Empat Fasa Scam LHDN

Lebih 22.5 juta data peribadi rakyat Malaysia dilaporkan telah dibocorkan secara dalam talian. Ramai rakyat Malaysia mendapati diri mereka menjadi sasaran dalang penipuan bersenjatakan maklumat peribadi.

Empat Fasa Scam LHDN
Sumber: Bank Negara Malaysia (2022)

(An English version of this article is available here.)

Pada bulan April 2022, lebih 22.5 juta data peribadi rakyat Malaysia dilaporkan telah dibocorkan secara dalam talian. Walaupun pihak Jabatan Perdana Menteri telah memberi jaminan bahawa tiada pelanggaran data rasmi berlaku, tetapi ramai rakyat Malaysia yang mendapati diri mereka menjadi sasaran dalang penipuan yang bersenjatakan maklumat peribadi. Pada bulan Mei 2022, Menteri Kanan Pertahanan Hishammuddin Hussein memberi jaminan bahawa pelanggaran data sedemikian tidak akan menimbulkan sebarang ancaman kepada keselamatan negara. Beliau juga menegaskan bahawa Kementerian Dalam Negeri "lebih daripada mampu" untuk menangani isu berkenaan.

Namun, yang mengejutkan baru-baru ini tersebar laporan bahawa akaun sembang peribadi milik Perdana Menteri dan seorang ahli Jemaah Menteri berjaya digodam. Kejadian ini merupakan sebahagian daripada siri insiden pelanggaran data yang diketahui. Walaupun begitu, Kerajaan terus menegaskan bahawa orang ramai tidak perlu cemas, dan berulang kali memberi peringatan kepada orang ramai untuk berwaspada daripada ditipu oleh penggodam.

Menerusi platform media sosial, agensi-agensi kerajaan menyebar pamplet digital, poster dan siaran media sosial sebagai strategi pemesejan, bagi menggesa orang ramai agar tidak mudah diperdaya. Namun masalah ini tetap timbul kerana:

1. Pembuat dasar gagal menyedari bahawa dasar sistem dalam talian yang lemah memberi kesan yang besar kepada orang ramai di luar talian;

2. Orang ramai sedang disasarkan oleh dalang penipuan yang mengambil kesempatan ke atas pemahaman mereka yang lemah tentang cara kerja agensi kerajaan; dan

3. Dalang penipuan berjaya mengeksploitasi kelemahan pengetahuan orang ramai tentang proses kerajaan yang sering dianggap sebagai samar dan sukar difahami orang ramai.

Sebagai contoh, mari kita pertimbangkan kes pemilik akaun @TheVenusDarling yang telah disasarkan oleh dalang penipuan. Dengan bersenjatakan dengan maklumat peribadinya, si penipu cuba menjeratnya melalui pendekatan kejuruteraan sosial.

Prolog: Penyediaan Jerat

Insiden ini bermula dengan panggilan telefon kepada mangsa oleh individu yang mendakwa dirinya pegawai Lembaga Hasil Dalam Negeri (LHDN). Individu ini menuduh mangsa berhutang lebih daripada RM50,000 melalui perniagaan yang kononnya didaftarkan atas namanya di Melaka. Pemanggil berkelakuan amat autoritatif dan meyakinkan, malah bersedia memberi nombor rujukan.

Setelah mengarahkan mangsa untuk menunggu sambungan telefon ke pihak polis (lengkap dengan muzik pindahan panggilan), si pemanggil menyambungkan panggilan dengan seorang “Inspektor Polis" yang mengarahkannya untuk meletakkan telefon dan menyemak Google untuk mengesahkan nombor ibu pejabat polis tempatan tersebut adalah "sahih". "Inspektor" berkenaan kemudian menghubunginya daripada nombor yang sama, lengkap dengan bunyi radio yang boleh didengari di latar seolah-olah dia benar-benar berada di balai polis.

Dengan taktik yang agak terperinci ini, mangsa kini terjerat.

Fasa 1: Terkilan

Seterusnya, "Inspektor" tersebut berpura-pura untuk mengambil kenyataan beliau. Dia kemudiannya memaklumkan mangsa bahawa dia telah menyemak sistem pangkalan data dan mendapati terdapat waran tangkap ke atas mangsa, kerana kad ATMnya didapati terkait dengan aktiviti penipuan dan penggubahan wang haram. Mangsa kini berasa terkilan.

Fasa 2: Pengasingan

"Inspektor" berkenaan meyakinkan mangsa bahawa dia akan membuat siasatan lanjut. Dia kemudiannya menyambung panggilan itu kepada "pegawai berpangkat lebih tinggi". "Pegawai kanan" itu mula memarahi dan mengugut mangsa dengan garang sekiranya dia enggan mematuhi arahannya. Mangsa turut diarahkan supaya merahsiakan perbualan mereka dan diminta untuk ke kawasan yang lebih sunyi bagi memastikan perbualan itu kekal rahsia. Kemudian, "pegawai kanan" itu memaklumkan mangsa yang dia akan menerima beberapa dokumen melalui aplikasi WhatsApp untuk semakannya.

Fasa 3: Cemas

Kemudian, mangsa menerima salinan "waran" melalui WhatsApp (lihat gambar di bawah), yang lengkap dengan jata Polis Diraja Malaysia. Kepada sesiapa yang kurang arif, "waran"  akan kelihatan seperti dokumen yang sah. Malah, "waran" berkenaan turut mengandungi butiran peribadi mangsa seperti nama penuh yang sah, nombor KP, alamat rumah, nombor telefon, dan jantina. Mangsa kini merasa amat cemas apabila berhadapan dengan maklumat peribadi yang disalah guna terhadapnya.

Waran tangkapan PDRM palsu.

"Pegawai kanan" tersebut kemudian mengarahkan mangsa untuk memuat turun aplikasi (fail .apk) yang dihantar melalui WhatsApp. Kononnya, ia aplikasi rasmi Bank Negara Malaysia (BNM) yang boleh membantu siasatan lanjut (lihat di bawah). Mangsa telah bersedia untuk memasukkan PIN, tetapi mula terdetik yang dia tidak sepatutnya berkongsi PIN dengan sesiapa. Pada ketika itulah baru mangsa sedar dia sedang berhadapan dengan cubaan perdaya.

Tangkapan skrin perbualan dan aplikasi hasad BNM.

Fasa 4: Gerun

Sebaik sahaja "pegawai kanan" sedar mangsa sedang teragak-agak, dia mula memaki hamunnya dan mengugut untuk memaksa mangsa memasukkan PIN. Mangsa segera menamatkan panggilan dan menyahpasang aplikasi. Malangnya, dalam keadaan ini, tindakan menyahpasang aplikasi tidak memadai.

Pada ketika inilah saya dihubungi mangsa untuk bantuan nasihat. Walaupun aplikasi berkenaan sudah dipadamkan, sebagai respons berjaga-jaga kita harus menganggap bahawa peranti terlibat telah dikompromi dengan perisian hasad. Langkah "reset" amat disyorkan, dan pemilik peranti perlu akur bahawa pendekatan ini boleh mengakibatkan kehilangan data - satu hasil yang tidak diingini ramai pihak.

Langkah 1: Log keluar

Oleh sebab kami tidak dapat menentukan sejauh mana peranti itu terjejas, saya mengarahkan mangsa untuk log keluar daripada semua aplikasi mudah alihnya dan hanya mengemas kini kata laluan di komputer peribadi untuk mengelakkan sebarang pencerobohan lanjut yang mungkin berlaku.

Langkah 2: Imbasan Kasar

Seterusnya, saya mengarahkan mangsa untuk menjalankan imbasan kasar. Mangsa menggunakan Play Protect untuk memeriksa telefonnya. Laporan aplikasi berkenaan menunjukkan tiada sebarang aplikasi hasad ditemui.

Langkah 3: Imbasan Halus

Saya masih tidak berpuas hati dengan laporan tersebut, lalu saya meminta  mangsa untuk menjalankan imbasan halus dengan menggunakan aplikasi yang khusus direka untuk mengesan perisian hasad. Mangsa memuat turun dan menggunakan aplikasi ESET Mobile Security. Kali ini perisian hasad telah berjaya dikesan.

Penemuan ini bukan sahaja satu-satunya aspek yang menarik. Aplikasi hasad ini jelas direka untuk menuai maklumat digital sasaran. Walaupun perisian hasad berkenaan hanya berada di dalam peranti kurang daripada lima minit, penyusupan yang singkat itu masih meninggalkan kesan yang berbahaya.

Mengapa kita masih mengalami masalah ini?

Sebaik sahaja pengalaman @TheDarlingVenus dikongsi di Twitter, ramai memberi respons yang mengatakan bahawa penipuan itu boleh dihindari dari awal jika dia meletakkan telefon dengan segera atau mendesak pemanggil untuk mendedahkan maklumat lanjut, seperti nombor lencana. Sesetengah daripada mereka juga ingin tahu bagaimana mangsa begitu lalai kerana tidak tahu-menahu bahawa pihak LHDN jarang menelefon dan lazimnya menghantar surat-menyurat rasmi melalui pos. Ramai juga membuat desakan supaya aplikasi tersebut disekat oleh pihak kerajaan untuk mengelakkan mangsa lain memuat turunnya.

Di sini kita perlu mengkaji semula kejadian ini untuk memahami mengapa masalah ini masih melanda. Tetapi, kita perlu faham terlebih dahulu bahawa sikap suka mengaibkan mangsa adalah sama sekali tidak produktif. Pertama, sikap mengaibkan mangsa hanya mendayakan sifat apati tahap tinggi. Kita tidak boleh menafikan bahawa pelaku jahat membangunkan teknik kejuruteraan sosial ini kerana mereka memanfaatkan kejahilan orang awam tentang prosedur kerajaan dan polis. Kejahilan inilah kelemahan keselamatan yang besar. Selain itu, hakikat ini menyangkal dakwaan yang pelanggaran data tidak memberi ancaman serius kepada keselamatan negara, kerana ia telah melemahkan ketahanan kita dan meningkatkan kerentanan kita terhadap jenayah kewangan.

Kedua, kita mesti menyedari bahawa masalah ini akan terus berlarutan selagi mana kita gagal menanganinya sebagai masalah dasar institusi. Orang ramai akan terus menjadi sasaran penipu selagi mereka mempunyai cara dan keupayaan untuk beroperasi dalam persekitaran yang kaya dengan sasaran. Perkara ini masih kurang difahami dengan baik oleh pembuat dasar yang kurang berusaha untuk memerangi mereka. Pada masa yang sama, usaha untuk menuntut hukuman undang-undang yang keras juga kurang sesuai, kerana setakat ini tiada bukti yang menunjukkan ia mampu mencegah kegiatan jenayah yang oportunis ini dengan berkesan. Dan ketiga, kita harus akur yang penyelesaian teknikal juga sia-sia, kerana menyenaraihitamkan alamat IP boleh mengakibatkan implikasi yang teruk dan berpanjangan terutamanya dalam perbezaan pendapat politik.

Namun begitu, tidak perlu gusar kerana penyelesaian yang praktikal wujud. Usaha meningkatkan kesedaran awam masih merupakan pelan tindakan yang paling bermanfaat dan realistik yang kita boleh pilih. Walaupun LHDN dan BNM amat aktif berusaha membuat pemesejan melalui media sosial, namun apa yang kita boleh pelajari daripada insiden ini ialah aktiviti penipuan bukan berlaku kerana LHDN dan BNM tidak cukup berusaha untuk menyedarkan orang ramai tentang penipuan itu. Tetapi, usaha ini tidak akan mencukupi kerana orang ramai masih tidak memahami cara kerja agensi Kerajaan. Oleh itu, rakyat mesti diberi pencerahan mengenai prosedur dan piawaian kerajaan. Untuk mencapai keberkesanan ini, pihak kerajaan perlu meningkatkan kebolehcapaian, kejelasan, dan ketelusan maklumat yang telah tersedia secara meluas.

Kesimpulan: Memperteguhkan Sasaran

Seorang lagi mangsa berkongsi pengalamannya dipaksa memasukkan PIN ke aplikasi hasad.

Yang pasti, sebaik sahaja orang ramai berjaya memahami corak kaedah penipuan, akan menjadi lebih mudah untuk mengesannya kerana dalang penipu lazim menggunakan taktik yang sama. Berdasarkan pengakuan beberapa orang mangsa yang lain, fasa-fasa muslihat berikut telah berjaya dikenal pasti: 1) Terkilan, 2) Pengasingan, 3) Cemas, dan 4) Gerun.

Empat fasa yang dirumuskan.

Oleh itu, adalah penting untuk semua pihak memahami dan mengenali modus operandi (MO) dalang penipuan dan belajar bagaimana untuk mengenal pasti  scammer dari awal lagi supaya anda boleh meletakkan telefon terus dengan yakin tanpa merasa bimbang tentang ancaman palsu tangkapan polis.

Subscribe to The Deep Dive

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe