Peretasan Akun Sekuritas di Jepang Melonjak, Transaksi Ilegal Tembus 300 Miliar Yen

Rasa Putus Asa yang Mendalam

Akun sekuritas daring milik seorang pria berusia 80-an di Osaka dibajak setelah ID dan kata sandinya dicuri. Pelaku kemudian melakukan lebih dari 300 transaksi saham ilegal.

Korban yang memiliki aset senilai lebih dari 36 juta yen (sekitar 250.000 dolar) harus merelakan total sekitar 27 juta yen miliknya raib.

Ia mengaku bingung karena tidak tahu bagaimana kata sandinya bisa dicuri. Investasi saham tersebut ia kumpulkan setelah pensiun sebagai jaring pengaman finansial. Kini, ia merasa putus asa dan kehilangan arah.

Jepang Jadi Sasaran Utama

Kasus penipuan bermodus email palsu yang mengarahkan korban ke situs tiruan perusahaan sekuritas melonjak tajam pada Desember lalu.

Perusahaan keamanan siber Macnica menyatakan bahwa Jepang telah menjadi target serangan intensif. Situs-situs palsu tersebut pun sangat sulit dibedakan dari aslinya secara kasat mata.

Sulitnya Mengidentifikasi Kelompok Kriminal

Kami menganalisis pergerakan harga dan volume perdagangan saham tiga perusahaan Tiongkok yang seolah-olah dibeli oleh korban lain. Dalam setiap kasus, harga melonjak hanya dalam hitungan jam sebelum akhirnya anjlok. Belakangan terungkap bahwa ada pihak yang langsung menjual saham dalam jumlah besar tepat saat harga mencapai puncaknya.

Macnica meyakini tujuan kelompok kriminal ini adalah untuk menggelembungkan harga saham milik mereka, lalu menjualnya demi meraup keuntungan.

Fukasawa Atsushi adalah pengacara yang menyelidiki transaksi ilegal seperti manipulasi pasar di Komisi Pengawasan Bursa dan Sekuritas. Ia menyebut metode penipuan ini belum pernah terjadi sebelumnya dan menilai akan sulit untuk mengidentifikasi kelompok kriminal tersebut melalui praktik investigasi konvensional.

Fukasawa menjelaskan bahwa biasanya pihak berwenang dapat menentukan pelaku dengan memeriksa catatan transaksi pada akun tersebut. Namun, dalam kasus pembajakan ini, mustahil untuk mengetahui siapa yang sebenarnya melakukan transaksi.

Jejak Tiongkok pada Situs Palsu

Saat menganalisis situs web palsu perusahaan sekuritas, Macnica menemukan serangkaian karakter Mandarin dalam kode program yang juga digunakan pada situs palsu perusahaan transportasi. Hal ini mengindikasikan para penyerang menggunakan kembali data dari berbagai situs palsu lainnya. Karakter Mandarin tersebut juga muncul pada pesan kode kesalahan seperti 'tidak dapat mengirim' atau 'pengguna tidak ditemukan'.

Kakeya Yuji dari Macnica menyatakan, Belum jelas apakah ini terkait dengan insiden dugaan manipulasi harga saham, namun ada kemungkinan pembuat kode situs phishing ini terbiasa menggunakan dialek Mandarin tersebut.

Jepang Menjadi Target Empuk

Kami mewawancarai Ngo Minh Hieu, seorang warga negara Vietnam yang merupakan mantan penjahat siber dan kini bekerja sebagai pakar keamanan siber.

Ngo menjelaskan bahwa Jepang dulunya terlindungi oleh kerumitan bahasanya, sehingga penipuan phishing sulit meniru ungkapan uniknya. Namun, kemunculan teknologi AI generatif yang berpadu dengan rendahnya kesadaran keamanan kini menjadikannya target utama.

Ngo menambahkan, Saya tidak mengerti bahasa Jepang, tetapi dengan bantuan AI, Saya bisa dengan mudah membuat situs phishing dalam bahasa Jepang yang sempurna. Jepang adalah pasar yang menggiurkan bagi penyerang, dan meraup uang di sana tergolong sangat mudah.

Tanggapan Perusahaan Sekuritas

Awalnya, sejumlah perusahaan sekuritas bersikap hati-hati dalam memberikan ganti rugi kepada korban dengan merujuk pada syarat dan ketentuan mereka. Namun, seiring meluasnya dampak kerugian, 10 perusahaan besar akhirnya memutuskan untuk memberikan kompensasi. Besaran dan waktu pemberian kompensasi ditetapkan oleh masing-masing perusahaan secara mandiri.

Terkait langkah ke depan, setiap perusahaan menyatakan akan terus memperkuat keamanan dengan mewajibkan penerapan sistem autentikasi multifaktor (MFA) secara bertahap.

MFA secara signifikan meningkatkan keamanan login dengan memanfaatkan autentikasi biometrik sidik jari dan wajah, serta verifikasi melalui aplikasi tambahan di luar ID dan kata sandi konvensional.

Mencegah Menjadi Korban

Bagaimana cara agar tidak menjadi korban? Berdasarkan wawancara dengan pakar dan lembaga keamanan, kami menyusun panduan berikut:

Jangan gunakan kata sandi yang sama di berbagai situs web. Aktifkan MFA pada situs yang mengelola transaksi keuangan. Hindari mengeklik tautan dalam email yang meminta Anda login ke situs perusahaan untuk memasukkan data pribadi.