tirto.id - Delapan tahun silam, sebuah serangan siber menimpa Bank Sentral Bangladesh. Uang yang melayang gara-gara serangan itu mencapai US$81 juta. Perampokan itu bahkan tercatat sebagai perampokan bank dengan nilai terbesar ketiga sepanjang sejarah—hanya kalah dari perampokan Bank Sentral Irak pada 2003 (US$1 miliar) dan perampokan Bank Dar Es Salaam di Tanzania pada 2007 (US$282 juta).
Meski demikian, Bank Sentral Bangladesh bisa dikatakan masih beruntung. Sebab, seperti yang dilaporkan Reuters, para peretas sebenarnya berniat mencuri hingga US$1 miliar.
Seturut pemberitaan, para peretas tersebut mendobrak sistem keamanan digital Bank Sentral Bangladesh dan mencuri kredensial untuk transfer uang. Mereka kemudian mengirimkan sekitar tiga lusin permintaan transfer ke Federal Reserve Bank di New York untuk memindahkan uang dari rekening Bank Sentral Bangladesh ke Filipina dan Sri Lanka.
Dari tiga lusin permintaan transfer itu, hanya empat yang akhirnya dikabulkan. Sebab, pada permintaan transfer kelima yang bernilai US$20 juta yang dialamatkan ke sebuah organisasi nirlaba Sri Lanka, sebuah typo (saltik) membuat para petugas bank curiga. Nama organisasi nirlaba yang dimaksud adalah Shalika Foundation. Namun, yang tertera dalam permintaan transfer adalah "Shalika Fandation".
Sebetulnya, transfer tersebut sudah hampir berhasil karena dana sudah sampai ke Pan Asia Banking Corp. Namun, bank yang berbasis di Sri Lanka itu kemudian meminta verifikasi kepada Deutsche Bank (selaku routing bank) lantaran nilai transfer tersebut dianggap tidak wajar.
"Nilainya terlalu besar untuk ukuran negara kami," ujar seorang staf, dikutip dari Reuters.
Akhirnya, Deutsche Bank pun mengecek kembali permintaan transfer tadi dan menyimpulkan bahwa transaksi ini memang mencurigakan. Di saat yang hampir bersamaan, Federal Reserve pun mencurigai permintaan transfer ini karena rekening yang dituju adalah milik pribadi, bukan ke bank lain. Padahal, rekening milik Bank Sentral Bangladesh di Federal Reserve diperuntukkan untuk membayar utang-utang negara.
Pihak terkait lantas melakukan penyelidikan dan dengan segera menemukan permintaan-permintaan transfer lainnya yang belum sempat diproses. Belakangan, diketahui bahwa serangan siber itu memang berasal dari luar Bangladesh.
Namun, para pelaku telah mempelajari betul kelemahan-kelemahan dalam sistem Bank Sentral Bangladesh sehingga bisa melancarkan serangan yang nyaris berhasil sepenuhnya jika saja tidak ada typo.
Saltik yang Menyebalkan
Pada 2010, Gregorio Iniguez, seorang petinggi perusahaan percetakan uang Cile, dipecat setelah menyetujui produksi 1,5 juta keping koin nominal 50 peso yang ternyata mengandung saltik. Alih-alih "C-H-I-L-E", ejaan nama negara yang tertulis di koin tersebut adalah "C-H-I-I-E".
Koin saltik tersebut akhirnya tetap beredar sampai detik ini. Itu adalah salah satu contoh saltik yang lumayan “ekstrem”.
Saltik ekstrem lain juga pernah terjadi pada 1631 ketika Robert Barker dan Martin Lucas mencetak ulang Injil Raja James. Dalam bagian sepuluh perintah Tuhan, mereka lupa menyertakan kata "not" dalam perintah "thou shalt not commit adultery". Walhasil, Injil satu ini pun kemudian dijuluki "Injil Pezina".
Pendek kata, saltik adalah bagian tak terpisahkan dari peradaban tulis manusia yang merupakan tempatnya salah dan lupa ini. Meski demikian, tak semua saltik punya efek sebesar dua kasus tersebut.
Katakanlah, seorang kawan kita mengirim pesan teks lalu salah menulis kata tertentu. Saltik macam itu rasa-rasanya masih bisa dimaklumi, bukan?
Kenyataannya, tidak semua orang punya kepekaan yang sama terhadap teks atau bahasa. Banyak orang yang memaklumi adanya saltik karena kesalahan seperti itu seringnya memang bukan masalah besar dan tidak akan menimbulkan kerugian apa pun. Dengan kata lain, saltik adalah kesalahan yang seringkali dimaklumi dan tidak dianggap serius.
Namun, kecenderungan orang memaklumi saltik rupanya bisa juga membuka kesempatan untuk berbuat culas. Inilah yang kemudian dilakukan oleh para penjahat siber untuk melakukan aksinya.
Aksi kejahatan di sini berbeda dengan apa yang dilakukan para peretas terhadap Bank Sentral Bangladesh pada 2016 silam. Di sini, kita berbicara soal kejahatan siber yang bernama phishing.
Phishing dilakukan dengan cara mengirimkan pesan (bisa melalui email, SMS, atau bahkan WhatsApp) yang mengandung sebuah tautan. Tautan itu, apabila diklik, akan membawa kita kepada sebuah situs. Ketika laman situs itu dibuka, data-data pribadi serta kredensial (password, PIN, dan semacamnya) yang tersimpan di dalam perangkat kita bakal diketahui oleh sang pengirim tautan.
Tautan yang dikirimkan itu bakal terlihat seperti tautan resmi. Namun, biasanya, ada sedikit alterasi, entah pada domain atau pada nama institusi yang sengaja diubah sedikit untuk mengelabui. Misal, penulisan amazon.com diubah menjadi amazon.net atau amozon.com.
Dalam dunia siber, praktik seperti ini dikenal dengan nama typosquatting.
Typosquatting sebenarnya tidak cuma digunakan untuk phishing. Typosquatting bisa dilakukan karena saltik adalah hal yang umum dilakukan. Ketika seseorang salah mengetikkan alamat sebuah situs karena typo, peramban (browser) biasanya akan memaklumi itu. Peramban lalu mengarahkan si pengguna ke situs yang sebenarnya ingin mereka tuju.
Namun, oleh para typosquatter, kebiasaan itu dimanfaatkan untuk berbagai macam kepentingan.
Ada yang semata-mata hanya ingin memonetisasi domain melalui iklan yang dipasang di situs palsu, ada yang berniat menjual domain typo itu ke pemilik situs asli, ada pula yang berusaha mengalihkan traffic kepada kompetitor pemilik situs. Namun, yang paling berbahaya adalah phishing atau kejahatan-kejahatan siber lain, seperti pemasangan malware melalui situs yang sengaja dibuat salah tersebut.
Biasanya, phishing melalui typosquatting ini menyasar orang-orang tua yang kurang memahami teknologi terkini dan kesulitan membedakan mana domain situs yang benar. Tak cuma itu, phishing juga sering menyasar pekerja dari institusi-institusi tertentu yang dirasa bisa memberikan akses pada informasi yang dibutuhkan si pengirim tautan.
Selain tautan saltik, phishing juga sering kali dilengkapi dengan kata-kata persuasif atau ancaman untuk memengaruhi seseorang agar tergerak mengklik tautan yang dikirimkan. Kata-kata ini akan memengaruhi psikis penerima pesan dan tanpa pikir panjang serta tanpa memerhatikan alamat tautan, mereka akan langsung mengklik tautan yang dimaksud.
Sebenarnya, akun email sendiri sudah dilengkapi dengan apa yang disebut penyaring spam. Namun, penyaring spam ini rupanya bisa juga diakali, tak lain dan tak bukan, melalui typo. Penjahat siber sengaja mengubah penulisan kata-kata kunci tertentu dengan typo sehingga email bisa masuk ke inbox pengguna dan menipu mereka.
Hal ini diungkapkan pakar keamanan siber Joseph Steinberg dalam sebuah unggahan di blognya.
Dari sini, bisa disimpulkan bahwa saltik ternyata merupakan pisau bermata dua. Ia bisa saja sesepele kesalahan mengetik huruf yang tidak berbahaya. Namun, ada orang-orang di luar sana yang menggunakannya sebagai senjata untuk menyakiti orang lain.
Maka jalan paling ampuh untuk mencegah terjadinya kejahatan siber yang dilakukan melalui saltik adalah meningkatkan kehati-hatian. Jangan mudah percaya dengan apa yang Anda saksikan di internet dan tanyakan pada ahlinya jika ragu.
Penulis: Yoga Cholandha
Editor: Fadrik Aziz Firdausi