Kronologi Peretasan 4.000 Kartu Kredit oleh Pelajar Indonesia

Agnes Savithri, CNN Indonesia | Rabu, 29/08/2018 08:48 WIB
Kronologi Peretasan 4.000 Kartu Kredit oleh Pelajar Indonesia Ilustrasi. (Foto: REUTERS/Mike Blake)
Jakarta, CNN Indonesia -- Direktorat Tindak Pidana Siber (Dittipidsiber) Mabes Polri menangkap dua orang peretas pencurian kartu kredit melalui aksi peretasan. Aksi peretasan dilakukan terhadap kartu kredit yang berada di Australia.

Pengamat Teknologi Informasi dari Vaksincom, Alfons Tanujaya memaparkan kronologi aksi peretasan tersebut yang dimulai dari lemahnya sistem kemaanan SQL Server sebuah e-commerce di Australia.

"Ini sebenarnya merupakan hasil pencurian data dari SQL Injection," ujar Alfons kepada CNNIndonesia, Rabu (29/8).


Dia menjelaskan kedua mahasiswa Indonesia tersebut menggunakan sebuah tools untuk melakukan scanning SQL Server dan mencari kelemahan server tersebut. Alfons menjelaskan jika ada server yang tidak dikonfigurasi dan diamankan dengan baik, maka data yang ada dalam server akan mudah dicuri.
"Jadi mereka berhasil mendapatkan sedikit data yang valid, salah satunya adalah email pelanggan," tambah dia.

Dari email tersebut, kedua peretas membuat situs phising memalsukan PayPal dan membuat tawaran palsu. Aksi ini terjadi Australia karena database yang dibobol adalah SQL e-commerce Australia.

Alfons pun mengungkapkan ketika korban merespons email tersebut, mereka pun memasukkan data kartu kredit pribadi yang diminta oleh situs phising. Dari situlah kedua orang ini memiliki data kartu kredit yang valid.

"Setelah itu, data kartu kredit curian tersebut digunakan untuk belanja barang-barang dengan tetap dikirim ke Australia dengan mencari orang yang mau menerima barang tersebut," kisahnya.
Alfons menjelaskan aksi ini sebenarnya bukan pembobolan kartu kredit semata. Aksi berawal dari pencurian data email dan pengguna dari SQL Injection. Sebenarnya, data tersebut tidak bisa digunakan dan tidak menjadi apa-apa jika tidak diolah.

"SQL Injection sendiri merupakan aksi yang memberikan data tidak langsung. Sehingga peretas tidak mendapatkan data kartu kredit dari SQL Injection. Tetapi dari phising situs Paypal," jelasnya.

Ada sekitar 4.000 kartu kredit yang dikumpulkan tersangka dan sebanyak sembilan kartu telah digunakan untuk berbelanja. Total kerugian dari kasus ini mencapai sekitar AUS$20 ribu atau sekitar Rp215 juta. (age/age)