Viant Vegeance

Walau gaungnya tidak sekencang tertangkapnya koruptor, pelaku cybercrime banyak pula yang berhasil diciduk. Di Indonesia peristiwa seperti ini masih belum terlalu marak walau aksi cybercrime sudah banyak. Kemungkinan besar karena kita belum punya rambu-rambu yang jelas untuk cybercrime.

Tidak demikian halnya di Amerika Serikat (AS) atau negara lain yang bahkan bisa menjerat seorang pelaku cybercrime dengan rentetan pasal. Tak heran sebab AS memang sudah memiliki UU Cybercrime yang lengkap. Tentu saja karena memang internet sendiri sudah lebih dulu populer di sana. Bahkan memang dari sanalah cikal bakal dunia maya terlahir. Ingat saja bahwa internet memang ditelurkan dari kantor Defense Advance Research Project Agency (DARPA atau lebih dikenal dengan ARPA), sebuah sistem interkoneksi komputer antar sejumlah kampus. Sistem ini dimanfaatkan untuk berkomunikasi, membagi data dan informasi antar empat kampus besar di AS. Jaringan yang kemudian dikenal sebagai ARPANET ini merupakan embrio dari internet yang kini kita kenal. Sejarah itu terjadi pada 21 November 1969, karena itu tak heran kalau Amerika sudah punya sederetan Cybercrime Law yang cukup komplet.

Bagaimana dengan Indonesia? Rahman Samik Ibrahim, salah seorang praktisi TI senior dari Universitas Indonesia menyebut bahwa sesungguhnya internet muncul di Indonesia sejak 1983. UNInet, begitu nama jaringan antar kampus yang terbentuk saat itu, menghubungkan antara pengajar dan peneliti melalui Local Area Network (LAN). Masih sangat sederhana memang, setidaknya bisa dijadikan salah satu tonggak sejarah di mana Indonesia pertama mengenal internet.

Lalu pada 1993 dirintis proyek bernama Catur Karsa Jala Raya (Cakar Jaya), sebuah gagasan mewujudkan internet di Indonesia. Cakar Jaya merupakan usulan pengembangan jala komputer global di Indonesia yang berdasarkan pengalaman masa lalu, keadaan sekarang, dan prakiraan keadaan mendatang.

Tidak banyak yang mengenal kedua hikayat tadi. Bisa disimpulkan bahwa secara resmi internet dikenal di Indonesia sejak 1993-an. Masih seumur jagung dibandingkan dengan sejarahnya di AS. Maka tak heran kalau di bidang Cyber crime Law kita sangat tertinggal jauh.

Berikut ini adalah beberapa kasus cybercrime yang ada di Indonesia dan beberapa di luar negeri.

Dani Xnuxer versus KPU
Masih segar dalam ingatan kita bagaimana seorang Dani Firmansyah menghebohkan dunia hukum kita dengan aksi defacing-nya. Defacing alias pengubahan tampilan situs memang tergolong dalam cybercrime dengan menggunakan TI sebagai target.

Sesungguhnya aksi ini tidak terlalu fatal karena tidak merusak data penting yang ada di lapisan dalam situs tersebut. Defacing biasa dilakukan dalam cyberwar. Aksi ini biasa dilakukan sekadar sebagai peringatan dari satu hacker ke pihak tertentu. Pada cyberwar yang lebih besar ruang lingkupnya, defacing melibatkan lebih adari satu situs. Kasus perseteruan Ambalat antara Indonesia-Malaysia beberapa waktu lalu misalnya, adalah satu contoh cyberwar yang lumayan seru.

Defacing yang dilakukan Dani alias Xnuxer diakuinya sebagai aksi peringatan atau warning saja. Jauh-jauh hari sebelum bertindak, Dani sudah mengirim pesan ke admin situs http://tnp.kpu.go.id bahwa terdapat celah di situs itu. Namun pesannya tak dihiraukan. Akibatnya pada Sabtu 17 April 2004, tepatnya pukul 11.42, lelaki berkacamata itu menjalankan aksinya. Dalam waktu 10 menit, Dani mengubah nama partai-partai peserta Pemilu dengan nama yang lucu seperti Partai Jambu, Partai Kolor Ijo dan sebagainya. Tidak ada data yang dirusak atau dicuri. Ini aksi defacing murni.

Konsultan TI PT. Danareksa ini menggunakan teknik yang memanfaatkan sebuah security hole pada MySQL yang belum di patch oleh admin KPU. Security hole itu di-exploit dengan teknik SQL injection. Pada dasarnya teknik tersebut adalah dengan cara mengetikkan string atau command tertentu pada address bar di browser yang biasa kita gunakan.

Seperti yang diutarakan di atas, defacing dilakukan Dani sekadar sebagai unjuk gigi bahwa memang situs KPU sangat rentan untuk disusupi. Ini sangat bertentangan dengan pernyataan Ketua Kelompok Kerja Teknologi Informasi KPU Chusnul Mar’iyah di sebuah tayangan televisi yang mengatakan bahwa sistem TI Pemilu yang bernilai Rp 152 miliar, sangat aman 99,9% serta memiliki keamanan 7 lapis sehingga tidak bisa tertembus hacker.

Dani sempat melakukan spoofing alias penghilangan jejak dengan memakai proxy server Thailand, tetapi tetap saja pihak kepolisian dengan bantuan ahli-ahli TI mampu menelusuri jejaknya. Lantas, acuan hukum apa yang digunakan oleh aparat untuk menahan Dani mengingat kita belum memiliki Cybercrime Law? Aparat menjeratnya dengan Undang-Undang (UU) No. 36 / 1999 tentang Telekomunikasi, khususnya pasal 22 butir a,b,c, pasal 38 dan pasal 50. Dani dikenai ancaman hukuman yang berat, yaitu penjara selama-lamanya enam tahun dan atau denda sebesar paling banyak Rp 600 juta rupiah.
Berikut kutipan UU No. 36/1999:
Pasal 22
Setiap orang dilarang melakukan perbuatan tanpa hak, tidak sah, atau memanipulasi
a. akses ke jaringan telekomunikasi ; dan atau
b. akses ke jasa telekomunikasi ; dan atau
c. akses ke jaringan telekomunikasi khusus.
Pasal 50
Barang siapa yang melanggar ketentuan sebagaimana dimaksud dalam pasal 22, dipidana dengan pidana penjara paling lama 6 (enam) tahun atau denda paling banyak Rp 600.000.000,00 (enam ratus juta rupiah).

Akhirnya Dani Firmansyah dituntut hukuman satu tahun penjara dan denda Rp 10 juta subsider tiga bulan kurungan oleh Jaksa Penuntut Umum Ramos Hutapea dalam persidangan di Pengadilan Negeri Jakarta Pusat tanggal 9 November 2004.

Buyung versus Republik Indonesia
Jangan lupa juga dengan kasus carding kita. Ingat, nama Indonesia sempat tercemar di tatanan global maya akibat IP kita ada di daftar hitam. Semua tak lain dipicu maraknya carder asal Indonesia.
Salah satu carding yang sempat populer adalah tertangkapnya carder asal Bandung. Buyung alias Sam, mahasiswa 25 tahun menggunakan kartu kredit orang lain untuk transaksi melalui internet. Nilainya mencapai sekitar DM 15 ribu. Aksi ini dilakukan melalui warnet selama satu tahun. Kasus ini diserahkan Polda Jabar ke Mabes Polri. Pertimbangannya karena kejahatan yang dilakukan tersangka berdampak ke berbagai negara, sehingga pengusutannya membutuhkan keterlibatan pihak interpol.
Terbongkarnya kejahatan Buy sendiri berawal dari berita teleks Interpol Wiesbaden No. 0234203 tertanggal 6 September 2001 yang melaporkan adanya penipuan melalui internet dan diduga melibatkan seorang WNI yang bertindak sebagai pemesan barang bernama Buy. Berdasarkan informasi tersebut, jajaran serse Polda Jabar segera melakukan pelacakan dan pencarian terhadap Buy yang disebutkan beralamat di Perumahan Santosa Asih Jaya Bandung. Akhirnya, melalui pengejaran yang terorganisir, Buy bisa ditangkap di rumahnya, tanpa perlawanan.
Menurut Kapolda Jabar waktu itu, saat ini untuk sementara kepolisian akan menjerat sang mahasiswa dengan Kitab Undang-Undang Hukum Pidana (KUHP) soal pencurian dan penipuan mengingat perangkat hukum yang lebih tepat, terutama soal cyberlaw dan cybercrime di Indonesia belum ada.
Belum jelas bagaimana kasus ini ditindaklanjuti sebab pihak kepolisian juga kurang terbuka pada pers. Kabarnya Buyung dilepas setelah diberik semacam wejangan oleh sejumlah praktisi TI dan pihak kepolisian untuk tidak mengulangi perbuatannya. Buyung juga didesak agar memberi pesan moral kepada para carder lain agar tidak melanjutkan aksinya.

Wenas versus Publik Singapura
Yang tidak kalah unik adalah kasus terciduknya hacker asal Indonesia di negeri jiran Singapura. Kasus ini sudah lama berselang memang, tepatnya tahun 2000, tetapi patut dicatat dalam sejarah karena ini pertama kali hacker asal Indonesia diadili di negeri asing.
Saat ini Wenas yang menggunakan nama maya hC didakwa melakukan aktivitas ilegal terhadap server dua buah perusahaan Singapura, baik yang dilakukannya sewaktu masih di Australia maupun setelah mendarat di Singapura. Yang meringankan hukuman adalah fakta bahwa usia terdakwa masih di bawah umur, yakni 15 tahun. Berikut petikan berita yang ditulis oleh Donny BU yang meliput langsung persidangan Wenas tersebut.
Saat hadir di persidangan Pengadilan Rendah Singapura divisi Juvenile Court, hacker terdakwa tersebut didampingi oleh kedua orang tuanya. Bahkan pihak Kedutaan Besar Republik Indonesia (KBRI) menugaskan Thony Saut P. Situmorang (second secretary) dan A.Guntur Setyawan (third secretary) dari bidang konsuler untuk hadir di persidangan.
Persidangan digelar Kamis (20/7/2000) dalam bahasa Inggris. Persidangan dimulai pukul 10.15 waktu Singapura (rencana awal dimulai pukul 09.00) dan baru berakhir pukul 11.30. Dalam persidangan tersebut, bertindak selaku hakim adalah hakim Mark Tay dan sebagai penuntut umum adalah jaksa Chew. Sedangkan pengacara yang mendampingi terdakwa adalah Mimi Oh.
Hadir pula dalam persidangan tersebut Mark Koh, Investigation Officer Computer Crime Branch CID (Criminal Investigation Department) Singapura sebagai investigator dan yang menyusun ‘statement of facts’ (sof) yang berisi kronologis lengkap tindakan terdakwa, mulai dari laporan korban, penahanan, hasil investigasi, fakta kasus hingga kerugian korban. Sof bernomor D/000603/001/D tersebut merupakan bahan rujukan bagi jaksa Chew dalam mengajukan tuntutannya.

Chew saat membacakan tuntutannya memang menyadari usia terdakwa yang masih di bawah umur 15 tahun, sebagai salah satu faktor yang dapat meringankan hukuman. Tetapi tidak tanggung-tanggung berdasarkan sof yang disusun oleh Mark Koh, terdapat 16 buah tuntutan yang merupakan tuntutan untuk setiap aktivitas yang dilakukan oleh terdakwa secara ilegal di server dua buah perusahaan Singapura, baik yang dilakukannya sewaktu masih di Australia maupun setelah mendarat di Singapura.

Pada saat persidangan berlangsung, Mimi Oh menyampaikan pembelaannya dengan harapan dapat mendapatkan keringanan dari hakim. “Dia (terdakwa) tidak bermaksud melakukan kriminalitas. Dia tidak tahu bahwa tindakannya adalah ilegal dan melanggar hukum,” ujar Mimi Oh di depan pengadilan.
Tampaknya hakim Mark Tay tidak percaya dengan pembelaan tersebut. “Masak dia tidak tau. Benarkah dia tidak mengerti bahwa aktivitas hacking itu ilegal?” tukas hakim Mark Tay. Pertanyaan tersebut disampaikan lebih dari satu kali, dan Mimi Oh selalu mencoba meyakinkan pengadilan bahwa terdakwa memang tidak mengerti bahwa tindakannya ilegal. Selain itu, Mimi Oh juga menegaskan bahwa semangat terdakwa yang sebelumnya akan menuntut ilmu di Singapura merupakan hal positif yang hendaknya menjadi pertimbangan.
Mengenai kelakuan sehari-hari terdakwa di pergaulan atau sekolahnya yang barangkali dapat meringankan hukuman, ditolak oleh pengadilan karena terdakwa belumcukup lama berada di Singapura sehingga hal tersebut belum dapat menjadi faktor yang meringankan.

Sampai persidangan usai, belum dapat diambil keputusan mengenai kasus tersebut. Baik hakim, penuntut umum maupun pengacara terdakwa sama-sama membutuhkan waktu tambahan untuk mempelajari kasus unik tersebut. Mengapa unik? Karena ternyata Pengadilan Rendah Singapura baru kali ini menghadapi kasus cybercrime yang melibatkan warga negara asing. Akhirnya pada sidang final ditetapkan bahwa terdakwa dikenai hukuman denda senilai Rp 150 juta. Tidak dijelaskan secara rinci ikhwal pasal-pasal yang dilanggar.

Kevin Mitnick versus Publik Amerika Serikat
Bagaimana dengan negara lain? Amerika serikat sudah punya serangkaian aturan hukum yang mampu menjerat pelaku cybercrime dengan lebih ampuh lagi. Bagi pegaul dunia maya, nama Kevin Mitnik tentu tidak asing lagi. Sampai sekarang nama Mitnick masih cukup populer bagi kalangan underground tanpa kenal batas negara. Kevin Mitnik ditangkap FBI tanggal 15 Februari 1995 dengan tuduhan telah melakukan beberapa computer crime maupun cybercrime.

Ia sudah mengakui empat kasus wire fraud, dua kasus computer fraud dan sebuah kasus penyadapan komunikasi lewat kabel. Tidak tanggung-tanggung, ulah Mitnick telah memakan korban berbagai perusahaan besar seperti Motorola, Nokia, Fujitsu, Novell, NEC, Sun Microsystems, Colorado SuperNet, Netcom On-Line Services, The University of Southern California.

Tanggal 27 Juni 1997 Mitnick didakwa tahap pertama oleh Hakim Mariana R. Pfaelzer selama 22 bulan hukuman penjara. Dan akhirnya pada tanggal 9 Agustus 1999, Hakim Mariana R. Pfaelzer memberikan keputusan final bagi Mitnick. Hakim memutuskan hukuman tambahan 46 bulan bagi Mitnick dan denda ganti rugi sebesar $ 4,125.

Mitnick dibebaskan tanggal 21 Januari 2000 setelah dipenjara selama 4 tahun, 11 bulan, dan 6 hari. Setelah dibebaskan, selama 3 tahun Mitnick berada di bawah pengawasan pihak berwenang dan harus membayar denda. Selama masa itu, Mitnick tidak boleh menggunakan dan mengakses segala jenis peranti keras maupun peranti lunak komputer. Begitu juga, Mitnick tidak boleh mengakses segala jenis komunikasi nirkabel.

Mau tahu berapa banyak pasal yang menjerat seorang Mitnick di Amerika Serikat?

- 18 U.S.C. § 1029: Possession of Unauthorized Access Devices; Penggunaan peralatan akses secara ilegal
- 18 U.S.C. § 1030(a)(4): Computer Fraud; Pelanggaran komputer
- 18 U.S.C. § 1030(a)(5): Causing Damage To Computers; Menimbulkan kerusakan pada komputer
- 18 U.S.C. § 1343: Wire Fraud; Interception of Wire or Electronic Communications; Pelanggaran

(komunikasi) kabel, penyadapan lewat kabel atau alat komunikasi elektronik
- 18 U.S.C. § 2(a): Aiding and Abetting; Membantu kejahatan atau melakukan persekongkolan
- 18 U.S.C. § 2(b): Causing and Act to be Done; Menjadi dalang kejahatan

Masih ada lagi pasal-pasal lain seperti:
Undang-undang yang mengatur masalah computer intrusion (pembobolan jaringan komputer) di Amerika Serikat:

- 18 U.S.C. § 1029. Fraud and Related Activity in Connection with Access Devices
- 18 U.S.C. § 1030. Fraud and Related Activity in Connection with Computers
- 18 U.S.C. § 1362. Communication Lines, Stations, or Systems
- 18 U.S.C. § 2510 et seq. Wire and Electronic Communications Interception and Interception of Oral Communications
- 18 U.S.C. § 2701 et seq. Stored Wire and Electronic Communications and Transactional Record Access
- 18 U.S.C. § 3121 et seq. Recording of Dialing, Routing, Addressing, and Signaling Information.

Bayangkan betapa kompleksnya aspek hukum yang berhasil menahan Kevin Mitnick. Sangat jauh dengan pasal yang menjerat seorang Dani di Indonesia. Memang aksi cybercrime yang dilakukan Mitnick jauh lebih parah ketimbang Dani. Namun setidaknya ini bisa memberi gambaran betapa negara yang diisukan menganut azas kebebasan seperti Amerika Serikat punya aturan hukum yang cukup detail untuk menjerat warganya.

John Zuccarini versus Publik Amerika Serikat
Katakanlah yang dilakukan Mitnick masih belum terlalu parah imbasnya bagi publik. Lalu bagaimana dengan aksi seorang John Zuccarini yang terkenal sebagai pelaku cybercrime pornografi?

Zuccarini tercatat sebagai pelaku tindak pornografi di dunia maya yang pertama kali dimejahijaukan. Lelaki usia 53 tahun tersebut memiliki sebuah situs porno. Ia dengan sengaja memikat anak-anak di bawah umur untuk mengakses situs tersebut. Situs milik Zuccarini cukup banyak. Situs-situs yang diberi nama Joescartoon.com, joecartoon.com, joecartoons.com serta cartoonjoe.com dan beragam variasi domain yang mirip itu didaftarkan pada November 1999.

Cara John Zuccarini menarik perhatian dari remaja dan anak-anak agar bisa masuk ke situs pornonya adalah dengan menggunakan nama-nama domain yang populer di kalangan remaja dan anak-anak, seperti Bob the Builder, Britney Spears, Nsync, Disneyland, dan Teletubbies. Kurang lebih ada 3000 domain yang dipalsukannya atau dibuat mirip. Contohnya, ia mendaftarkan nama domain www.dinseyland.com, jadi bila seorang anak mengakses situs-situs palsu tersebut, mereka akan menuju situs yang menayangkan gambar-gambar porno, dan iklan-iklan pop up porno pun segera bermunculan. Zuccarini berdagang The Country Walk, JZDesign, RaveClub Berlin, dan lebih dari 22 nama yang menggunakan kata “Cupcake”, termasuk Cupcake Party, Cupcake-Party, Cupcake Parties, Cupcake Patrol, Cupcake Incident, dan Cupcake Messenger.

Tentu saja banyak anak di bawah umur yang terjebak oleh ulah Paman John ini. Akhirnya ia ditangkap pihak berwajib Amerika Serikat pada hari Rabu tanggal 3 September 2002 di sebuah hotel di Florida, dan sudah berada di penjara kepolisian Manhattan.
Berdasarkan undang-undang Truth in Domain Names Act, tindakan Zuccarini digolongkan sebagai kejahatan karena memikat anak-anak ke dalam pornografi internet. Zuccarini bisa dijatuhi hukuman penjara hingga empat tahun dan denda sebesar 250.000 dolar AS. Undang-undang yang telah dilanggar oleh John Zuccarini adalah sebagai berikut:

- Online Child Pornography, Child Luring, and Related Activities
- 18 U.S.C. § 2251 et seq. (sexual exploitation and other abuse of children)
- 18 U.S.C. § 2421 et seq. (transportation for illegal sexual activity)
- 15 U.S.C. § 1125(d) (the “Act”). Anticybersquatting Consumer Protection Act
- 28 U.S.C. § 1331. This court has jurisdiction by virtue of 28 U.S.C. §§ 41 dan 1291
- 15 U.S.C. § 1117(a)
- 477 U.S. 317, 323 (1986) (quoting Rule 56(c), Federal Rules of Civil Procedure (Celotex Corp. v. Catrett)
- 166 F.3d 65, 74 (2d Cir. 1999). Nihon Keizai Shimbun, Inc. v. Comline Business Data, Inc
- 15 U.S.C. § 1117(a), plenary. Securacomm Consulting, Inc.v.Securacom, Inc., 224F.3d 273, 279 (3d Cir. 2000).
- 15 U.S.C. § 1117(d) (Supps. 2000), The district court in its discretion id. at § 1117(a). attorneys’ fees in “exceptional”.
- 15 U.S.C. § 1117(a) and (d), award attorneys’ fees and statutory
- 15 U.S.C. § 1125(d) (Supp. 2000)
- 15 U.S.C. § 1125(d)(1)(A) cf. Sporty’s Farm L.L.C. v. Sportsman’s Market Inc., 202 F.3d 489, 497-499 (2d Cir. 2000). (3)
- 15 U.S.C. § 1125(c)(1).S. REP. NO. 106-140 (1999), 1999 WL 594571, at*15 (emphasis added).
- 15 U.S.C. § 1117(a). In trademark infringement cases

Chavet Versus Publik Amerika Serikat
Itu tadi contoh-contoh kasus yang sudah berlangsung lumayan lama. Sesungguhnya Cybercrime Law milik Paman Sam sudah menjerat cukup banyak hacker hitam di negara tersebut. Tahun 2005 lalu saja tercatat ada puluhan pelaku cybercrime yang diringkus. Salah satunya adalah mantan karyawan perusahaan search engine Alta Vista.

Peristiwanya sudah cukup lama berselang, Juni 2002. Namun aksi yang dilakukan oleh Laurent Chavet ini baru diputuskan oleh Pengadilan Negeri California pada 2005 kemarin. Chavet didakwa bersalah karena menyusup ke dalam sistem jaringan komputer Alta Vista dan menimbulkan kerusakan di dalamnya. Lelaki berusia 30 tahun asal Kirkland ini telah menggunakan password dan username karyawan Alta Vista untuk mengakses jaringan komputer tempat ia pernah bekerja itu dari rumahnya di Mateo, California. Sejumlah data penting Alta Vista telah dihapus dan dirusak oleh Chavet tanpa sepengetahuan karyawan lain.

Chavet resmi didakwa bersalah pada 2 Juli 2004. Ia dikenai pasal yang mengatur ikhwal pelarangan mengakses tanpa izin ke sistem komputer yang dilindungi, yakni pasal 18 U.S.C. ayat 1030(a)(4). Jerat lain adalah pada pasal yang sama ayat 1030(a)(5) tentang mengakibatkan kerusakan pada sistem komputer yang dilindungi.

Putusan hukuman dilakukan pada 19 Agustus 2005 oleh Hakim Susan Illston dari San Fransisco. Chavet dikenai hukuman penjara lima tahun dan denda sebesar 250.000 dolar Amerika.
Tertangkapnya Chavet adalah hasil investigasi bersama antara pihak Computer Hacking and Intellectual Property (CHIP) Unit of the United States Attorney’s Office dan Federal Bureau of Investigation (FBI).

Anthony S. Clark versus Publik Amerika Serikat
Kasus paling gres yang baru saja diputus hakim Amerika Serikat adalah pembuat program worm Anthony Scott Clark. Pemuda asal Oregon ini masih berumur 21 tahun waktu didakwa oleh penuntut umum Kevin V. Ryan pada Desember 2005 lalu. Penyebabnya terkesan simpel, tetapi fatal akibatnya. Clark sepertinya iseng menyerang situs belanja online eBay dengan worm buatannya. Akibat ulahnya itu Clark berhasil menginfeksi begitu banyak komputer yang mengunjungi eBay pada bulan Juli dan Agustus 2003.
Selama periode itu Clark menyebarkan kerusakan berupa Distributed Denial of Services (DDOS) pada situs eBay. Serangan DdoS merupakan salah satu jenis serangan yang menyebabkan terjadinya penolakan terhadap perintah user. Target dari aksi ini adalah sistemnya.

Selama kurun waktu itu pula Clark telah menghasilkan sekitar 20.000 bots yang dihasilkan program worm-nya. Bots ini masuk melalui celah kelemahan yang terdapat pada Windows Operating System – “Remote Procedure Call for Distributed Component Object Model,” alias RPC-DCOM. Bot ini beraksi melalui server Internet Relay Chat (IRC). Begitu user terkoneksi, melakukan log, lalu Clark tinggal menginstruksi agar bot melakukan serangan DdoS pada komputer yang terhubung ke internet. Secara personal Clarks memerintahkan agar bot-bot itu merilis serangan DdoS pada server bernama eBay.com. Maka bukan hanya komputer yang terhubung dengan IRC saja yang terinfeksi, melainkan juga situs eBay.
Atas tindakannya ini Clark dijerat pasal 18 U.S.C. § 1030(a)(5)(A)(i), (a)(5)(B)(i), (c)(4)(A) dan 2, dengan tuntutan penjara maksimum 10 tahun dan denda 250.000 dolar Amerika Serikat. Pada 3 April 2006 akan dijadwalkan ketokan palu terakhir oleh Hakim James Ware.

Pencipta Spyware Loverspy versus Publik Amerika Serikat
Salah satu ancaman yang tidak kalah bahaya dari worm dan virus adalah spyware. Penyebaran spyware juga menjadi tindakan mengganggu yang tergolong dalam aksi cybercrime. Adalah Carlos Enrique Perez Melara, pencipta sekaligus penyebar program spyware yang diberi nama Loverspy. Seperti halnya spyware, Loverspy mampu menyusupi sistem jaringan komputer untuk kemudian menyerap semua informasi yang ada di dalamnya, sesuai dengan kata “spy” alias mata-mata yang terkandung di dalamnya.

Spyware bersembunyi di balik sebuah peranti lunak bernama Loverspy yang dibuat dan dipasarkan oleh Perez. Para pembeli yang membayar sejumlah 89 dolar AS melalui situs akan terhubung langsung ke komputer Perez di San Diego. Pembeli bisa mengakses area “member” untuk memilih menu yakni kartu ucapan elektronik. Kartu ini bisa dikirimkan ke lima alamat email yang berbeda. Member bisa memilih apakah ia mau mengirim dengan menggunakan alamat emailnya sendiri atau alamat palsu.
Sekali email berisi kartu ucapan ini dibuka oleh penerima, maka otomatis program Loverspy terinstal ke komputernya. Sejak itulah segala aktivitas yang dilakukan di komputer itu mulai dari mengirim dan menerima email, membuka situs bahkan juga password dan username yang diketikkan pemilik komputer akan terekam oleh Loverspy. Semua informasi pribadi ini terkirim ke komputer Perez dan pembeli Loverspy.
Lebih parah lagi, Loverspy memungkinkan pengirimnya untuk memerintah komputer korban, seperti menghapus pesan, mengubah akses, password dan banyak lagi. Bahkan juga mengakses kamera web yang terkoneksi dengan komputer sang korban.
Tidak main-main, ada lebih dari 1000 pembeli Loverspy di AS saja. Mereka ini menggunakan Loverspy untuk memata-matai para korban yang diperkirakan tak kurang dari 2000 user. Untung sejak Oktober 2003 aksi brutal ini dihentikan oleh aparat kepolisian Amerika Serikat.
Perez dijerat berbagai sanksi pelanggaran mulai dari menciptakan peranti yang melanggar hukum, mengirim program dalam bentuk kartu ucapan palsu, mengiklankan program terlarang itu, mengiklankan kegunaan buruk dari program itu, mengakses saluran pribadi orang lain, menyusup ke sistem komunikasi tanpa izin, dan mengakses data di komputer orang tanpa diketahui pemiliknya. Masing-masing pelanggaran itu dituntut hukuman penjara maksimum lima tahun dan denda 250.000 dolar AS per pelanggaran.
Selain Perez, ditahan pula empat orang pengguna Loverspy yaitu John J. Gannitto dari Laguna Beach, Kevin B. Powell dari Long Beach, Laura Selway dari Irvine, dan Cheryl Ann Young dari Ashland. Tidak separah Perez, mereka hanya dikenai sanksi terhadap pelanggaran melakukan akses terhadap komunikasi elektronik orang lain secara ilegal. Kasus Perez ini adalah pertama kalinya pembuat spyware ditangkap dan diajukan ke pengadilan. Yang menakjubkan, adalah seorang Perez dikenai bermacam sanksi seperti:
Count 1: Manufacturing a Surreptitious Interception Device 3 Title 18, United States Code, Section 2512(1)(b)
Count 2: Sending a Surreptitious Interception Device Title 18, United States Code, Section 2512(1)(a)
Count 3: Advertising a Surreptitious Interception Device Title 18, United States Code, Section 2512(1)(c)(i)
Count 4: Advertising a Surreptitious Interception Device Title 18, United States Code, Section 2512(1)(c)(ii)
Counts 5-14: Unlawfully Intercepting Electronic Communications Title 18, United States Code, Section 2511(1)(a)
Counts 15-24: Communications Title 18, United States Code, Section 2511(1)(c)
Counts 25-35: Unauthorized Access to Protected Computers for Financial Gain Title 18, United States Code, Section 1030 (a)(2)(C) and (c)(2)(B)(I)


2.4 milyar poundsterling kerugian akibat kejahatan berteknologi canggih.

Pada tahun 2004, kegiatan bisnis di Inggris sempat mengalami kerugian sekitar 2.4 milyar poundsterling akibat kejahatan yang dilakukan secara elektronik, demikian menurut pengakuan Unit Nasional Kejahatan Teknologi Tinggi (The National Hi-Tech Crime Unit).
Unit ini telah mengklaim bahwa pada kongres kejahatan internet (E-Crime Congress) yang dilaksanakan di London pada 5 April 2005, yang menurut sebuah survei yang dilakukan oleh NOP, sekitar 89% dari sampel contoh yang terdiri dari 200 perusahaan mengatakan bahwa mereka sempat mengalami berbagai bentuk serangan kejahatan berteknologi tinggi sejak tahun 2004.
Menurut survei tersebut, dapat dilaporkan bahwa:
- 90% dari 200 perusahaan di Inggris pernah mengalami serangan penetrasi yang ilegal yang berusaha masuk ke sistem komputer perusahaan mereka.
- 89% merasa pernah dirugikan akibat data-data informasi penting mereka telah dicuri dan lolos keluar melalui jaringan internet
- 97% dari responden pernah mengalami serangan virus komputer yang telah merugikan mereka sekitar 71 poundsterling
- Sementara kerugian akibat penipuan/pemalsuan data finansial (financial fraud) telah merugikan mereka sekitar 9% yaitu sebesar 68 juta poundsterling.

Survei ini juga menemukan bahwa lebih dari seperempat jumlah perusahaan yang menjadi responden telah gagal dalam mengamankan jaringan data mereka saat dilakukan proses audit keamanan jaringan data.

Detektif Superintendent Mick Deats, deputi kepala dari Unit Nasional Kejahatan Teknologi Tinggi (The National Hi-Tech Crime Unit), pernah mengatakan bahwa, "sejak beberapa tahun yang telah lewat, mereka telah menyaksikan gejala peningkatan yang berkesinambungan dalam hal lingkup pelaku kejahatan internet (cyber criminals), namun kami telah dapat membangun sebuah strategi yang efektif untuk menanggulangi hal ini."

Trevor Pearce, direktur jendral Pasukan Nasional Pencegah Kejahatan (National Crime Squad), pernah mengungkapkan pada para delegasi yang menghadiri kongres ini bahwa "tiga puluh lima persen dari perusahaan-perusahaan yang disurvei di Inggris tidak mempunyai masalah dalam hal prosedur manajemen krisis, dimana dalam hal ini, kami tahu bahwa dari pengalaman panjang menangani jaringan offline dunia, sangat esensial untuk mengenali situasi dan gejala-gejala tindak pemerasan."
Dia mengkonfirmasi bahwa agen rahasia yang menangani masalah kejahatan serius dan terorganisir (SOCA _ Serious and Organised Crime Agency), telah merencanakan untuk bekerja sama dengan para pegawai pemerintah dalam hal pertanggungjawaban mereka untukmenangani masalah kejahatan berteknologi tinggi yang terorganisir baik lokal maupun internasional melalui unit ini, bila unit ini sudah benar-benar bekerja dengan baik.

Citibank Call Center Fraud mengungkap kurangnya perlindungan data finansial di India.
Pada sekitar bulan April 2005, beberapa perusahaan outsourcing di India mengaku takut diembargo oleh sistem perekonomian barat akibat adanya gejala kebangkitan kejahatan penipuan dan pemalsuan (fraud) melalui internet yang menyasar Citibank. Terdapat tiga mantan pegawai Mphasis, sebuah perusahaan outsourcing di Bangalore dan sembilan orang lainnya yang mengaku pernah berhasil mencuri lebih dari $ 350.000 dari berbagai nomor rekening Citibank yang ada di Citibank Newyork. Para pelaku kejahatan ini telah ditangkap oleh polisi Pune di India setelah mendapat laporan keluhan dari perusahaan rekanan Citibank, Nasscom sebagai salah satu group perusahaan industri bidang jasa TI yang telah menerapkan sebuah sistem pendataan seluruh karyawan secara nasional yang dikenal dengan istilah "Benteng India - Fortress India".
Kegiatan pendataan ini telah dilakukan sejak sebelum bulan Mei 2005 yang akan mendaftar kurang lebih 350.000 para pegawai yang bekerja di BPO India.

Pengamat sektor industri India, Krishnan Thiagarajan, yang pernah menulis di Grup Publikasi India "eWeek" pernah mengatakan bahwa saat pemerintah Amerika memprotes adanya kerugian akibat sistem outsourcing yang diterapkan (yang berefek terhadap rentannya sistem keamanan data finansial) di Amerika, pemerintah India justru masih belum menangani masalah pengamanan data dan privasi data finansial secara baik di India.
Kasus kejahatan penipuan/pemalsuan (fraud) yang pernah terjadi di India, mengungkap adanya indikasi kebocoran data finansial akibat adanya sistem outsourcing di BPO, katanya lagi, dan keluhan ini disampaikan pada Nasscom maupun pada pemerintah India untuk bertindak lebih serius dalam menangani pengamanan serta perlindungan data, maupun memberlakukan screen test bagi para calon karyawan yang akan bekerja di sektor industri perbankan (baik yang langsung maupun yang melalui outsourcing).

Para pelanggan setia situs Ralph Lauren kebobolan
Para pelanggan setia adi busana rancangan Ralph Lauren yang menggunakan kartu kredit GM Mastercard di toko online Ralph Lauren pada tahun 2005 telah dihubungi oleh penyedia jasa kartu kredit mereka akibat situs Polo Ralph Lauren Group telah kebobolan kecurian sekitar 180.000 data informasi kartu kredit para pelanggannya. Kantor HSBC Amerika Utara telah menghubungi para pemilik kartu kredit tersebut untuk memperingatkan mereka adanya kemungkinan bahwa kartu kredit mereka telah dibobol maling saat mereka berbelanja di layanan situs penjualan pakaian kasual dari Amerika itu. Walau Polo Ralph Lauren tidak juga mengakui akan hal itu (berusaha menyangkal tentang kebenaran kabar itu), namun Wall Street Journal telah mengutip pernyataan dari orang dalam yang bekerja di perusahaan pakaian itu bahwa kasus kebobolan itu terjadi di salah satu layanan yang ada di Amerika.

Polisi Estonia menangkap pencuri digital situs perbankan

Pada bulan April 2005, polisi Estonia telah berhasil menangkap seorang pemuda berusia 24 tahun yang didakwa telah mencuri dan membobol dana sebesar jutaan dollar dari rekening-rekening online bank-bank di seluruh Eropa dengan menggunakan virus yang dapat menghapus dirinya sendiri setelah pekerjaan haram itu dilakukan.
Modus operandi di pencuri adalah dengan menuliskan semacam pengumuman yang mengatasnamakan lembaga-lembaga pemerintah, bank-bank dan perusahaan-perusahaan investasi, yang dalam pengumuman yang dikirim online tersebut dicantumkan pula sebuah link yang secara sembunyi-sembunyi akan mengirimkan (mengupload) virus. Virus ini kemudian mentransmisikan setiap data pribadi, termasuk data rekening dan password internet banking yang dikirimkan kepada si pencuri yang menciptakan virus ini. Setelah pekerjaan mengirimkan informasi finansial ini selesai dilakukan, maka virus itu akan menghapus dirinya sendiri setelah sebelumnya mengosongkan isi seluruh rekening yang ada di rekening yang dibobolnya. Sang pencuri digital itu pun diganjar lima tahun penjara akibat ulahnya.

Pembobol situs eBay diganjar enam tahun penjara
Sebuah pengadilan federal di Amerika pada tahun 2005 telah menjatuhkan hukuman penjara kepada seorang pemuda yang bernama Charles Stergio, 21 tahun dengan hukuman enam tahun penjara akibat ulahnya membobol, mencuri data finansial dan menipu (scamming) para pelanggan situs eBay, dimana akibat ulahnya itu sekitar 321 orang telah dirugikan, dengan total kerugian sekitar $421.000. Hakim akhirnya memutuskan untuk menolak pembebasan dengan jaminan akibat ulah Stergios yang melemparkan wadah berisi air (semacam galon air) ke ruang sidang akibat jaksa penuntut menyebutnya dengan sebutan "maling".


Pharming mengalahkan Phising

Sebuah gejala baru dalam kejahatan internet telah ditemukan. Pharming adalah sebuah modus operandi baru dalam hal kejahatan internet scamming (pembobolan situs, pencurian data finansial dan penipuan terhadap para pemegang rekening data finansial tersebut). Pharming adalah suatu tindakan membajak dan mengarahkan para pengunjung sebuah situs layanan finansial ke sebuah halaman palsu yang berisi database aneka data finansial (seperti daftar password, nomor kartu kredit, dan data pribadi lainnya yang sangat rentan untuk disalahgunakan). Pharming sangatlah berbahaya. Walaupun seseorang mengetikkan suatu alamat situs dengan benar, namun ia akan dipaksa untuk diarahkan ke sebuah halaman palsu dengan tampilan situs menggunakan alamat situs yang asli. Jadi si pengunjung tidak akan pernah tahu bahwa situs yang sedang dikunjunginya adalah situs gadungan alias palsu.
Pakar perusahaan software keamanan dan software antivirus - Symantec, Oliver Friedrichs mengatakan bahwa ini sama sekali bukanlah karena adanya kesalahan ketik si pengguna internet (pengunjung situs) seperti halnya dalam kasus phising. Si pengunjung situs akan diarahkan ke sebuah situs palsu begitu ia selesai mengetikkan alamat url situs yang akan dikunjunginya (walaupun alamat URL itu diketik dengan benar).
Jika phising itu ibarat kegiatan memancing ikan, maka pharming ibarat menjaring ikan di lautan dengan menggunakan kapal pukat harimau, kata pria itu lagi.
"Pharming langsung memotong/menyela hubungan komunikasi internet si pengguna (pengunjung situs), dengan cara mengeksploitasi sistem nama domain di internet dan menterjemahkannya ke kode numerik saat internet routing," demikian penjelasan Oliver Friedrichs (Symantec).

Selamat datang di Blog beracun

Kemudahan akses web logs atau yang lebih dikenal dengan blog, kemampuan anonimnya serta kemudahannya untuk dapat dibaca orang-orang di seluruh dunia membuat para penulis, para pelobi bisnis, remaja dan bahkan para pegawai frustasi untuk memanfaatkan kemudahan menulis di blog ini. Selain kapasitas besar yang biasa ditawarkan oleh jasa layanan blog gratis, sangat tidak mengherankan bahwa blog kini adalah sebuah fenomena. Setiap orang walaupun tidak memahami bahasa pemrograman (html, css, php, dsb) tidak akan merasa kesulitan untuk mempunyai sebuah blog dan menuliskan apa yang ingin ditulisnya.
Sayangnya, para hacker juga mengamati tren ini, sehingga mereka dengan sangat kreatif menciptakan apa yang dinamakan dengan blog beracun atau dikenal dengan istilah "Toxic blog".

Dengan memanfaatkan layanan jasa penyedia blog gratis, para hacker biasanya menciptakan blog beracun ini dengan tampilan dan isi yang menarik, dimana setiap halamannya di bagian background (tidak nampak oleh pengunjung situs) diisi dengan kode jahat (malicious code) ataupun link untuk mengaktifkan keylogger.
Selanjutnya para hacker jahat itu akan menyebarluaskan publikasi blog mereka melalui spam atau jasa pesan instant (chatting, sms), dan menjadikan para pengunjung situs blog beracun ini sebagai sasaran empuk. Saat mangsa sudah mengunjungi blog tersebut, maka mereka itu tanpa sadar telah terinfeksi (entah oleh virus, keylogger, atau semacamnya) serta dengan mudah dimata-matai segala gerak-gerik mereka saat online.
Sebuah perusahaan layanan sekuriti jaringan di Amerika, Websense Security Labs, telah merilis detil dari blog-blog beracun ini untuk memperingatkan para konsumen dan pengunjung situs internet agar lebih waspada karena terdapat ratusan blog beracun yang ada di internet pada sekitar tahun 2005, dan akan semakin meningkat pesat dari waktu ke waktu.
Karena umumnya penyedia layanan gratis blog tidak melengkapi blog mereka dengan filter atau proteksi terhadap file-file yang mengandung skrip jahat (malicious code), ataupun link-link yang akan mengarah pada download software jahat secara otomatis, maka sangat mudah bagi seorang hacker untuk memasang jebakan-jebakan di berbagai blog yang ia sebar di internet, dan dengan mudah dapat menjaring mangsa dalam jumlah besar hanya dengan menggunakan tehnik social engineering sederhana agar orang-orang (mangsa korban) mau berkunjung ke blog mereka yang memang dibuat semenarik mungkin.
Walau gejala blog beracun ini tidak semarak aneka tipu muslihat lainnya di internet, namun sebaiknya perlu dilakukan tindakan pencegahan yaitu selalu mengupdate sistem pengaman komputer dan jaringan kita (seperti antivirus, firewall, spyware, adware) dan tidak mudah percaya terhadap email-email berisi link-link mencurigakan ataupun orang-orang tak dikenal yang kita temui melalui di layanan instant messenger di internet.


Kasus Pencurian data pribadi atau data finansial.
Menurut organisasi perlindungan konsumen di Inggris, "Which", kasus pencurian data pribadi telah menimbulkan beban kerugian yang cukup besar yang dalam hal ini dianggap sebagai biaya. Totalnya bahkan bisa mencapai hingga 1.3 milyar poundsterling tiap tahunnya dan ada kecenderungan laju peningkatan yang cukup tinggi. Masalah pencurian data pribadi seseorang yang seharusnya merupakan rahasia, seperti tanggal lahir, nomor jaminan sosial, dan data-data lain tampaknya menjadi isyu yang cukup serius, dan bisa dimanipulasi oleh pihak-pihak yang tidak bertanggung jawab untuk mencuri data lebih detil tentang seseorang demi motif keuntungan atau penipuan. Misalnya saja dengan mengetahui tanggal lahir, dan nomor jaminan sosial (biasa terdapat di negara-negara maju seperti Inggris dan Amerika), seorang penipu atau pemburu data pribadi akan bisa memperoleh data lebih banyak lagi mengenai seseorang, misalnya ia akan dengan mudah bisa mengetahui nomor kartu kredit, nomor rekening bank, atau bahkan nomor telepon seseorang, hanya dari mengetahui nama, tanggal lahir, dan nomor jaminan sosialnya. Kalau sudah begitu, maka sangatlah berbahaya bagi seseorang yang sudah kebobolan atau kecurian data pribadinya, apalagi kalau sempat menyebar di internet.

Hal paling fatal yang bisa terjadi atau menimpa seorang korban, adalah kebobolan dana yang ia simpan di bank akibat ada orang lain (pencuri digital) yang telah membelanjakan dananya tanpa sepengetahuan si pemilik rekening atau si pemilik kartu kredit. Cara paling sederhana yang dapat dilakukan untuk mencegah kebobolan adalah secepatnya mengganti nomor pin atau menghubungi bank yang bersangkutan untuk memblokir dana pribadi, bila ada firasat atau bila merasa ada seseorang yang sedang mengincar dana yang Anda simpan di bank.

Seperti di California dan Texas (Amerika), pengguna jasa layanan bank bisa segera membekukan dananya setiap saat bila ia merasa ada sesuatu yang tidak beres. Pengaktifan kembali rekening bank atau kartu kredit bisa segera dilakukan setelah yang bersangkutan datang langsung ke bank untuk mengisi formulir penggantian nomor rekening dan kartu kredit.

SUMBER