagai kendala utama dalam sistem pembayaran elektronik ini. Bahkan dari tahun ke tahun jumlah kejahatan elektronik ini bukannya menurun malah semakin bertambah. Hal ini terutama terjadi karena semakin bertambahnya penggunaan kartu kredit sebagai alat pembayaran secara luas, dimana celah ini dimanfaatkan oleh berbagai pelaku kejahatan terorganisir (baca= mafia) yang semakin merajalela melibatkan diri dalam berbagai aksi. Sebagai contoh, lebih dari satu dekade yang lalu kejahatan penipuan dan pemalsuan kartu kredit yang terjadi di Inggris mencapai jumlah kerugian sekitar 96.8 juta poundsterling. Dewasa ini angka itu meledak berkali lipat mencapai 402.4 juta poundsterling per tahun. Ini baru nilai nyata kerugian yang terlihat, belum nilai lain yang tidak langsung tampak seperti biaya yang harus ditanggung untuk pemulihan reputasi suatu lembaga finansial atau perusahaan, juga ongkos yang harus dikeluarkan untuk membiayai berbagai proses hukum sehubungan dengan kasus kejahatan yang menimpa suatu lembaga jasa finansial pembayaran atau perusahaan dagang yang menggunakan jasa pembayaran elektronik dalam transaksinya.
Sistem pembayaran dengan kartu kredit merupakan sistem pembayaran populer yang banyak diterapkan di jasa perdagangan online di internet. Penggunaan sistem pembayaran dengan kartu kredit pertama kali diperkenalkan sekitar antara tahun 1949 (kartu kredit Diner’s Club) dan tahun 1958 (kartu kredit American Express). Kedua kartu kredit ini menggunakan strip atau pita magnetik dengan data yang tidak terenkripsi serta berbagai informasi yang hanya bisa dibaca (read-only information). Namun seiring dengan perkembangan teknologi, jenis-jenis kartu kredit yang ada sekarang merupakan jenis “kartu kredit berteknologi pintar” yang dilengkapi dengan ekripsi data dan kapasitas penampungan data yang lebih besar daripada jenis-jenis pendahulunya.
Pada tahun 1996 Visa dan Master Card mengumumkan bahwa mereka telah bekerjasama mengembangkan sebuah protokol tertentu yang menjamin keamanan transaksi perbankan di internet. Proses ini melibatkan penggunaan teknologi enkripsi digital signature tingkat tinggi, juga sertifikat keamanan yang menyatu dengan proses transaksi itu sendiri sehingga tidak bisa diotak-atik oleh si pengguna sendiri atau bahkan orang lain yang berniat jahat. Biaya keamanan yang harus ditanggung oleh pengguna kartu kredit tentu saja tidak murah akibat adanya penggunaan teknologi yang berbasis keamanan ini, ini tercermin dari biaya transaksi yang tidak kecil setiap kali kartu kredit itu digunakan untuk transaksi.
Setiap kali akan bertransaksi di internet, seorang pengguna kartu kredit haruslah menyediakan data detil pribadinya sebagai salah satu otorisasi transaksi baik untuk layanan jasa maupun jual beli barang yang diaksesnya di internet. Celah keamanan saat pengisian data pribadi yang berisi detil data si pemilik kartu kredit ini tampaknya menjadi semacam senjata makan tuan. Celah inilah yang banyak digunakan oleh para pelaku kejahatan internet untuk memalsukan otorisasi transaksi sehingga seakan-akan transaksi tersebut benar-benar telah valid disetujui oleh si pemilik kartu kredit.
Namun demikian selain berbagai resiko keamanan, penggunaan kartu kredit masih mempunyai beberapa keunggulan seperti antara lain:
- Kartu kredit memungkinkan Anda untuk membeli barang atau jasa tanpa harus membawa sejumlah uang secara tunai.
- Setiap transaksi pembelian atau pengeluaran dana akan selalu tercatat dengan baik.
- Anda bisa memesan suatu barang melalui surat (mail-order) dan kemudian dibayar dengan menggunakan kartu kredit
- Kartu kredit memungkinkan Anda membeli barang berharga mahal dengan cara mencicil setiap bulannya.
- Pada suatu kasus tertentu, Anda bisa menangguhkan pembayaran terhadap suatu barang yang sudah Anda beli bila Anda meragukan keamanan pembayaran yang akan Anda lakukan.
- Memiliki kartu kredit berarti Anda tidak perlu merasa khawatir bepergian dan berbelanja ke luar negeri tanpa membawa mata uang lokal.
- Dengan memiliki kartu kredit akan memudahkan Anda untuk pembayaran tagihan bulanan atau pun tagihan pajak secara otomatis.
Dengan kehadiran cara pembayaran online menggunakan kartu kredit, kemudahan belanja jarak jauh semakin mungkin untuk dilakukan. Anda tidak perlu keluar negeri hanya untuk membeli barang produk buatan luar negeri. Cukup berbelanja melalui internet, dan melakukan pembayaran dengan kartu kredit, maka barang akan diantarkan sampai ke alamat Anda dengan selamat.
Upaya-upaya pendeteksian dan pencegahan terhadap tindak penipuan dan penyalahgunaan kartu kredit semakin perlu dipertimbangkan dalam hal manajemen resiko yang diterapkan di berbagai industri kartu kredit dan perusahaan jasa layanan e-commerce.
Menurut sebuah studi mengenai profitabilitas layanan kartu kredit oleh bank sehubungan dengan aspek Manajemen Kartu Kredit, industri perdagangan online dan jasa pembayaran online mengalami kerugian mencapai satu milyar dolar setiap tahunnya akibat adanya tindak penipuan dan penyalahgunaan kartu kredit. Ini baru dihitung dari besarnya kerugian akibat adanya kartu-kartu kredit yang kebobolan, belum dihitung berapa besar kerugian yang dibebankan kepada para merchant (pedagang) akibat tindak penipuan melalui mail-order atau telephone order ; biasa disebut MOTO (layanan jual beli melalui transaksi surat menyurat; semacam katalog dan jual beli melalui telepon ; biasa dilakukan di negara-negara maju).
Tingkat kerugian ini meningkat dengan drastis dalam beberapa tahun terakhir ini, dimana tindak penipuan dan pemalsuan kartu kredit biasanya menggunakan tehnik terbaru yaitu dengan mengakali sistem pembayaran Cardholder-Not-Present (CNP) yang biasa diterapkan dalam sistem pembayaran transaksi online di internet, kemudian dikenal dengan istilah CNP Fraud. Di Inggris sendiri pada tahun 2004,kejahatan CNP fraud sendiri telah menyebabkan kerugian senilai 116.4 juta poundsterling, sementara itu di Amerika hal yang sama menyebabkan kerugian sebesar 428.2 juta dolar, sementara di Perancis menyebabkan kerugian sekitar 126.3 juta frank dalam periode yang sama. (Financial Times, January 2005; UN World Report on Electronic Fraud, December 2004).
SISTEM PEMBAYARAN MENGGUNAKAN KARTU KREDIT
Kartu kredit adalah sebuah kartu yang memungkinkan Anda untuk meminjam sejumlah dana demi membeli sesuatu barang atau jasa. Terdapat sebuah nilai batas penggunaan untuk berapa besar dana yang bisa Anda belanjakan, batas penggunaan dana itu disebut nilai batas kredit (credit limit). Pada setiap periode akhir bulan, Anda bisa melunasi seluruh jumlah pinjaman Anda atau hanya membayar cicilan minimum yang menjadi tanggung jawab Anda.” (Proff. Phil Edwards).
Dengan semakin meluasnya e-commerce, sistem pembayaran elektronik semakin meningkat, dan cara paling populer untuk melakukan pembayaran adalah dengan menggunakan kartu kredit, mengingat kepraktisan dan kenyamanan dalam menggunakannya. Para pengguna (atau pemegang kartu kredit) cukup memasukkan nomor validasi atas pembayaran yang ia lakukan sehingga para pedagang (merchant) bisa memproses validasi transaksi yang dilakukan tersebut. Untuk menjamin keamanan data komunikasi antara pengguna kartu kredit dan pedagang online, lalu lintas data validasi transaksi tersebut biasanya dienkripsi.
Pembayaran menggunakan kartu kredit adalah cara paling populer dan paling mudah untuk melakukan pembayaran terhadap barang-barang dan jasa yang ditawarkan secara online di internet. Pengguna (pemilik) kartu kredit cukup memasukkan nomor kartu kreditnya, nama lengkapnya, dan tanggal kadaluwarsa kartu kreditnya, kemudian pedagang online akan memvalidasi informasi tersebut setelah mendapat persetujuan keabsahan transaksi dari perusahaan kartu kredit yang bersangkutan, kemudian barulah barang atau jasa yang dipesan akan segera dikirim ke alamat si pemesan atau pembeli.
Sistem perdagangan menggunakan kartu kredit telah dikenal sejak 50 tahun terakhir. Kartu kredit pertama kali dikeluarkan dan beredar sekitar tahun 1951 ketika para konsumen “Franklin National Bank of New York” mengajukan permohonan kredit, dan mereka yang berhasil memenuhi persyaratan kredit yang diajukan, kemudian mendapat semacam kartu yang bisa digunakan untuk membeli barang-barang ritel di toko-toko. Para pedagang dan pemilik toko yang berpartisipasi dalam sistem perdagangan kredit pertama itu kemudian menyalin informasi konsumen pemegang kartu yang tercantum dalam kartu tersebut ke dalam slip penjualan dan bank akan memproses transaksi tersebut. Pada tahun 1958, The American Express Company (perusahaan yang menerbitkan traveller cheque bisnis) mulai mengeluarkan kartu pembayaran yang bisa digunakan untuk melakukan pembayaran pada jasa transportasi dan hiburan, yang kemudian diterima secara luas oleh berbagai restoran, hotel dan perusahaan penerbangan. (creditcards.com,2006).
diambil dari : http://www.hacking-tutorial.co.cc/
)
Ya sutra lah…. Selamat mencoba pren… 
