Trik FBI Dalam Membongkar Sindikat Penjual Data Pribadi BreachForums

 

iTechMagz.id – Pada Jumat pekan lalu, FBI melalui Departemen Kehakiman AS mengumumkan kasus penangkapan tersangka administrator dari forum hacker terkenal BreachForums.

Sekadar informasi, BreachForums merupakan sindikat peretas yang memfasilitasi penjualan dan pembelian informasi pribadi milik jutaan warga AS, ratusan perusahaan, organisasi, hingga pemerintah AS dan asing.

Dalam sebuah pernyataan, jaksa mengonfirmasi penangkapan Conor Fitzpatrick (20 tahun) alias Pompompurin, dari Peekskill, New York. Fitzpatrick didakwa dengan satu tuduhan konspirasi untuk melakukan penipuan akses perangkat lunak, dengan ancaman hukuman maksimal lima tahun penjara.

Untuk membuktikan bahwa BreachForums memfasilitasi penjualan dan pembelian data yang dicuri atau diretas, agen rahasia FBI menggunakan trik yang cukup menarik.

Agen federal AS tersebut membeli lima kumpulan data yang dicuri dari perusahaan hosting internet dan layanan keamanan AS yang tidak disebutkan namanya, yang berisi nama, alamat, nomor telepon, nama pengguna, kata sandi, dan alamat email untuk sekitar 8.000 pelanggan, informasi kartu pembayaran untuk 1.900 pelanggan; kumpulan data lain yang dicuri dari perusahaan investasi berbasis di AS yang tidak disebutkan namanya, berisi setidaknya 5 juta alamat email.

Gilanya lagi, dari sekian banyak data yang dijual, terdapat data yang berisi informasi pribadi “sejumlah besar orang AS,” termasuk nama lengkap, alamat email, nomor telepon, alamat rumah, tanggal lahir, nomor Jaminan Sosial, nomor SIM, nama bank, nomor perutean, dan nomor rekening.

Masih dari penjual yang sama, FBI juga membeli data berisi informasi pribadi dan informasi rekening bank sekitar 15 juta orang AS; dan satu kumpulan data lain yang diambil dari perusahaan perawatan kesehatan AS.

Berkat strategi tersebut, FBI mengumpulkan beberapa bukti yang bisa menjerat Pompompurin. Pertama, mereka mendapatkan alamat IP yang digunakan Pompompurin untuk mengakses RaidForums (pendahulu BreachForums), yang disita oleh FBI pada April 2022 .

Sembilan dari alamat IP tersebut dikaitkan dengan Fitzpatrick, menurut penyedia layanan internetnya Verizon, seperti yang ditulis oleh Agen Khusus FBI John Longmire dalam pernyataan tertulis tertanggal 15 Maret, dua hari sebelum penangkapan Fitzpatrick .

Sedangkan bukti kedua datang dari Pompompurin sendiri. Dalam obrolan dengan admin RaidForums, Pompompurin mengatakan dia melihat pelanggaran data yang diposting di situs tidak menyertakan “salah satu email lama saya”, yang dia cari di situs pemberitahuan pelanggaran data yang sah, Have I Been Pwned .

Meskipun Pompompurin kemudian berkata “(Saya tidak ingin membagikan email saya yang sebenarnya karena alasan yang jelas, tetapi email ini tampaknya memiliki kasus yang sama dengan saya): conorfitzpatrick02@gmail.com,” tulis agen FBI tersebut dalam pernyataan tertulisnya, sebagaimana dikutip dari Techcrunch pada Kamis (27/7/2023).

Bukti FBI diperkuat dengab keberadaan sosok peretas yang diduga juga memiliki akun Google Pay yang ditautkan ke alamat email itu dan juga yang lebih baru, yakni “conorfitzpatrick2002@gmail.com,” keduanya lantas ditautkan ke nomor yang dimiliki oleh Fitzpatrick.

Selain itu, agen tersebut menulis bahwa dia memperoleh lebih banyak catatan dari Google, yang menunjukkan conorfitzpatrick2002@gmail.com memiliki alamat email pemulihan funmc59tm@gmail.com yang ditautkan ke alamat IP yang terdaftar pada seseorang dengan nama belakang Fitzpatrick dan nomor telepon yang berbeda, yang menurut agen tersebut diyakini sebagai milik ayah Fitzpatrick.

Kemudian, menurut sang agen FBI, Pompompurin menggunakan beberapa VPN untuk terhubung ke akun Gmailnya, beberapa di antaranya tumpang tindih dengan aktivitasnya di tempat lain di internet.

Agen tersebut juga mengatakan bahwa FBI memperoleh catatan dari pertukaran cryptocurrency Purse.io. Catatan perusahaan mengungkapkan bahwa empat alamat IP yang digunakan untuk terhubung ke bursa juga digunakan untuk terhubung ke akun Gmail conorfitzpatrick2002@gmail.com dan akun RaidForum Pompompurin.

Selain itu, akun Purse.io itu terdaftar dengan nama Conor Fitzpatrick dan alamat email “conorfitzpatrick2002@gmail.com,” kata affidavit. Keempat alamat IP itu, menurut agen, dimiliki oleh penyedia VPN, yang juga digunakan Pompompurin untuk terhubung ke akun “conorfitzpatrick2002@gmail.com”.

Alamat IP VPN lain juga digunakan untuk masuk ke akun Zoom dengan nama “pompompurin” yang terkait dengan alamat email Riseup yang juga digunakan untuk mendaftarkan akun RaidForums miliknya.

Catatan dari Purse.io juga menunjukkan bahwa akun Fitzpatrick membeli “beberapa item” dan mengirimkannya ke alamatnya dengan nomor telepon yang telah dibuat FBI adalah miliknya.

Tujuh dari sembilan alamat IP yang digunakan untuk terhubung ke Purse.io juga digunakan untuk terhubung ke akun Pompompurin di RaidForums. Dan, akhirnya, akun Purse.io “didanai secara eksklusif oleh alamat Bitcoin yang telah dibahas Pompompurin dalam postingan di RaidForums,” menurut pernyataan tertulis.

Menariknya, bukti tidak berhenti di situ. Dalam database aktivitas forum RaidForums, FBI melihat bahwa Pompompurin mengakses akunnya dari alamat IP yang terdaftar pada ayah Fitzpatrick di alamat rumah yang sama yang sebelumnya diidentifikasi oleh pihak berwenang, menurut surat pernyataan tersebut.