TEMPO Interaktif, Jakarta - John Doe adalah nama samaran pria yang baru saja pulang pelesiran di Bali itu. Selama sepekan ia berfoya-foya di Pulau Dewata bersama seorang teman wanitanya. Kini ia dalam perjalanan ke tempat persembunyiannya di Sumatera. Bersiap kembali untuk berjam-jam terpapar radiasi monitor komputernya, mencari duit di dunia maya.
Pria berkepala plontos ini bukan pakar peranti lunak komputer. Bukan pula anak konglomerat, yang menghabiskan waktunya berselancar di Internet. John, 26 tahun, bahkan tak sempat menyelesaikan kuliahnya karena putus di tengah jalan. "Saya doyan membobol akun orang lain," katanya kepada Tempo, Jumat lalu.
Hampir setiap hari aktivitas John diisi dengan membobol akun-akun--catatan identitas pelanggan suatu layanan di Internet. Ia spesialis pembobol akun seperti e-mail, Facebook, dan PayPal. Ia juga menjual barang fiktif di situs-situs yang menyediakan jasa penjualan, semacam eBay, dan situs lain. Dari aktivitasnya ini, setidaknya penghasilan US$ 1.000 per minggu ia bukukan.
Untuk berwisata ke Bali itu, ia baru saja sukses menjual kapal layar fiktif kepada seorang pembeli di Kanada. Jumlah transaksinya bukan main, US$ 15 ribu masuk ke rekeningnya. Sedangkan pembeli hanya gigit jari karena kapal impian tak pernah sampai ke tujuan pengiriman. "Uangnya habis untuk jajan dan foya-foya," kata John sambil tertawa.
Sementara John senang, Jajang C. Noer berbeda 180 derajat. Hingga hari ini, ia masih merasa jengkel karena seseorang telah membobol akun Yahoo Messenger miliknya. Perempuan yang banyak bergelut di dunia teater ini mengaku sebenarnya dia antikekerasan. "Untuk yang ini, kalau pelakunya ketemu, akan saya tonjok mukanya," katanya dengan nada jengkel.
Jajang memang pantas marah. Akibat pembobolan itu, ia merasa namanya dicemarkan. Betapa tidak, pelaku yang menyamar sebagai dirinya meminta uang kepada teman-temannya yang tercantum di daftar kontak YM-nya. Salah satu korban, Butet Kartaredjasa, malah langsung mentransfer Rp 2 juta ke rekening yang diberikan tanpa meminta konfirmasi kepada Jajang terlebih dulu.
Beruntung, uang tersebut sudah dikembalikan si pemilik rekening. "E-mail dan akun Facebook saya juga sudah tidak bisa saya gunakan lagi," kata Jajang.
Kejadian ini bermula pada subuh 27 Maret lalu. Saat itu Jajang di rumahnya sedang bermain Scrabble online di Facebook. Ia juga menyalakan YM miliknya. Mendadak ia menerima pesan dari Yanti Noer, istri Chrisye (almarhum). Ia menyebutkan, bahasa pesan itu seperti bahasa orang Indonesia sehari-hari. Bukan bahasa terjemahan. "Ia bertanya di mana saya dibesarkan saat masih kecil, saya jawab di Jalan Teluk Betung (Jakarta Pusat)," katanya.
Karena berfokus bermain Scrabble, Jajang tidak menanggapi serius pesan dari Yanti itu. Tapi dari situlah ternyata semua bencana ini berawal. Ternyata akun YM Yanti itu juga sudah dibobol oleh orang lain. Si pembobol menanyakan soal daerah Jajang dibesarkan karena berkaitan dengan pertanyaan kunci di akun Yahoomail miliknya.
"Teluk Betung itu memang jawaban untuk kalimat kunci jika lupa password e-mail saya," katanya.
Setiap akun e-mail selalu menyertakan pertanyaan kunci untuk berjaga-jaga bila pemilik lupa kata sandi untuk masuk ke e-mail. Pertanyaannya bisa macam-macam. Dari pertanyaan nama hewan kesayangan, nama guru, hingga makanan yang disukai. Setelah berhasil menjawab pertanyaan kunci, administrator layanan e-mail akan mengirim kata sandi baru.
Tapi, menurut John, cara itu cara amatiran, yang biasa digunakan oleh orang yang tak paham seluk-beluk program peranti lunak komputer. Modalnya hanya alamat e-mail sambil mencoba menebak-nebak kata kunci. "Pelakunya ini biasanya anak-anak baru gede atau baru belajar jadi hacker," kata John.
John menyatakan ada banyak cara untuk membobol e-mail orang lain. Pertama, bermodal alamat e-mail yang biasa terpampang di situs-situs jejaring sosial, seperti Facebook, Twitter, atau blog pribadi. Caranya menebak kata kunci akun. "Kata kunci (masuk) ke akun biasanya tak jauh dari tanggal lahir, nama, atau data pribadi pemilik e-mail," kata John.
Cara kedua adalah phishing. Ini adalah metode mencuri data pengguna beserta kata kunci dengan membuat halaman situs web palsu. Halaman ini biasanya mirip situs yang kerap dibuka seorang pengguna Internet. Facebook, Twitter, dan eBay sudah berkali-kali dikerjai dengan metode semacam ini. Biasanya phishing muncul saat pengguna salah mengetik alamat halaman situs yang dimaksud, atau peretas menyusup ke server Internet.
Cara ketiga, ini yang paling banyak digunakan peretas, adalah membobol data administrator sebuah situs web. Metodenya bisa banyak. Bisa lewat program khusus semacam Comersus dan SQL Injection. Program ini tersebar di berbagai situs dan bisa diperoleh secara gratis. "Tapi cara ini sudah terlalu umum, sudah banyak yang menggunakan," kata John.
Di dalam dunia bobol-membobol, kata John, terdapat persaingan, meski untuk satu hal mereka bahu-membahu membentuk sindikat. Ada yang bertugas sebagai pembobol dan negosiator dengan penjual. Negosiator ini mesti mahir berbahasa Inggris. Sebab, pembeli yang biasanya dari luar negeri banyak bertanya tentang produk itu lewat telepon.Ada lagi yang bertugas sebagai pencair, yaitu memiliki rekening di dalam negeri dan luar negeri. "Uang penjualan akan dibagi-bagi sesuai peran masing-masing," kata John.
Persaingan biasanya dalam hal adu banyak mendapatkan data pribadi orang lain dan membobol situs. Setiap peretas, kata John, punya trik berbeda-beda. Bila mereka berhasil membobol situs tertentu, mereka tak akan memberi tahu yang lain. Sebab, bila cara yang sama digunakan, akan diketahui oleh pengelola situs itu. "Kalau sudah ketahuan, hilanglah rezeki," katanya.
Karena itu, John punya metode sendiri. John sempat menuntun Tempo membobol e-mail seseorang. Langkah pertama yang ia lakukan adalah mencari situs yang memiliki "pagar" lemah. Cara mengetahui situs dengan proteksi lemah itu, John hanya tinggal memasukkan karakter khusus yang hanya ia ketahui sendiri. "Dengan kunci ini, Google akan 'membisikkan' kita situs tersebut mudah dibobol," katanya.
Saat percobaan itu, Google menyebutkan sebuah situs klub menembak memiliki pagar yang lemah terhadap database-nya. Situs tersebut kemudian diklik. John menambahkan "cgi-bin/xxxxx/data/xxx.log" di belakang nama situs, lalu menekan Enter, maka keluarlah sederetan kombinasi angka, huruf, dan tanda baca dalam format program pengolah kata Notepad. Dari situ sudah terpampang seluruh alamat dan password si pengguna situs.
"Alamat e-mail dan password user tersembunyi di balik kombinasi teks ini," John menerangkan.
Data itu, kata John, masih dalam format bahasa program. Kemudian diubah formatnya dengan metode enkripsi. Hasil enkripsi akan diterjemahkan. Inilah password si user. Password itu biasanya sama dengan password yang digunakan untuk e-mail pribadi.
E-mail ini, kata John, biasanya menjadi e-mail utama seseorang untuk membuka akun lain di Facebook, Twitter, atau situs lain. Jika pengguna Facebook ini ikut permainan Zynga Texas HoldEm Poker, John akan mencuri chip Poker-nya. Chip itu kemudian dijual kepada orang lain. Atau ia mencuri data PayPal atau kartu kreditnya. Lalu digunakan untuk berbelanja atau mentransfer uang ke rekening sindikat mereka.
"Kalau sudah paham, akan bikin ketagihan untuk menjebol akun orang lain," katanya. Apalagi ia diberkati dengan ketekunan berlebih ketimbang orang lain. John mengakui Google banyak membantu. Pelajaran soal meretas beserta program peranti lunaknya juga tersedia di dunia maya. "Tinggal ketikkan kata-kata tertentu, semua akan disajikan Google," kata John.
Dosen teknologi Internet dari Universitas Indonesia, Irwansyah, menyebutkan, para peretas memang jeli memanfaatkan Google untuk membantu membobol situs dan akun orang lain. Saat ini para peretas bahkan sudah berani terang-terangan menampakkan dirinya dengan membentuk komunitas di dunia maya.
"Mereka adalah penjahat intelektual kerah hitam, yang berani melakukan aksinya secara terang-terangan," kata Irwansyah.
Di sisi lain, Irwansyah menyalahkan pemilik akun dan pengelola situs. Pemilik akun, katanya, biasa menggunakan kata kunci yang sama untuk semua akun pribadi di berbagai situs. Dan menggunakan kombinasi yang sangat mudah ditebak orang lain. "Pengguna Internet biasanya malas mengingat banyak kata kunci," katanya.
Pemilik situs juga bersalah, kata Irwansyah, karena tidak memiliki pagar yang baik untuk menjaga database pengguna situsnya. Untuk membuat pagar yang baik memang dibutuhkan biaya. Tapi alasan ini tidak bisa dipakai untuk mengurangi pengamanan situs mereka. "Metode yang dilakukan hacker selalu diperbarui dan semakin canggih," katanya.
Selain itu, pemerintah tampaknya tidak bisa berbuat banyak. Kepala Pusat Komunikasi Kementerian Komunikasi dan Informatika Gatot S. Dewa Broto menyebutkan, untuk menegakkan Undang-Undang Informasi dan Transaksi Internet saja mereka mendapat perlawanan dari komunitas dunia maya. Padahal mereka sudah memiliki lembaga ID-SIRTII, yang mampu melacak kejahatan-kejahatan semacam ini. "Kami tidak bisa menindak, hanya polisi yang bisa melakukannya," katanya.
Sementara itu, Kepala Divisi Humas Markas Besar Kepolisian RI Inspektur Jenderal Edward Aritonang mengatakan pihaknya serius menangani kasus-kasus semacam ini. Kepolisian juga berusaha mencari dan menangkap para pembobol lewat unit Cyber Crime. "Kami tidak pernah main-main untuk kasus-kasus di Internet ini," katanya lewat sambungan telepon Kamis lalu.
Karena ketatnya pengawasan ini, John sering main kucing-kucingan dengan polisi. Salah satunya dengan sering menghapus jejak saat beraktivitas di dunia maya. Semua rekening pribadinya menggunakan alamat palsu. Ia juga sering mengganti nomor teleponnya. Ia mengaku trauma karena pernah ditangkap, lalu diperas oleh seorang oknum polisi.
Mustafa Silalahi
BERITA TERKAIT LAINNYA:
