Penghambat utama bagi orang awam dalam industri ransomware adalah tingginya pengetahuan teknis yang dibutuhkan untuk menjalankan suatu ransomware. Bagi orang awam, untuk menyebarkan ransomware konvensional saja membutuhkan pengetahuan yang membuat pusing kepala.
Dia harus menguasai cara menjalankan server web, mengerti cara menjalankan kampanye email atau injeksi web secara masif, paham dengan seluk beluk uang kripto untuk menerima pembayaran tanpa terlacak, dan menguasai The Onion Router (TOR) untuk mengaburkan jejaknya dari intaian pihak berwenang.
Asal tahu saja, posisi penyebar ransomware yang dianggap rumit ini, dalam industri ransomware termasuk dalam kasta rendah yang hanya membutuhkan pengetahuan teknis standar.
Kasta tinggi dalam industri ransomware ini dihuni oleh pembuat ransomware yang menguasai coding, implementasi enkripsi dan tahu persis bagaimana seluk beluk kriptografi berjalan di belakang layar tanpa disadari oleh pengguna komputer.
Pembuat ransomware akan memasarkan ransomware buatannya dengan metode Ransomware as a Services (RaaS) dan ia akan secara otomatis menerima persentase penghasilan setiap kali ransomware ciptaannya yang disebarkan oleh penyebar ransomware.
Pola yang mirip diterapkan pinjol
Pola yang mirip dengan industri ransomware ini juga terjadi di industri pinjaman online atau pinjol. Dalam beberapa minggu ini, beredar kabar terungkapnya aplikasi pinjol bisa mendapat dan mengeksploitasi data aplikasi populer lain seperti layanan-layanan ojek online dan e-Commerce yang kesemuanya identik dengan warna hijau.
Celakanya, data yang didapatkan tidak dilindungi dengan baik sehingga banyak informasi yang cukup sensitif dapat diakses dan berpotensi disalahgunakan pihak yang tidak berkepentingan. (lihat gambar 1)
 |
Menurut penelusuran Vaksincom memang benar bahwa aplikasi pinjol memiliki akses terhadap data aplikasi lain yang populer. Kemungkinan aplikasi pinjol tersebut membutuhkan data dari aplikasi lain sebagai informasi tambahan untuk menjadi dasar keputusan pemberian pinjaman.
Yang menjadi masalah utama adalah pengelolaan dan perlindungan data pelanggan pinjol tersebut yang sangat ceroboh, sehingga data tersebut dapat diakses oleh publik.
Pertanyaan besarnya adalah, bagaimana cara aplikasi pinjol ini bisa mendapatkan data dari perusahaan sekelas pada layanan ojol dan e-Commerce yang notabene dikelola dengan baik dan tidak mungkin sembarangan membagikan datanya kepada pihak ketiga, apalagi kepada perusahaan pinjol yang notorious.
Melihat pola industri pinjol di Indonesia yang sudah mirip-mirip malware, seperti kata pepatah mati satu tumbuh seribu, tentunya akan sangat tidak ekonomis bagi perusahaan pinjol untuk membangun aplikasi sendiri karena biaya untuk membangun satu aplikasi yang andal dan berfungsi sempurna memakan waktu lama dan biaya sangat tinggi.
Sekali ditutup atau diblokir pemerintah, perusahaan akan rugi karena balik modal membangun aplikasi baru cukup lama. Pilihan terbaik adalah menggunakan aplikasi template di mana setiap kali ditutup, perusahaan tinggal membuat aplikasi baru dengan mengubah logo, tema, warna, rekening dan alamat. Lalu dalam bilangan hari, sudah menjadi aplikasi pinjol baru dan menjalankan aktivitas lagi di Play Store.
Keuntungan menggunakan aplikasi template adalah biaya yang murah, mudah dan cepat dikostumisasi, sehingga jika aplikasi diblokir atau ditutup, dalam waktu sangat singkat aplikasi pengganti dengan nama dan logo berbeda sudah dapat berjalan kembali.
Salah satu kerugian menggunakan aplikasi template adalah pengguna harus menerima aplikasi ini apa adanya dan sekali master template mengandung kelemahan sekuriti, maka semua aplikasi yang menggunakan master template tersebut akan mengandung celah keamanan yang sama dan dengan mudah dieksploitasi.
Bagaimana pinjol dapatkan data?
Pertanyaan paling menarik dari pembahasan ini tentunya, bagaimana pinjol bisa mendapatkan pada layanan ojol dan e-Commerce? Melihat background kemampuan IT perusahaan pinjol dan karakter data yang didapatkan, kemungkinan data pihak ketiga didapatkan dari peretasan atau kebocoran data sangat kecil.
Pasalnya, data pihak ketiga yang didapatkan hanya data pemilik akun yang bersangkutan. Data peminjam pinjol lain memang bocor, tetapi ini merupakan database pinjol yang bocor karena pengelolaan data internal yang tidak aman.
Lalu bagaimana caranya perusahaan yang tidak memiliki kemampuan IT yang mumpuni bisa mendapatkan data pihak ketiga yang diproteksi mati-matian oleh pemilik aplikasi?
Jawabannya mudah, gunakan kredensial aplikasi pihak ketiga sebagai syarat pengajuan pinjaman. Jadi jika peminjam ingin mengajukan pinjaman dan disetujui oleh pinjol, salah satu syaratnya adalah memasukkan kredensial aplikasi yang diinginkan dan dengan webview dalam aplikasi, perusahaan pinjol dengan mudah akan langsung mendapatkan akses pada database aplikasi pihak ketiga untuk user yang bersangkutan, hanya karena ia dengan sukarela memasukkan kredensial sebagai salah satu syarat pengajuan pinjaman.
Kalau kalian bertanya, kok mau-maunya sih memberikan kredensial hanya karena mau ajukan pinjaman? Tunggu sampai Anda berada dalam posisi sangat membutuhkan uang yang sangat mendesak, misalnya anak mau sekolah, anak atau orang tua sakit, dan satu-satunya pilihan yang tersisa adalah meminjam dari pinjol, kalian akan memahami kondisi psikologis orang-orang yang berada dalam situasi tersebut.
Lantas, apa yang bisa dilakukan oleh aplikasi populer yang datanya menjadi incaran aplikasi pinjol ini? Kembali jawabannya adalah: security is a process.
Perusahaan aplikasi populer harus memonitor akses terhadap data usernya secara terus menerus dan melakukan pengamanan yang diperlukan jika terjadi
potensi penyalahgunaan.
Menurut pengamatan Vaksincom, salah satu e-Commerce dengan maskot burung hantu hijau sudah menyadari hal ini dan menerapkan pengamanan tambahan dengan membatasi akses data usernya oleh perusahaan pinjol.
----
*Alfons Tanujaya adalah peneliti keamanan dari Vaksincom. Dia aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.
Simak Video "Wanti-wanti Data Security"
[Gambas:Video 20detik]
(rns/rns)
