Menurut data Symantec, informasi user dan account email, kartu kredit, dan lain-lain diperjual belikan di dunia maya. Sebagai contoh, informasi kartu kredit bisa dijual seharga 5 dolar AS per data. Harganya bisa tiga kali lipat lebih besar jika terdapat informasi nomor CVV (kode validasi) yang biasanya dicantumkan di bagian belakang kartu kredit tersebut.
Selain kartu kredit, ada lagi informasi yang lebih mahal harganya. Contohnya password akun e-mail. Kalau valid, harganya bisa mencapai 350 dolar AS. Informasi akun pelanggan bank juga begitu, per user, harganya bisa sampai 400 dolar. Demikian pula untuk user dan password akun jejaring sosial seperti Facebook. Meskipun belum ada informasi nominal harganya, tetapi informasi tersebut juga diperjualbelikan.
Sebagai contoh, kasus terbaru yang terjadi di Sydney, Australia pada Jumat 7 November lalu. Ketika itu Karina Wells menerima pesan di Facebook dari rekannya, Adrian, yang menyatakan bahwa ia sedang terjebak di sekitar Lagos, Nigeria. Adrian menyebutkan bahwa ia butuh pinjaman 500 dolar AS dari Karina agar ia bisa membeli tiket pulang.
Yang membuat Karina Wells curiga adalah, rekannya, Adrian biasanya menggunakan bahasa Inggris dengan baik. Ketika chatting lebih lanjut, penggunaan kata “cell” bukannya “mobile phone” menyadarkan Wells bahwa ia sedang tidak berbicara dengan rekannya. Melainkan orang lain yang telah mencuri akun Facebook-nya. Untungnya Karina cepat sadar dan tidak terjebak untuk mengirimkan uang pada “temannya” itu.
Pencurian Identitas
Berbagai macam metode pencurian informasi digunakan oleh pelaku kejahatan dunia maya untuk mendapatkan password. Menggunakan program brute force (yang menebak secara acak), menggunakan program keylogger (mencatat password yang diketikkan pengguna), menggunakan virus yang mampu merekam aktivitas pengguna, ataupun menggunakan situs palsu yang sengaja dibuat dengan pancingan terlebih dahulu.
Contoh yang sedang marak terjadi adalah pengguna dikirimi email berisi link ke situs tertentu, email berisi trojan, ataupun email berisi video. Email berisi link, bila pengguna terpancing untuk membuka situs asli tapi palsu tersebut biasanya memerintahkan pengguna itu memasukkan user name dan password. Bila berisi trojan, program akan menginstalasikan diri (baik dengan persetujuan atau tanpa sepengetahuan pengguna). Setelah itu program yang terinstalasi akan mentransmisikan seluruh informasi yang ada di komputer tersebut. Bila email berisi video, maka ketika penggunanya tertarik untuk melihatnya, biasanya pengguna akan diminta untuk menginstalasikan “video player” yang sebetulnya berupa program jahat yang akan memata-matai aktivitas pengguna.
Jika pelaku cybercrime berhasil mendapatkan acount email dan password, atau informasi login ke situs jejaring sosial milik seorang pengguna, maka pelaku memiliki peluang untuk mendapatkan “penghasilan” dari kontak-kontak yang ada di akun pengguna tersebut. Contohnya seperti yang terjadi pada kasus di atas.
“Menggunakan situs seperti Facebook memungkinkan para penipu untuk mencari dan membidik target secara efektif tanpa kemungkinan pesan mereka diblokir oleh program penyaring spam,” ungkap Paul Ducklin, Head of Technology Sophos Asia Pacific pada Sydney Morning Herald. “Kemungkinan, penipu pada kasus di atas mendapatkan informasi login milik Adrian setelah komputernya terserang virus yang dikirimkan via email ataupun situs yang mengandung virus,” tambahnya.
Kuncinya ada di Pengguna
Seperti kejahatan lainnya, titik lemah dari sistem keamanan terletak di penggunanya. Sekarang ini beragam aplikasi dan solusi penangkal virus, trojan, sampai ke situs phising (situs penipuan) sudah tersebar. Mulai dari yang gratisan sampai yang harganya ribuan dolar AS ada.
Tetapi semua bentuk pengamanan tersebut tidak akan bermanfaat kalau perilaku pengguna tidak hati-hati, tidak awas, atau ceroboh. Contoh percobaan penipuan menggunakan situs jejaring sosial di Sydney di atas adalah salah satunya. Pengguna yang awas tidak akan begitusaja tertipu meskipun penjahat dunia maya sudah berhasil mendapatkan informasi identitas rekannya.
Ada baiknya membaca dengan seksama email yang masuk ke inboks, pesan yang datang ke jendela instant messenger, ataupun pesan pribadi yang datang ke akun di forum atau situs jejaring sosial. Meskipun itu datang dari rekan sendiri. Kalau perlu, lakukan cross check dengan cara konvensional.