Jejak Phishing Kit 16Shop
Siapakah yang disebut dengan Tentara Cyber ​​Indonesia? Mengapa dianggap berbahaya?
Forbes: Pengguna Paypal Dibidik Hacker Indonesia​

Siapakah yang disebut dengan Tentara Cyber ​​Indonesia? Mengapa dianggap berbahaya?

Yuswardi A. Suud | Sabtu, 25 Januari 2020 - 22:30 WIB

Cyberthreat.id - Media ekonomi ternama yang berkantor pusat di Amerika Serikat, Forbes, dalam sebuah artikel yang dimuat pada 23 Januari 2020, mewanti-wanti para pengguna Paypal bahwa mereka sedang diincar oleh kelompok peretas yang disebut oleh Forbes sebagai "Indonesian Cyber Army."

Disebutkan, para peneliti dari Tim Alpha ZeroFOX sejak 2019 telah melacak aktivitas 'Indonesian Cyber Army', khususnya yang melibatkan hacking tools bernama 16Shop.

Awalnya, jaringan "phishing-as-a-service" ini, yang menjual lisensi kepada penjahat untuk mendistribusikan 16Shop. Awalnya, hacking tools itu difokuskan untuk menyerang pengguna Apple, terutama pengguna di Amerika Serikat dan Jepang pada 2018. Namun, tepat sebelum Prime Day 2019 (hari diskon belanja online pada 15-16 Juli 2019), mereka mengalihkan perhatian dengan menargetkan Amazon.

Kini, para peneliti ZeroFOX Alpha Team mengatakan, pelanggan PayPal berada dalam intaian mereka.

Apa itu hacking tools 16Shop?

Dianggap sebagai salah satu tools phishing paling canggih dan lengkap di pasar gelap, 16Shop dilengkapi dengan petunjuk pemasangan dan penghapusan dan dilengkapi dengan pembaruan sebagai bagian dari biaya lisensi. Penelitian Tim ZeroFOX Alpha menunjukkan bahwa beberapa jaringan 16Shop bahkan menyediakan  dukungan secara live. Dengan kata lain, pada saat beraksi, hacker dapat berkonsultasi langsung dengan penjual lisensi.

Malware 16shop ini bekerja dengan cukup mumpuni. Ada fitur agar tidak terdeteksi oleh anti-virus, anti-bot dan anti-pengindeksan.  Lalu, ada dashboard antarmuka yang menyediakan statistik pemakaian dan tingkat keberhasilan, termasuk berapa banyak kredensial yang digunakan dan nomor kartu kredit yang telah dicuri, misalnya.

Lalu, ada pula sistem manajemen hak digital bawaan untuk mengontrol penyebaran oleh setiap pelanggan sesuai dengan lisensi yang dibeli. 16Shop juuga menyediakan tinjauan panel tunggal dari beberapa produk berlisensi.

Dan berbicara tentang pembelian, masing-masing target spesifik, baik Apple, Amazon, American Express atau PayPal, dianggap sebagai produk terpisah dalam hal lisensi.

Apa yang dibawa 16Shop untuk menyerang PayPal?

Tim ZeroFOX Alpha memperoleh kit phishing PayPal dari 16Shop awal Januari 2020. Kit yang sama mencakup informasi tentang ketersediaan kit American Express. Kit PayPal dilengkapi dengan beberapa fungsi anti-bot dan anti-pengindeksan dari daftar hitam hingga pustaka anti-perayapan sumber terbuka yang disebut CrawlerDetect. Seperti kit lainnya, tujuan utama tetap sama:  mengambil informasi sebanyak mungkin untuk memungkinkan pengambilalihan akun, baik itu info masuk kredensial, email, detail kartu kredit, dan lainnya.

"Tujuan dari kit phishing adalah untuk memuluskan peretasan,  sehingga operator kit yang tidak terlalu teknis dapat menggunakan halaman phishing tanpa perlu memahami protokol yang mendasari di balik pengelolaan infrastruktur ini," kata laporan ZeroFOX.

Siapakah Tentara Cyber ​​Indonesia?

Jaringan distribusi 16Shop dan kit phishing telah dikaitkan dengan kelompok kriminal yang disebut Tentara Cyber ​​Indonesia. Salah satu anggota, dengan nama samaran "DevilScreaM," tertuis di atas kode kit dan jaringan distribusi. Nama ini mengingatkan pada serangan situs web pada 2012 silam. 16Shop sendiri dibuat pada akhir 2017.

Penelitian McAfee tentang Indonesian Cyber Army telah mengungkapkan eBook yang ditulis oleh DevilScreaM yang berisi saran peretasan.


Bagaimana melindungi diri dari ancaman 16shop?

Meskipun kecanggihan dan frekuensi serangan mungkin meningkat, namun CEO di PhishingTakle, James Houghton mengatakan cara menghindari serangan phising tetap sama.

Sarannya, tidak langsung percaya pada informasi yang dikirim ke email. Tetap waspada jika email tersebut meminta Anda mengklik tautan. Sebelum mengklik tautan, arahkan kursor ke tautan tersebut, dan lihat kemana tautan itu akan mengarahkan anda.

"Jika Anda tidak dapat mengonfirmasi URL tujuan asli," Houghton memperingatkan,"jangan klik."

Dia melanjutkan,"mungkin itu akan memperlambat kerja Anda, tapi jauh lebih baik daripada mendapat mimpi buruk menjadi korban peretasan."[]

Alat peretasan menggunakan phishing kit 16Shop dikaitkan dengan pria Indonesia bernama Riswanda Noor Saputra.
Disebut Buatan Indonesia, Alat Peretas 16Shop Targetkan Aplikasi Cash App, Pernah Serang Paypal Hingga Apple

Alat peretasan menggunakan phishing kit 16Shop dikaitkan dengan pria Indonesia bernama Riswanda Noor Saputra.

Tenri Gobel | Kamis, 04 Maret 2021 - 08:25 WIB

Cyberthreat.id - Pengembang alat peretasan (tools phising) 16Shop, yang telah lama disebut-sebut berasal dari Indonesia, telah menambahkan komponen baru yang menargetkan pengguna layanan pembayaran seluler, Cash App.

Hal itu ditemukan oleh peneliti dari perusahaan keamanan siber berbasis di Amerika Serikat (AS), ZeroFOX. Berdasarkan laporan yang dipublikasikan pada 1 Maret 2021, masuknya Cash App dalam daftar target baru 16Shop, memperpanjang daftar sasaran serangan setelah sebelumnya alat itu juga digunakan untuk menyerang pengguna Apple, Amazon, PayPal, American Express.

ZeroFOX menemukan komponen baru dari 16Shop yang dijual seharga US$70 (Rp999 ribu) untuk Cash App pada 25 Februari 2021.

Cash App adalah layanan pembayaran mobile yang dikembangkan oleh Square Inc, yang memungkinkan pengguna untuk mentransfer uang satu sama lain menggunakan aplikasi ponsel. Pada 18 Februari 2018, layanan ini mencatat 7 juta pengguna aktif

Dikutip dari BleepingComputer, aplikasi Cash App ini sangat populer dengan lebih dari 10 juta penginstalan di Android dan lebih dari 1,6 juta ulasan yang diberikan hingga membuatnya mendapatkan penilaian bintang 4,7 dari 5 bintang di App Store. Sayangnya di Indonesia, Cash App belum tersedia.

Menurut peneliti, para penipu terdorong melakukan aksinya karena kepopulerannya Cash App. Seperti diketahui, semakin populer sebuah aplikasi, makin menarik pula bagi penjahat siber untuk dijadikan target sasaran.

Cara 16Shop Membobol App Cash  
Temuan ZeroFOX, ketika seorang pengguna membeli kit itu, maka mereka akan dapat mengisi data konfigurasi sendiri seperti parameter yang diperlukan untuk URL phising, perlindungan terhadap teknologi pemindaian keamanan dan eksfiltrasi atau alamat email “dropper”.

Para pembeli atau disebut operatornya nanti harus membayar tools phising itu, dan jika ketahuan mencuri dan menyebarkan kit tanpa mendaftarkan diri ke 16Shop maka halaman phising kit yang digunakan menjadi tidak berguna.

Biaya untuk 16Shop, kata peneliti, seperti halnya biaya lisensi di perushaaan penyedia perangkat lunak atau software as-a-service (SaaS) yang menerapkan pembayaran bulanan. Bahkan 16Shop menawarkan semacam "jaringan support" melalui grup Telegram khusus yang diperuntukkan berbagi tips dan trik, serta menjual hasil dari aksi menggunakan kit phising ini ke anggota lainnya.

Kit phising yang ditawarkan 16Shop, kata peneliti, cocok untuk operator berketerampilan rendah karena kit ini siap pakai dan mudah diterapkan.

ZeroFOX mengatakan bahwa kit yang tersedia untuk Cash App itu masih memiliki kode dasar yang sama dengan yang lain. Template situsnya pun meniru situs resmi milik Cash App, hingga alur kerja untuk login atau masuk dibuat semirip mungkin dengan situs asli.

Untuk mengarahkan ke halaman phishing palsu Cash App, operator menjalankan aksinya melalui email dan pesan SMS yang memperingatkan tentang masalah keamanan sehingga menyebabkan akun Cash App terkunci. Berangkat dari kondisi itu, jika pengguna tidak teliti dan panik membaca email dan pesan SMS kemungkinan besar akan terkena phishing ini.

16shop pun menyediakan berbagai bahasa sehingga operator pengendali dapat menipu korbannya di seluruh dunia, kata peneliti.

Ketika link phising meniru situs Cash App diklik, itu akan memicu serangkaian pemeriksaan sebelum memuat halaman phising. Berbagai data seperti alamat IP pengunjung, agen pengguna mereka, dan rincian ISP pun dikumpulkan dan diproses untuk mencegah akses ke teknologi keamanan dan web crawler (tools pengindeks konten internet).

“Jika pemeriksaan ini lolos, mereka akan dibawa ke halaman phising 16Shop dan diminta mengisi alamat email Cash App mereka,” ujar peneliti ZeroFOX, dikutip Kamis (4 Maret 2021).

Setelah mengisi data email akun Cash App, situs phising itu kemudian memperingatkan pengguna tentang status akunnya di mana tombol yang disediakan merupakan tombol untuk membuka kunci akun. Ringkasnya, untuk memperdaya calon korban, 16Shop membuat pengguna Cash App merasa seolah-olahnya akunnya telah terkunci  karena masalah keamanan.


Laman phishing tiruan yang dibuat mirip dengan milik Cash App yang asli | Sumber: ZeroFOX


Korban yang panik dan mengira itu bisa menyelamatkan akunnya dari kuncian, tentu akan mengklik tombol untuk membuka kunci akunnya. Jika itu dilakukan, dari sanalah petaka bermula. Sebab, korban akan diminta memasukkan informasi sensitif seperti:

- PIN Cash App
- Alamat email
- Kata sandi
- Nama dan alamat lengkap
- Nomor jaminan sosial (SSN)
- Detail kartu pembayaran debit (nomor kartu, tanggal dan tahun, CVV)
- dokumen identifikasi (KTP atau SIM)

Data-data itu kemudian akan digunakan oleh peretas untuk mengambil alih akun Cash App asli milik korban yang terperdaya.
 

Pengembang 16Shop Diduga dari Indonesia
ZeroFOX menemukan pengembang dibalik kit phising untuk menargetkan pengguna Cash App adalah warga negara Indonesia.

Laporan Akamai pada 21 Mei 2019 menyebutkan, WNI itu bernama Riswanda Noor Saputra. Jejaknya teridentifikasi sebagai pengembang yang diidentifikasi dibalik 16Shop.

Riswanda, kata Akamai, dikenal juga sebagai “devilscream”. Para peneliti dan Akamai telah menemukan artefak pribadi Riswanda dan membuktikan bahwa Riswanda memang memiliki keahlian dalam hal ini. Namun, sayangnya menurut Akamai pengetahuannya malah diterapkan ke arah kriminal.

ZeroFOX menyimpulkan pengembangnya adalah Riswanda setelah mempelajari kode dari kit phising itu. Peneliti menemukan bahwa ketika peringatan tentang aktivitas akun yang tidak biasa muncul atau anomali, alamat email pengembang pun langsung muncul, tersembunyi di balik dialog.

Tampaknya Riswanda membuat kesalahan saat ingin menutupi identitasnya. Karena, tak hanya Akamai, peneliti Lookout melalui unggahan Twitter pada 2018 menemukan ‘devilscream’ atau pengembang dibalik kit phising yang waktu itu menargetkan Apple adalah Riswanda.

Lookout pun menyoroti prestasi Riswanda pada saat itu dari temuannya, di mana Riswanda ditemukan pernah memenangkan kompetisi desain situs web pada tahun 2017. Lookout pun mengakui dia pandai dengan keahliannya dalam membuat kit phising, tetapi tidak dalam menyembunyikan identitas aslinya.

Dari hasil pencarian melalui mesin pencari Google dengan kata kunci 'Riswanda Noor Saputra', temuan Lookout tampaknya merupakan prestasi yang diraih Riswanda saat duduk dibangku Sekolah Menengah Kejuruan (SMK) di Kalimantan Selatan, seperti diberitakan kantor berita ANTARA pada 15 November 2016.

Dalam berita itu, Riswanda disebutkan bersekolah di SMK Negeri 1 Amuntai, Kabupaten Hulu Sungai Utara, Kalsel. Seperti yang dikatakan Lookout, Riswanda berhasil meraih juara 1 bidang web design pada lomba kompetensi siswa se-Kalimantan Selatan. (Lihat: Pelajar HSU Juara Web Design se Kalsel).

Dalam laporan terbarunya, ZeroFOX yang tampaknya memantau akun media sosial Riswanda juga menyertakan tangkapan layar terhadap isi cerita yang diunggah Riswanda di Instagram.

ZeroFOX mengatakan bahwa Riswanda menggunakan media sosial untuk memperlihatkan kekayaannya karena berhasil mengoperasikan 16Shop, dan menerbitkan postingan tentang pembaruan yang akan datang dan kit baru di 16Shop.

Tangkapan layar itu menunjukkan pengguna yang diyakini sebagai Riswanda mengambil gambar layar MacBook Air yang penuh dengan kode-kode layaknya sedang menyusun sebuah program, disertai tulisan,"Niat liburan, ujung2nya tetap aja ngeliat ginian lagi (emoji mengeluarkan asap dari hidung atau marah)”.


Ungguhan di Instagram yang oleh ZeroFOX dikaitkan dengan Riswanda

ZeroFOX mengatakan tangkapan layar yang diambil dari media sosial Instagram Riswanda itu menunjukkan perkembangan phishing kit 16Shop.

Pernah Targetkan Pengguna PayPal dan Amazon
Awal Januari 2020 lalu, Tim ZeroFOX Alpha menemukan phishing kit 16Shop juga menargetkan pengguna PayPal. Disebutkan, alat itu dilengkapi dengan beberapa fungsi anti-bot dan anti-pengindeksan dari daftar hitam hingga pustaka anti-perayapan sumber terbuka yang disebut CrawlerDetect. Seperti kit lainnya, tujuan utama tetap sama:  mengambil informasi sebanyak mungkin untuk memungkinkan pengambilalihan akun, baik itu info masuk kredensial, email, detail kartu kredit, dan lainnya.

"Tujuan dari kit phishing adalah untuk memuluskan peretasan,  sehingga operator kit yang tidak terlalu teknis dapat menggunakan halaman phishing tanpa perlu memahami protokol yang mendasari di balik pengelolaan infrastruktur ini," kata laporan ZeroFOX saat itu. (Lihat: Forbes: Pengguna Paypal Dibidik Hacker Indonesia).

Selain itu, laporan McAfee pada 12 Juli 2019 menyebutkan phishing kit 16Shop juga menargetkan pengguna akun Apple dan Amazon. Seperti temuan ZeroFOX, McAfee juga menyebut pengembang alat peretasan itu berasal dari Indonesia dengan alamat email yang dipakai diantaranya riswandanoor@yahoo.com.[]

Editor: Yuswardi A. Suud  

Update pukul 16.20 WIB:
Setelah artikel ini tayang, redaksi Cyberthreat.id menerima email dari orang yang mengaku sebagai Riswanda Noor Saputra. Berikut adalah isi emailnya. 

Halo, saya Riswanda Noor Saputra, sebelumnya saya mau klarifikasi terkait artikel NEWS : Disebut Buatan Indonesia, Alat Peretas 16Shop Targetkan Aplikasi Cash App, Pernah Serang Paypal Hingga Apple (cyberthreat.id)

Sejak 2019 akhir atau 2020 saya sudah berhenti menjadi pembuat atau pengembang 16Shop.
Saya mengakui pada tahun 2017-2019 itu adalah saya, tapi sekarang sudah bukan saya lagi.

Untuk screenshot dari instagram itu, itu terjadi pada 86 minggu yang lalu / atau hampir 2 tahun yang lalu.

Sebelum saya mengirim email ini, saya sudah klarifikasi ke bleepingcomputer dan zerofox, semoga mereka membacanya.

Terima kasih.


Update Terbaru:

Namanya disebut dalam laporan sejumlah perusahaan keamanan siber global. Apa saja pengakuannya tentang alat peretas 16Shop yang menghebohkan itu?
[EXCLUSIVE] Pengakuan Riswanda, Hacker Indonesia Pembuat Alat Peretas 16Shop yang Gegerkan Peneliti Keamanan Siber Dunia

Namanya disebut dalam laporan sejumlah perusahaan keamanan siber global. Apa saja pengakuannya tentang alat peretas 16Shop yang menghebohkan itu?

Yuswardi A. Suud, Tenri Gobel | Kamis, 04 Maret 2021 - 21:15 WIB

Cyberthreat.id - Nama Riswanda Noor Saputra dalam beberapa tahun terakhir kerap disebut perusahaan keamanan siber global sebagai peretas asal Indonesia yang mengembangkan alat peretasan (phishing kit) 16Shop yang menargetkan pengguna sejumlah perusahaan teknologi besar dunia seperti Apple, Paypal, Amazon, hingga penyedia kartu kredit American Express.

Terbaru, namanya juga disebut dalam laporan perusahaan keamanan keamanan siber ZeroFOX yang berbasis di Amerika Serikat. Dalam laporan yang dipublikasikan pada 1 Maret 2021 itu, ZeroFOX menyebut alat peretasan 16Shop telah dipakai untuk mencuri kredensial (username dan password) para pengguna aplikasi Cash App, sebuah layanan pembayaran via ponsel yang dikembangkan oleh Square Inc.

Dalam laporannya, ZeroFOX menyebut berdasarkan jejak digitalnya, alat peretasan itu dibuat oleh seseorang dengan nama alias DevilScreaM yang belakangan terlacak bernama Riswanda Noor Saputra dan tinggal di Indonesia. (Baca: Disebut Buatan Indonesia, Alat Peretas 16Shop Targetkan Aplikasi Cash App, Pernah Serang Paypal Hingga Apple)

Sebelumnya, pada 21 Mei 2019, namanya muncul dalam laporan Akamai sebagai pengembang yang diidentifikasi dibalik 16Shop.

Pada 12 Juli 2019, ketika phishing kit 16Shop dipakai untuk menargetkan pengguna Apple dan Amzon, laporan perusahaan antivirus McAfee juga menyebut pengembang alat peretasan itu berasal dari  Indonesia dengan alamat email yang dipakai diantaranya riswandanoor@yahoo.com.

Setelah laporan terbaru dari ZeroFOX tayang di Cyberthreat.id pagi tadi (4 Maret 2021), seseorang yang mengaku sebagai Riswanda mengirimkan email ke redaksi. Kami yang tidak percaya begitu saja, memintanya membuktikan bahwa itu adalah Riswanda Noor Saputra yang sebenarnya. Dia kemudian mengirimkan foto dirinya sambil memegang KTP.

Cyberthreat.id kemudian memastikannya lagi dengan mengontak via akun Instagram yang salah satu tangkapan layar unggahannya dimuat dalam laporan ZeroFOX. Hasilnya, pembicaraannya tersambung dengan pembicaraan sebelumnya. Atas dasar itu, Cyberthreat.id meyakini pria itu adalah Riswanda yang disebut dalam laporan ZeroFOX.  

"Saya berjanji bahwa jika saya menipu, saya siap menerima konsekuensinya," katanya.

Namun, supaya lebih meyakinkan, kami meminta berkomunikasi dengannya lewat video call. Dia berjanji bersedia melakukannya pukul 21.00 WIB malam ini.  Karena itu, laporan ini ditayangkan setelah kami berhasil tersambung lewat video call dengannya. (saat laporan ini ditayangkan, wawancara sedang berlangsung)

Dalam emailnya, Riswanda mengatakan sudah berhenti sebagai pembuat dan pengembang 16Shop sejak akhir 2019, dan beralih ke dunia fotografi.

"Sejak 2019 akhir atau 2020 saya sudah berhenti menjadi pembuat atau pengembang 16 Shop. Saya mengakui pada tahun 2017-2019 itu adalah saya, tapi sekarang sudah bukan saya lagi," katanya kepada Cyberthreat.id.

Riswanda mengaku namanya disangkutpautkan karena rekam jejaknya sebelumnya sebagai pembuat 16Shop..

Riswanda bercerita bahwa awalnya pada Desember 2017, dia bersama satu rekannya menjalankan 16Shop, tetapi dia berhenti sejak akhir 2019. Dengan kata lain, 16Shop kini dijalankan oleh satu pengembang saja.

Riswanda mengaku pengembang 16Shop yang sekaranglah yang membuat phishing kit untuk Cash App itu. Pengembang itu, kata Riswanda, juga berasal dari Indonesia dan seorang kenalannya, yang sejak awal telah bersamanya membuat 16Shop.

Saat ditanya apakah dari temuan Zerofox benar itu alamat emailnya, Riswanda membenarkan dan mengklaim bahwa emailnya itu cuma digunakan oleh pengembang 16Shop saat ini (kenalannya) untuk mengetes sebuah aplikasi itu karena email itu memiliki akun di Cash App.

"Email ini sebelumnya dibuat hanya untuk membuat akun-akun saja, mengirim konfirmasi email dan lain-lainnya. Pengembang sekarang adalah kenalan saya juga. Kemungkinan dia lupa menghapus email tester (riswanda.ns@gmail.com) sebelum merilis Cash App tersebut. Karena dalam pembuatan phising, inspect element merupakan tools utama juga," ujarnya menjelaskan terkait alamat emailnya.

Mengenai tangkapan layar Instagramnya yang juga ditemukan oleh Zerofox, Riswanda membenarkan bahwa kit phising yang dibuatnya untuk American Express sekitar 1 tahun 7 bula lalu, tetapi, menurutnya, itu bukan untuk 16Shop melainkan kebutuhan pribadi.

"16Shop memang menawarkan untuk menargetkan American Express yang saat itu dirilis April tahun 2020, tetapi pada saat itu pengembangnya bukan saya lagi. Bahkan struktur kode di halaman yang digunakan juga berbeda dengan punya saya," ujarnya.

Riswanda pun mengaku dalam pembuatan kit phising dirinya tidak pernah memanfaatkannya secara pribadi.

"Sejujurnya saya hanya menjual phising kit tersebut, tetapi memakai phising tersebut seperti menyebar ke email dan sebagainya saya tidak pernah," katanya.

Ditanya mengapa berhenti dari dari  aktivitas di 16Shop, Riswanda mengatakan,"faktor utamanya takut dan jenuh di dunia phising."

Sejak berhenti pada akhir 2019, Riswanda mengakui pada Maret 2020 membuat situs pemantauan covid-19 beralamat di kasuscorona.id. Namun, saat diakses, situs itu sudah tidak aktif lagi.

"Sudah di-suspend sama penyedia hostingnya," ujarnya sembari mengirimkan tangkapan layar email pemberitahuan dari penyedia hosting.  

Riswanda memang pernah memenangkan kompetisi desain web pada 2016. Prestasinya itu sempat diberitakan kantor berita ANTARA pada 15 November 2016. Saat itu, dia masih duduk di bangku Sekolah Menengah Kejuruan (SMK) Negeri 1 Amuntai, Kabupaten Hulu Sungai Utara, Kalimantan Selatan.

Untuk informasi lebih jauh tentang aktivitas dan bagaimana Riswanda terjun ke dunia peretasan, nantikan laporan lebih lanjut dalam wawancara khusus dengan Cyberthreat.id.[]

Karena merasa takut terlacak oleh penegak hukum akhirnya 2020 berhenti.
Saya Hanya Bikin 16Shop yang Targetkan Apple, Amazon, dan PayPal

Karena merasa takut terlacak oleh penegak hukum akhirnya 2020 berhenti.

Andi Nugroho, Tenri Gobel | Jumat, 05 Maret 2021 - 15:30 WIB

Cyberthreat.id – Kisah ini bermula dari sebuah script atau kode-kode perintah yang sebetulnya sederhana. Hanya, script ini jahat. Script itu mencuat di medio 2018 hingga 2019.

Tak main-main, script itu dipakai oleh peretas untuk mencuri data para pengguna Apple, Amazon, PayPal, hingga Cash App—untuk yang terakhir ini baru-baru ini terungkap. Script itu tak ubahnya malware stealer yang dirancang untuk menggaruk data-data pribadi pengguna mulai nomor kartu kredit, kata sandi, nama, email, nomor telepon, KTP, dan lain-lain.

Dibuat akhir 2017, script bernama “16shop” itu dijual awal Januari 2018 dengan harga Rp500.000. Selama lima bulan berselang, script itu tenar. Sang pembuat yang bersembunyi di balik nama “devilscream” menaikkan harga script-nya menjadi Rp900.000.

“Devilscream” menawarkan script itu secara telanjang di akun Facebook—dan ini yang kelak disesali sang pembuat lantaran menawarkan script di akun Facebook yang tertera nama aslinya.

Script itu baru menargetkan para pengguna Apple. Tujuannya dipakai untuk mencuri ID Apple (nama pengguna, kata sandi, dan 16 digit kartu kredit yang dipakai untuk mendaftar ID Apple).

Sementara “devilscream” masih berkutat dengan dunia coding, demi meningkatkan kemampuan script-nya, sesekali masih melayani pembelian, di belahan bumi lain peneliti keamanan siber terkemuka asal AS, Lookout Mobile Security, sedang melacaknya.

“Devilscream” barangkali tak memeriksa Twitter di saat tim divisi PhishingAI (milik Lookout) membongkar identitasnya pada Juni 2018. Di akun Twitter-nya, PhisingAI mengungkap nama di balik “devilscream”.

Disebutlah nama Riswanda Noor Saputra. Saat itu usianya baru 16 tahun. Bersekolah di SMK Negeri 1 Amuntai, Kalimantan Selatan. Tak sulit untuk melacak nama itu, sebab pada 2016 ia masuk pemberitaan nasional. Kantor berita ANTARA memberitakan tentang kiprahnya yang menjuarai pertama lomba web design tingkat provinsi.

“Devilscream” atau Riswanda Noor dalam wawancaranya dengan Cyberthreat.id, Kamis (4 Maret 2021) malam melalui Google Meet mengaku, bahwa dirinya sama sekali tak ada sangkut paut dengan serangan phishing ke Apple, Amazon, PayPal hingga Cash App.


Berita Terkait:


Ia hanya menjual phishing kit “16shop” untuk Apple, Amazon, dan PayPal. “Orang-orang luar menyebut [script itu] sebagai Phishing –as-a-Service,” kata Riswanda.

Puas dengan penghasilan script pertama, Riswanda bersama satu rekannya mengembangkan kembali script kedua di akhir 2018. Muncullah, script baru untuk menargetkan pengguna Amazon.

Enam bulan pertama 2019, script itu bikin geger, meski pada “produk” sebelumnya juga telah menjadi perbincangan kalangan bawah tanah, kali ini peneliti keamanan siber terkemuka yang mengungkap ke “dunia atas”.

Mei 2019, peneliti dari perusahaan teknologi AS, Akamai Technologies, mengulas script itu di blog perusahaannya. Akamai menyoroti phishing kit untuk ID Apple. Dua bulan kemudian,giliran peneliti keamanan McAfee mengunggah laporan mengulas tentang phishing kit untuk Amazon.

Awal 2020, perusahaan cybersecurity asal AS, ZeroFOX, muncul dengan ulasan terbaru. Phishing kit itu dipakai peretas untuk menargetkan pengguna PayPal. Lalu, di awal Maret 2021, ZeroFOX mengeluarkan laporan terbaru terkait serangan phishing ke pengguna Cash App, sebuah aplikasi pembayaran seluler.

Berikut wawancara khusus wartawan Cyberthreat.id Andi Nugroho dan  Tenri Gobel dengan Riswanda secara telekonferensi video pada Kamis (4 Maret) malam.

Bisa ceritakan tentang diri Anda...

Saya Riswanda Noor Saputra. Membuat script sekitar umur 13 tahun. Antara 2013-2014 saya bikin eksploittapi pada 2015 itu saya rehat gitu. Waktu itu kan mau ujian SMP, jadi rehat dulu.

Baru di SMK, [saya] kembali lagi [membuat script). Saya belajar [bahasa pemrograman] PHP lagi, HTML, CSS. Pada 2016 disuruh untuk mewakili sekolah buat lomba, terus menang web design saat itu tingkat Kalimantan Selatan. Waktu itu bulan November 2016 sesuai di berita (ANTARA) itu; waktu menang itu kan diliput.  Habis itu hingga Desember 2017, saya kembali ke dunia underground.

Anda sudah sejak SMP mengenal komputer ya?

Dasar-dasar web sih sejak 2011 saya sudah pegang laptop. Saat itu belajar bikin blog dari blogger.com. Dari SD dulu main game, kan jamannya Point Blank (game buatan Zepetto asak Korea Selatan) pada tahun 2009. Dari situ tahu komputer. Dulu main game di warnet, cuma karena keseringan ke warnet, jadinya dibelikan laptop dulu. Have fun saja.

Dari SMP saya sudah di dunia defacer (peretas yang mengubah tampilan situs web, red). Berbekal dari main game, sejak 2013 ke atas itu saya sudah di dunia defacer. Berikut arsip serangan defacement web dirinya di situs web Zone-H.org  (klik di sini)

Mengapa memilih terjun di dunia defacer?

Saat itu saya bikin suatu situs web, waktu itu enggak tahu keamanan web. Terus ada yang meng-upload  (skrip) backdoor ke web saya. Web saya di-deface orang. Dari situ saya belajar untuk deface, belajar keamanan situs web.

Oh, dari sakit hati begitu…

Iya, jadi balik serang.

Saat itu memang sengaja merusak situs web atau memang ingin membuktikan diri kepada teman-teman?

Dulu saya niat deface itu have fun saja, cuma kalau men-deface situs web Indonesia enggak minat. Dulu waktu bikin exploit sendiri saya sasarannya situs web luar, saya bikin exploit web untuk di Thailand. Kalau hoki, ya dapat situs web pemerintahan.

Berapa situs web yang Anda deface sewaktu SMP?

Paling ratusan situs web saja.

Punya kenangan serangan yang paling mengesankan?

Enggak ada target berkesan sih menurut saya. Yang penting bisa membobol. Tapi, saya bisa bikin eksploit sendiri sih , kayak kita bikin, maksudnya, eksploit itu senjata.

(Ia menceritakan eksploit yang dibuatnya itu menargetkan aplikasi tertentu. Jika sebuah situs web mana pun memakai aplikasi itu, ia bisa membobol situs web dengan eskploit yang dibuatnya.)


BACA:


Eksploit yang dibuat itu pakai bahasa apa?

Bahasa PHP. Dari 2012 saya belajar itu bahasa PHP. Untuk penguasaan PHP basic, tanpa framework itu ya. Kalau tidak salah setahun [belajar PHP].

Semua itu tidak ada gurunya, kan ya?

Google (sembari tertawa).

Eksploit pertama kali yang dibikin waktu itu dinamai apa?

Saya lupa, bisa cek arsip di Exploit.db.com Pada 2013. saat itu saya masih SMP usia 13 tahun. Bisa dicari dengan dengan keyword “DevilScreaM”. (https://www.exploit-db.com/?author=6037).

Dulu nama underground saya “DevilScreaM”. Jadi, dulu itu punya komunitas namanya “ScreamCrew”. Diambil nama Scream-nya dari komunitas itu, terus “devil” itu nambahin sendiri.

Terinsiprasi dari mana nama itu?

Enggak ada inspirasi apa-apa sih nama itu. Komunitas itu pada 2012 beranggotakan 50 orang kayaknya. Berkenalan di dunia maya, kami  semuanya pure, enggak pernah ketemu. Bahkan, video call pun tidak pernah, begitu pun dengan telepon karena zamannya BBM (BlackBerry Messenger) dulu. 

Saya pun memutuskan keluar dari komunitas itu dan membuat komunitas namanya “Newbie Security” (http://newbie-security.or.id/) tepatnya 2013-2015. Saat itu saya juga bikin e-book.

Nah di situ saya bikin komunitas , saya sendiri CEO-nya dan teman saya 3 orang sebagai moderator pada saat itu. Nah, dulu itu, di e-book itu saya bahas tentang keamanan situs web. Saya posting beberapa artikel tentang tutorial mengamankan situs web dari cross xite scripting, SQL Injection dan lain-lain. Hampir semuanya saya pernah bahas.

(Ia mengaku bikin e-book waktu itu karena aktivitas komunitasnya sepi. Sehingga ia berniat mendokumentasikan tutorial keamanan situs web. Ia membagikan e-book itu di situs web Slide Share dengan nama “screamt4rt”. (Cek di sini https://www.slideshare.net/Scream4rt ).

Umur berapa saat itu?

Itu waktu saya umur 15 tahun buat e-book-nya

Sendiri menyusunnya?

Menyusunnya itu sendiri, untuk kata-kata teman sih yang koreksi.

Banyak yang suka waktu itu dengan e-book?

Banyak yang suka saat itu. Banyak juga yang share ke teman-teman. Rata-rata sih komunitas hacker yang respons.

Saat bikin eksploit itu, apa yang terpikirkan di benak atau yang menjadi mimpi Anda waktu itu?

Waktu itu mimpinya enggak ada kayaknya. Dulu itu bikin eksploit, deface itu, untuk bangga-banggaan saja sih sama teman di sesama underground. Buat unjuk skill gitu. Tetapi, 2015 berhenti dari dunia underground, karena sudah jenuh juga.

Sejak 2015 itu saya tidak kembali ke dunia defacer. [Teman-teman] yang deface urusan masing-masing sih, mereka tetap lanjut. Ada yang berhenti, ada juga yang masih lanjut.

Pokoknya setelah berhenti, saya enggak ke mana-mana, pokoknya fokus di sekolah saja masih dan belajar web. Lalu, 2016 akhir itu baru terciptanya “16Shop”.

Akhir 2016 bikin script 16Shop dan balik lagi underground ya…

2016 itu belum, saya masih sekolah di jurusan Teknik Komputer dan Jaringan (TKJ) dan baru menang lomba mewakili sekolah tingkat Kalimantan Selatan dan mewakiliki Kalsel untuk tingkat nasional. Saya juara pertama untuk tingkat provinsi, 10 besar di tingkat nasional dengan lawan terberat dari Jawa Barat.


Foto: Antaranews.com


Anda memang menonjol di komputer saat itu sehingga dipilih guru, ya?

Dulu itu saya tidak pernah nonjolin sih, saya itu dipilih H-7 sebelum kompetisi. Saat itu teman saya yang bilang ke guru suruh milih saya. Teman saya itu malas-malasan untuk latihan, jadi guru cari yang lain. Lalu terpilih saya.

(Ia menceritakan waktu lomba itu dia harus menyelesaikan sejumlah soal berkaitan dengan web design. Ia seleaikan tahap tiap tahap dan harus rampung dalam waktu yang ditentukan.)

Di situ butuh kecepatan dan fisik. Saya habis lomba itu fisik saya drop. Tingkat nasional lombanya itu 4 hari.  Dari jam 07.00 sampai 16.00.

Setelah masuk 10 besar, belajar web framework. Saat itu kode node JavaScript itu lagi naik-naiknya. Saya belajar JavaScript dulu. Habis itu belajar PHP lagi.

Gara-gara enggak ada kerjaan, akhirnya bikin sendiri “16Shop”. Jadinya, kembali ke dunia underground lagi. Ini karena teman-teman itu banyak yang show off hasil carding . Jadi, terinspirasi dari situ. Penghasilannya teman-teman carding itu banyak; rata-rata puluhan juta itu pasti.  

Lalu, kapan 16shop dibuat?

Semenjak akhir 2017, saya membentuk namanya 16Shop itu. Waktu itu Desember 2017. Waktu itu awalnya teman minta bikinkan. Karena banyak peminatnya, ya dijual juga yang kode script phishing itu.

Januari-Mei 2018 itu sedang ramai-ramainya script saya itu, tiba-tiba waktu itu banyak yang minat, banyak yang kontak saya. Saya jual di Facebook dengan nama Riswanda.

(Ia menuturkan, script inilah yang menargetkan pengguna Apple. Script ini dibeli oleh para peretas utuk serangan phishing ke para pengguna Apple).

Selanjutnya, sekitar Agustus saya merilis yang script berikutnya, untuk [target pengguna] Amazon itu.

Kenapa bikin script phishing?

Karena duit juga kan.

Berapa lama bikin script yang pertama untuk target pengguna Apple itu?

Pembuatan script itu sebulan jadi, bahkan dua minggu bisa jadi. Karena sederhana saja, soalnya itu enggak pakai framework apa-apa sama sekali. Untuk orang awam, tinggal upload ke hosting, pakai. Orang luar namainnya Phising as-a-Service (PaaS).

Bisa dijelaskan bagaimana teknis serangan ke Apple itu?

Untuk masuk situs web Apple perlu login dengan Apple ID biasanya. Lalu, dibuatlah situs web, dibikin agar orang-orang percaya bahwa situs web itu asli seperti milik Apple. Lalu, mereka (calon korban) login, terus nanti ada notifikasi yang bikin mereka panik gitu, kayak akunnya terkunci. Lalu, mereka pencet “Next”, lalu mereka mengisi data-data mereka.

Untuk domain itu, tergantung yang peretasnya. Kalau saya cuma menjual. Kayak kita bikin WordPress, itu kan gratis, nah terus (script itu) di-upload oleh mereka, gitu.

Bagaimana para peretas itu menyebarkan phishing?

Zaman dulu ya pakai email. Narasi emailnya bikin orang itu panik sih. Kayak bikin pembacanya itu panik untuk otomatis orang itu nge-klik email itu. Dulu kan target mereka kan orang-orang Amerika , biasanya data-data nama mereka, habis itu ZIP, habis itu social security number (SSN) atau nomor jaminan sosial), lalu kartu kredit. Kata-kata teman ya, bule-bule di sana ya bego atau apa ya.

Peminat 16shop yang Apple ID dari mana saja?

Rata-rata dari Indonesia dan luar negeri, perbandingannya 40:60, 60 persennya luar negeri peminatnya. [Phishing kit untuk] Amazon juga sama.

Berapa harganya?

Dulu waktu awal gitu ya, untuk Apple dari harga Rp500.000-Rp900.000 antara Januari -Mei 2018. Pendapatannya kalau dirata-rata saja ya, 50 orang x 700 ribu ya sektiar Rp35 juta.

Digunakan untuk apa itu penghasilannya?

Ya, untuk pribadi juga (sambil tertawa), ditabung juga sekalian.

Setelah 5 bulanan heboh itu, apa selanjutnya yang dibuat?

Makin mengembangkan sih aplikasi itu. Update-update script-nya biar tidak terlacak atau di bawah radar (perangkat lunak antivirus). Sama nambahin fitur supaya bule-bule itu meng-upload foto KTP mereka.

Lalu, setelah itu saya bikin untuk script Amazon dan Paypal. Cuma PayPal itu saya sudah tidak lanjutin sejak versi 1.xx. Untuk script Amazon itu berlangsung selama enam bulan dan Paypal mulai September 2019 hingga pensiun dari 16Shop (akhir Desember 2019). Script Apple dan Amazon dan Paypal berbeda-beda.

Berapa harganya?

Karena Amazon sudah ada nama, jadi dijual harga tinggi Rp800.000. Tidak dinaikkan sama sekali. Peminatnya juga sama kayak Apple.

Saat itu apa yang tebersit dipikiran ketika membuat script itu?

Kalau dari jejak saya di internet dulu kan dari defacer, habis itu dunia penetration. Nah, terus saya pikir kok enggak bisa dapat duit yah dari sini. Waktu itu kan belum ramai-ramainya bug bounty. Waktu itu saya belum tahu ada bug bounty, ya mikirnya dunia phishing bikin script.

Ketika membuat script itu apa yang kemudian menjadi mimpi Anda?

Enggak ada. Dulu itu bikin eksploit, deface itu jaman dulu untuk bangga-banggaan saja sih sama teman di sesama underground. Dari teman-teman cukup salut atau mengakui kemampuan saya.

Oh ya, bisa dijelaskan kenapa namanya 16Shop?

Saya bikin nama “16Shop” itu dari digitnya kartu kredit, lalu saya tambahin “shop”.  Kata “shop” ngambil di mana ya, lupa juga. Pokoknya sejarahnya itu. Antara 2017 hingga 2019, 16Shop masih dikelola saya, selebihnya bukan lagi saya pengembagnnya.

Pokoknya, saya itu dari Apple, Amazon, dan PayPal. Untuk yang lain seperti American Express dan Cash App itu teman saya.

Bisa jadi saya dikaitkan karena satu tim, tapi juga karena track record di Apple, Amazon, dan Paypal itu jadi saya disangkutpautkan.

Artikel dari ZeroFOX itu, American Express dan Cash App yang baru ini, dikaitkan ke saya. Padahal itu teman saya di 16Shop. Saya sudah enggak berkomunikasi lagi, saya lepas sudah enggak tahu apa-apa gitu.

Sebelum saya berhenti, saya sudah ngasih itu [16Shop], bicara sama dia: “Kamu saja yang lanjutin ini. Soalnya saya terekspose masa mau ngelanjutin lagi.”

Pada tahun berapa tahun terekspose?

Pertama kali terekspose sama media-media luar karena bikin yang Amazon, kemungkinan karena Amazon perusahaan populer. Penegak hukum saat itu belum ada, hanya media luar yang memberitakan. Dulu dari hackmd.io, lalu dari Zerofox, lalu Akamai

Cuma yang menemukan nama saya itu PhisingAI (Lookout). Karena identitas nama saya “devilscream” itu, jadi mereka tahu bahwa “devilscream” itu Riswanda. Di script itu saya pakai “devilscream”.

Soal “devilscream” itu saya dulu pernah bikin ada artikel, di Google itu cari saja, ada itu. 

Menyesal dengan nama itu?

Blunder masa lalu.

Apakah orangtua tahu soal 16shop?

Enggak tahu, begitu juga istri saya sekarang.

(Meski terekspose oleh Lookout waktu itu, ia belum menutup akun Facebook-nya. Ada sesekali yang ingin membeli script-nya, tapi ia tolak. Ia menutup diri hingga akhirnya membuat lagi untuk script phishing Amazon dan PayPal.

Pada 2020, artikel-artikel berita yang mengulas script Amazond an PayPal mulai bermunculan. Ia mengaku tak pernah tahu saat script-nya itu mulai dibahas oleh kalangan peneliti keamanan siber. “Jadi saat itu ya mungkin masih aktif-akitfnya. Semenjak tahu itu, jadinya saya sudah menutup diri, menutup identitas gitu. Semenjak saya baca berita dari luar itu,” ujar dia.

Terus ngapain di 2020?

Karena merasa takut terlacak oleh penegak hukum akhirnya 2020 berhenti. Padahal, enggak pernah dihubungi penegak hukum. Cuma kan kalau makin bandel, ya mungkin dihubungi. Di tahun 2020 sudah tidak ada aktivitas-aktivitas lagi.

Lalu, Anda diberitakan lagi pada tahun ini, disangkutpautkan dengan Cash App. Apa bukti bahwa Anda tidak terlibat?

Kalau dilihat dari email saya ini isinya cuman test akun gitu. Waktu itu kalau mau bikin akun atau apa pakai email ini saja, buat aplikasi atau apa-apa gitu. Sebenarnya ini email bukan utama saya sih, email yang tidak tepakai. Makanya saya berani email langsung dengan email ini, kan ini email yang tertera di ZeroFOX saya email langsung ke media pakai email ini.

Ada ingin membersihkan nama Anda?

Ya pastilah

Ada rencana membantu penegah hukum, mungkin?

Belum. (Namun, ia bersedia jika polisi meminta bantuan dirinya untuk mendeteksi dan memblokir serangan phishing dengan script-nya itu. Ia juga menambahkan masih menunggu tanggapan dari ZeroFOX untuk membuat sebuah aplikasi pendeteksi phishing.)

Kalau sudah bukan di balik 16Shop. Apa kesibukan Anda sekarang?

Kalau sekarang ya jadi itu freelance fotografer, masih di dunia komputer juga sih. Editing gitu.

Enggak mau lagi di dunia script?

Enggak sih

Kenapa tidak ingin mengembangkan kemampuan di cybersecurity, jalur profesional?

Mengembangkan sih iya. Saya dulu itu mengembangkan 16Shop juga sambil belajar tentang cybersecurity, cuma ya enggak mendalami lah. Belum sempat berpikir untuk membuat konsultan keamanan siber. Sebenarnya kalau saya kembali ke dunia cybersecurity itu ya masih belajar lagi, soalnya kan teknologi sekarang sudah beda dari teknologi zaman dulu. Sekarang  lebih fokus fotografi dan videografi.

Apa yang ingin disampaikan Anda ke publik?

Ya intinya sih saya sudah berhenti di dunia begituan. Sudah beralih profesi gitu, sudah enggak mau lagi main gitu-gituan.

Intinya saya berhenti di dunia ginian. Lebih enak di dunia visual editing, di dunia sekarang ini bertemu banyak teman. Real, yang langsung, bukan dunia maya lagi. Kalau dahulu kan menyendiri di rumah, di kamar (karena punya teman di dunia maya). Sekarang temannya kamera ini, editing juga.

Ada tokoh yang disukai?

Kalau cyber consultant bang Teguh Aprianto (pendiri komunitas Ethical Hacker Indonesia) itu. Dia menjelaskan secara rinci dan detail tentang siber.

Pengin ketemu?

Enggak pernah. Hehehe.. kalau masa pandemi gini susah.

Apa yang ingin disampaikan ke Teguh, salam mungkin?

Maaf, saya salah jalur, saya salah ngambil langkah di dunia underground. []