Akun Anda mungkin sedang dijual di pasar gelap—mengungkap seluruh rantai pencurian data

Setiap kali Anda memasukkan username dan password di halaman phishing, data tersebut mungkin dijual secara paket di darknet dengan harga kurang dari seratus dolar. Ini bukan sekadar omong kosong, melainkan rantai industri lengkap yang telah dibangun oleh kejahatan siber. Artikel ini menelusuri seluruh proses pengumpulan, peredaran, hingga pemanfaatan data yang dicuri, mengungkap bisnis gelap di balik perdagangan data di darknet.

Bagaimana data dicuri?

Sebelum serangan phishing benar-benar dimulai, pelaku perlu membangun “perangkat” untuk mengumpulkan data. Analisis kami terhadap halaman phishing nyata menunjukkan bahwa pelaku kejahatan siber umumnya menggunakan tiga metode utama untuk mendapatkan informasi yang Anda masukkan di situs palsu:

Pertama: Pengalihan email (sedang ditinggalkan)

Setelah korban mengisi data di formulir phishing, informasi tersebut secara otomatis dikirim melalui skrip PHP ke email yang dikendalikan pelaku. Ini adalah metode paling tradisional, tetapi memiliki kekurangan fatal—penundaan pengiriman email, rentan terhadap penyadapan, dan server pengirim sering diblokir. Oleh karena itu, metode ini perlahan digantikan oleh cara yang lebih tersembunyi.

Kami pernah menganalisis sebuah toolkit phishing untuk pengguna DHL. Skrip di dalamnya secara otomatis mengalihkan email dan password korban ke email tertentu, tetapi karena banyak batasan email, operasi semacam ini sudah menjadi usang.

Kedua: Bot Telegram (semakin populer)

Berbeda dengan email, pelaku menggunakan bot Telegram menyisipkan link API yang berisi token bot dan ID chat. Setelah korban mengirimkan data, informasi tersebut langsung dikirim secara real-time ke bot, dan operator langsung menerima notifikasi.

Mengapa metode ini lebih disukai? Karena bot Telegram lebih sulit dilacak dan diblokir, serta tidak bergantung pada kualitas hosting halaman phishing. Pelaku bahkan bisa menggunakan bot sekali pakai, mengurangi risiko tertangkap.

Ketiga: Panel manajemen otomatis (paling profesional)

Kelompok kejahatan yang lebih berpengalaman membeli atau menyewa kerangka phishing khusus, seperti BulletProofLink atau platform komersial lainnya. “Platform sebagai layanan” ini menyediakan dashboard web—semua data yang dicuri dikumpulkan dalam satu basis data terpadu.

Panel ini biasanya memiliki fitur canggih: statistik keberhasilan serangan berdasarkan negara dan waktu, verifikasi otomatis keabsahan data yang dicuri, serta ekspor data dalam berbagai format. Untuk kelompok kriminal terorganisir, ini adalah alat kunci untuk meningkatkan efisiensi. Perlu dicatat, satu kegiatan phishing sering menggunakan beberapa metode pengumpulan sekaligus.

Data yang bocor dan nilainya berbeda-beda

Tidak semua data yang dicuri memiliki nilai yang sama. Dalam geng pelaku kejahatan, data ini diklasifikasikan ke dalam berbagai tingkat, dengan harga dan kegunaan yang berbeda.

Berdasarkan analisis statistik selama setahun terakhir, distribusi target serangan phishing adalah:

• Kredensial akun online (88,5%): username dan password. Ini data yang paling sering dicuri karena bahkan hanya email atau nomor telepon saja sudah berharga—mereka bisa digunakan untuk serangan pemulihan akun atau phishing lanjutan.

• Informasi identitas pribadi (9,5%): nama, alamat, tanggal lahir, dll. Data ini sering digunakan untuk serangan rekayasa sosial, atau digabungkan dengan data lain untuk penipuan yang lebih akurat.

• Informasi kartu bank (2%): nomor kartu, masa berlaku, CVV, dll. Meskipun persentasenya kecil, nilainya paling tinggi, sehingga dilindungi secara ketat.

Nilai data juga tergantung atribut tambahan akun—umur akun, saldo, apakah mengaktifkan autentikasi dua faktor (2FA), metode pembayaran yang terikat, dan lain-lain. Akun baru terdaftar dengan saldo nol dan tanpa 2FA hampir tidak berharga, tetapi akun lama bertahun-tahun dengan banyak riwayat pembelian dan terikat kartu bank asli bisa bernilai ratusan dolar.

Bisnis di pasar gelap: bagaimana data berpindah dari pencurian ke penjualan

Data yang dicuri akhirnya masuk ke pasar darknet. Apa yang terjadi di sana? Mari kita telusuri rantai industri rahasia ini:

Langkah pertama: Pengemasan dan penjualan massal

Data yang dicuri tidak langsung digunakan, melainkan dikemas dalam file zip—biasanya berisi jutaan catatan dari berbagai kejadian phishing dan kebocoran data. “Data paket” ini dijual di forum darknet dengan harga murah, ada yang hanya 50 dolar.

Siapa yang membeli data ini? Bukan hacker yang langsung melakukan penipuan, melainkan analis data darknet—perantara dalam rantai pasok.

Langkah kedua: Klasifikasi, verifikasi, dan pembuatan arsip

Para analis data darknet akan memproses data yang dibeli. Mereka mengklasifikasikan berdasarkan tipe (email, telepon, kartu bank, dll), lalu menjalankan skrip otomatis untuk verifikasi—misalnya, memeriksa apakah password Facebook juga bisa digunakan untuk login ke Steam atau Gmail.

Langkah ini sangat penting karena pengguna cenderung memakai password yang sama atau serupa di berbagai situs. Data lama yang bocor dari layanan tertentu beberapa tahun lalu masih bisa membuka akses ke akun lain hari ini. Akun yang sudah diverifikasi dan tetap bisa login memiliki harga yang lebih tinggi saat dijual kembali.

Selain itu, analis juga menggabungkan data dari berbagai serangan berbeda. Misalnya, password dari kebocoran media sosial lama, kredensial dari formulir phishing, nomor telepon yang tersisa di situs penipuan—potongan-potongan ini yang tampaknya tidak terkait, disusun menjadi profil lengkap digital tentang pengguna tertentu.

Langkah ketiga: Penjualan di pasar darknet dan Telegram

Data yang sudah diverifikasi dan diproses kemudian dipasang di forum darknet atau channel Telegram—“toko online” ini menampilkan harga, deskripsi produk, dan ulasan pembeli, mirip toko online biasa.

Harga akun sangat bervariasi. Akun media sosial yang sudah diverifikasi mungkin hanya bernilai 1-5 dolar, tetapi akun perbankan online dengan riwayat penggunaan panjang, terikat kartu bank asli, dan mengaktifkan 2FA bisa bernilai ratusan dolar. Harga tergantung banyak faktor: umur akun, saldo, metode pembayaran terikat, status 2FA, dan platform tempat akun terdaftar.

Langkah keempat: Target bernilai tinggi yang diburu secara spesifik

Data di darknet tidak hanya digunakan untuk penipuan massal umum, tetapi juga untuk serangan “whale phishing” yang terarah. Ini adalah serangan terhadap eksekutif perusahaan, akuntan, atau administrator sistem TI yang bernilai tinggi.

Bayangkan skenario berikut: Perusahaan A mengalami kebocoran data, termasuk informasi mantan karyawannya yang kini menjadi eksekutif di Perusahaan B. Pelaku menggunakan intelijen terbuka (OSINT) untuk mengonfirmasi posisi dan email orang tersebut. Kemudian mereka menyusun email phishing yang tampak dari CEO Perusahaan B, bahkan menyertakan detail dari data yang dibeli di darknet—mengurangi tingkat kecurigaan korban. Dengan cara ini, pelaku sangat meningkatkan peluang berhasil, dan bisa masuk ke seluruh jaringan perusahaan B.

Serangan serupa tidak hanya di dunia korporat. Pelaku juga menargetkan individu dengan saldo rekening bank tinggi, atau pengguna yang memegang dokumen penting (misalnya dokumen pengajuan pinjaman).

Kebenaran mengerikan tentang data yang dicuri

Data yang dicuri ibarat barang yang tak pernah bisa dihancurkan—dihimpun, diintegrasikan, dikemas ulang, dan digunakan berulang kali. Sekali data Anda masuk ke darknet, bisa saja dalam beberapa bulan atau tahun kemudian digunakan untuk serangan yang sangat spesifik, pemerasan, atau pencurian identitas.

Ini bukan sekadar omong kosong. Inilah kenyataan dunia siber saat ini.

Langkah perlindungan yang harus segera diambil

Jika Anda belum mengambil langkah perlindungan untuk akun Anda, saatnya mulai sekarang:

Langsung bertindak (untuk mencegah kebocoran data):

1. Gunakan password unik untuk setiap akun. Ini langkah paling dasar dan efektif. Jika satu platform bocor, akun lain tetap aman.
2. Aktifkan multi-factor authentication (MFA/2FA). Di semua layanan yang mendukung, ini akan mencegah pelaku yang hanya mengetahui password Anda.
3. Periksa secara rutin apakah data Anda bocor. Kunjungi layanan seperti Have I Been Pwned untuk memeriksa apakah email Anda muncul di kebocoran data yang diketahui.

Langkah remedial jika sudah menjadi korban:

1. Jika data kartu bank bocor, segera hubungi bank untuk blokir dan pembekuan kartu.
2. Ubah password akun yang dicuri, dan periksa semua layanan yang menggunakan password sama.
3. Periksa riwayat login akun, dan hentikan sesi yang mencurigakan.
4. Jika akun media sosial atau pesan instan diretas, segera beri tahu keluarga dan teman agar waspada terhadap penipuan atas nama Anda.
5. Waspadai email, telepon, atau tawaran yang mencurigakan—meskipun tampak terpercaya, bisa jadi pelaku memanfaatkan data yang bocor dari darknet.

Keberadaan pasar darknet mengubah aturan main kejahatan siber. Data tidak lagi menjadi barang sekali pakai, melainkan komoditas yang bisa digunakan berulang kali. Perlindungan terbaik adalah mulai bertindak sekarang, bukan menunggu sampai Anda menjadi korban dan menyesal kemudian.