DENGAN PHISHING, HACKER CARBANAK CURI UANG US$1 MILIAR DARI 100 BANK

Dalam setiap serangannya, Carbanak ditengarai bisa mencuri dana sampai dengan US$10 juta. Aksi mereka rata-rata memerlukan waktu antara dua hingga empat bulan, sejak menginfeksi komputer pertama di jaringan perusahaan bank hingga membawa lari uang yang dicuri.
Sedikitnya 100 bank di seluruh dunia telah dideteksi menjadi korban kejahatan dunia maya (cybercrime) dari sindikat hacker bernama Carbanak. Jumlah kerugian ditaksir mencapai US$1 miliar atau sekitar Rp12,7 triliun.

Menurut data Kaspersky Lab, tindak kejahatan Carbanak ternyata sudah dilakukan sejak tahun 2013. Mereka menyerang hingga 100 bank, sistem e-payment, dan lembaga keuangan lainnya di 30 negara. Target Carbanak termasuk organisasi keuangan di Rusia, Amerika Serikat, Jerman, Tiongkok, Ukraina, Kanada, Hong Kong, Taiwan, Rumania, Perancis, Spanyol, Norwegia, India, Inggris, Polandia, Pakistan, Nepal, Maroko , Islandia, Irlandia, Republik Ceko, Swiss, Brazil, Bulgaria, dan Australia.

Dalam setiap serangannya, Carbanak ditengarai bisa mencuri dana sampai dengan US$10 juta. Aksi mereka rata-rata memerlukan waktu antara dua hingga empat bulan, sejak menginfeksi komputer pertama di jaringan perusahaan bank hingga membawa lari uang yang dicuri.

Modus operandi Carbanak antara lain sebagai berikut:

Serangan dimulai dengan mencari cara untuk masuk ke komputer karyawan bank yang ditargetkan. Caranya melalui spear phishing (memberikan tautan tipuan untuk mencuri identitas korban), lalu menginfeksi komputer korban dengan malware Carbanak.
Infografis modus operandi Carbanak
1.Serangan dimulai dengan mencari cara untuk masuk ke komputer karyawan bank yang ditargetkan. Caranya melalui spear phishing (memberikan tautan tipuan untuk mencuri identitas korban), lalu menginfeksi komputer korban dengan malware Carbanak.

2.Setelah masuk ke komputer korban, mereka melompat ke jaringan internal dan melacak komputer administrator untuk melakukan pengamatan video. Hal ini memungkinkan mereka untuk melihat dan merekam segala sesuatu yang terjadi pada layar komputer staf yang melayani sistem transfer tunai. Dengan cara ini, para penjahat bisa mengetahui setiap detail pekerjaan karyawan bank dan mampu meniru aktivitas staf untuk mentransfer uang dan mencairkan uang.

3.Ketika tiba saatnya untuk menarik tunai uang hasil tindak kejahatan mereka, penjahat menggunakan online banking atau sistem e-payment internasional untuk mentransfer uang dari rekening bank ke rekening mereka sendiri. Dalam kasus kedua, uang yang dicuri disimpan ke bank-bank di Tiongkok atau Amerika.

4.Dalam kasus lain, penjahat cyber menembus tepat ke jantung dari sistem akuntansi, menggembungkan saldo rekening sebelum mengantongi dana tambahan melalui transaksi penipuan. Sebagai contoh: jika akun memiliki 1.000 dolar, para penjahat mengubah nilainya sehingga memiliki 10.000 dolar dan kemudian mentransfer 9.000 untuk diri mereka sendiri. Pemegang rekening tidak menduga ada masalah karena jumlah asli masih ada 1.000 dolar.

5.Selain itu, para penjahat dunia maya ini menguasai ATM bank dan memerintahkan mereka untuk mengeluarkan uang tunai pada waktu yang telah ditentukan.

“Perampokan bank ini sangat mengejutkan karena tidak ada bedanya bagi para penjahat dunia maya ini, software apa yang dipergunakan oleh bank. Jadi, bahkan jika perangkat lunak mereka unik sekalipun, bank tidak bisa merasa aman,” kata Sergey Golovanov (Principal Security Researcher, Kaspersky Lab Global Research and Analysis Team).

“Para penjahat bahkan tidak perlu meretas ke layanan bank. Setelah mereka masuk ke jaringan, mereka belajar bagaimana untuk menyembunyikan rencana jahat mereka di balik tindakan yang sah. Hal tersebut adalah perampokan cyber yang sangat licin dan profesional,” lanjut Golovanov.

Kaspersky Lab mendesak semua organisasi keuangan untuk berhati-hati memindai jaringan mereka terhadap kehadiran Carbanak dan, jika terdeteksi, melaporkan gangguan kepada penegak hukum.

Inilah tanda-tanda yang bisa menjadi indikasi adanya ancaman Carbanak di jaringan bank:

1.Terdapat file dengan ekstensi .bin di lokasi: \All Users\%AppData%\Mozilla\ atau c:\ProgramData\Mozilla

2.Terdapat file svchost.exe di katalog Window\System32\com\

3.Ditemukan service-service yang berakhiran “sys”, yang menduplikasi service dengan nama sama tanpa mengandung “sys” pada deretan Windows services yang aktif.

4.Terdapat file Paexec di katalog Windows\ yang membantu menjalankan perintah di remote machine.