Ketika operasi kejahatan dunia maya terganggu, penyebabnya biasanya bukan karena deteksi yang canggih, melainkan kesalahan operasional yang mendasar seperti penggunaan kembali identitas, pemisahan infrastruktur yang lemah, atau metadata yang diabaikan.
Dalam postingan forum kejahatan dunia maya baru-baru ini yang diamati dan dianalisis oleh para peneliti Flare, pelaku ancaman berupaya mengatasi kegagalan ini dengan menguraikan kerangka kerja OPSEC terstruktur yang dirancang untuk “operasi carding bervolume tinggi.” Alih-alih berfokus pada alat atau monetisasi, postingan ini berfokus sepenuhnya pada bagaimana agar tetap tidak terdeteksi seiring berjalannya waktu.
Menurut sang aktor, kerangka ini adalah “metodologi yang telah teruji dalam pertempuran yang membuat tim tetap beroperasi sementara tim lain telah dikompromikan.” Posting tersebut tidak seperti tip forum dan lebih seperti manual operasi internal, lengkap dengan arsitektur tiga tingkat, taksonomi kesalahan umum, dan mekanisme darurat yang dipinjam dari pedoman perdagangan intelijen.
Meskipun sebagian besar teknik ini bukanlah hal baru, cara mereka disusun dalam kerangka operasional yang jelas menunjukkan pendekatan yang lebih metodis untuk mempertahankan aktivitas skala besar.
Bagi para pembela HAM, hal ini memberikan gambaran yang jarang mengenai bagaimana penjahat dunia maya menyusun keamanan operasional jangka panjang.
Arsitektur OPSEC Tiga Tingkat
Inti dari metodologi aktor adalah model infrastruktur tiga lapis, yang dirancang untuk memisahkan eksposur, eksekusi, dan monetisasi.
Lapisan Publik
Aktor menyatakan bahwa lapisan publik harus terdiri dari “perangkat bersih, IP perumahan dirotasi setiap 48 jam, tidak ada informasi pribadi.“Setiap operator juga wajib menjaga identitas masing-masing.
Hal ini mencerminkan pemahaman yang jelas tentang kemampuan deteksi modern. Sistem pencegahan penipuan mengandalkan korelasi identitas dan pelacakan perilaku, menjadikan penggunaan kembali identitas sebagai risiko utama.
Penggunaan rotasi IP perumahan juga sejalan dengan kampanye penipuan di dunia nyata, di mana pelaku semakin bergantung pada jaringan proxy untuk berbaur dengan lalu lintas yang sah.
Lapisan Operasional
Lapisan operasional digambarkan sepenuhnya terisolasi dari lapisan publik, dengan aturan ketat: “tidak pernah diakses dari lapisan publik.” Menurut aktornya, lapisan ini harus mencakup:
-
Kontainer terenkripsi dengan data terkotak-kotak
-
Infrastruktur khusus
-
Manajemen kunci yang didukung perangkat keras
Penekanannya di sini adalah pada kompartementalisasi: memastikan bahwa kompromi di satu bagian operasi tidak mengekspos keseluruhan infrastruktur. Hal ini mencerminkan ekosistem kejahatan dunia maya di dunia nyata. Misalnya, kelompok ransomware modern seperti LockBit beroperasi menggunakan model berbasis afiliasidi mana berbagai pelaku menangani akses, eksekusi, dan monetisasi secara terpisah untuk mengurangi paparan risiko.
Lapisan Ekstraksi
Lapisan terakhir berfokus pada monetisasi. Aktor menentukan bahwa lapisan ini harus “sistem terisolasi dengan saluran pembayaran khusus” dan, jika memungkinkan, “celah udara.” Aktor tersebut juga menekankan “tidak ada kontaminasi silang dengan lapisan lain”.
Hal ini mencerminkan pemahaman kritis: transaksi keuangan sering kali menjadi titik keberhasilan investigasi. Dengan mengisolasi infrastruktur pembayaran, para pelaku berupaya memutus rantai forensik antara aktivitas penipuan dan monetisasi.
Kesalahan Yang Masih Menimbulkan Eksposur
Aktor tersebut mengidentifikasi beberapa kegagalan berulang yang terus mengungkap operasi kejahatan dunia maya.
Penggunaan Kembali Identitas
Penggunaan kembali akun burner disorot sebagai risiko keamanan yang besar. Menurut pelaku ancaman, ini adalah salah satu kegagalan operasional yang paling umum. Dalam praktiknya, hal ini sejalan dengan berbagai investigasi di mana penegak hukum berhasil menghubungkan aktor-aktor melalui penggunaan kembali identitas lintas platform.
Penghindaran Sidik Jari yang Lemah
Aktor tersebut mengkritik “penanggulangan sidik jari digital yang tidak memadai.Hal ini mencerminkan semakin pentingnya sidik jari perangkat dalam deteksi penipuan. Sistem modern menganalisis:
-
Karakteristik browser dan perangkat
-
Perilaku sesi
-
Pola interaksi
Nada penolakan aktor tersebut terhadap OPSEC dasar menunjukkan bahwa anonimisasi khusus VPN tidak lagi dianggap cukup bahkan dalam komunitas bawah tanah.
Pemisahan yang Buruk Antar Tahapan
Aktor ancaman berseru “pemisahan yang tidak memadai antara operasi akuisisi dan pembayaran.”
Ketika infrastruktur yang sama digunakan di beberapa tahap, pembela HAM dapat lebih mudah melacak aktivitas di seluruh rantai serangan. Menurut sang aktor, pemisahan yang ketat diperlukan untuk menjaga umur operasional.
Paparan Metadata
Aktor tersebut juga menyoroti “manajemen metadata yang buruk pada materi operasional.”
Ini adalah risiko yang tidak kentara namun penting. Metadata yang tertanam dalam file, seperti stempel waktu atau pengidentifikasi perangkat, telah digunakan dalam berbagai kasus di dunia nyata untuk mengidentifikasi pelaku ancaman.
Teknik Tingkat Lanjut untuk Ketahanan
Selain kebersihan dasar, aktor ini menguraikan beberapa teknik canggih yang dirancang untuk meningkatkan ketahanan operasional.
-
Pemicu waktu tunda: Menurut aktor tersebut, penerapan “pemicu operasional yang tertunda waktu” dapat mengurangi korelasi antara tindakan dan infrastruktur. Teknik ini biasanya diamati dalam kampanye malware, di mana eksekusi yang tertunda memperumit garis waktu forensik dan mempersulit hubungan sebab dan akibat.
-
Pengacakan perilaku: Aktor tersebut merekomendasikan “pengacakan pola perilaku” untuk menghindari deteksi. Ini secara langsung menargetkan sistem analisis perilaku, yang banyak digunakan dalam pencegahan penipuan. Dengan meniru aktivitas pengguna yang sah, penyerang berupaya melewati mekanisme deteksi otomatis.
-
Verifikasi terdistribusi: Penyebutan “protokol verifikasi terdistribusi” menyarankan validasi multi-langkah di seluruh sistem atau operator, sehingga mengurangi ketergantungan pada satu titik kegagalan.
-
Sakelar orang mati: Aktor tersebut mengusulkan “saklar orang mati untuk data penting.Mekanisme ini dapat secara otomatis menghapus atau menonaktifkan data sensitif jika kondisi tertentu terpenuhi, menunjukkan fokus tidak hanya pada menghindari deteksi tetapi juga pada membatasi kerusakan ketika terjadi kesalahan.
TTP Utama yang Diidentifikasi dari Kerangka Aktor
Berdasarkan kesimpulan pelaku, muncul beberapa TTP yang jelas:
-
Segmentasi infrastruktur untuk membatasi radius ledakan
-
Kompartementalisasi identitas lintas platform dan lapisan
-
Penggunaan proxy perumahan dan teknik anti-sidik jari untuk mengalahkan analisis perilaku
-
Pemisahan tahapan operasional secara ketat, termasuk akses, eksekusi, dan monetisasi
-
Penghindaran perilaku melalui pengacakan pola pengguna
-
Mekanisme ketahanan seperti saklar orang mati dan pemicu yang tertunda waktu
Teknik-teknik ini tidak bersifat teoritis. Metode-metode tersebut sejalan dengan metode yang digunakan dalam operasi kejahatan dunia maya lainnya.
OPSEC sebagai Keunggulan Kompetitif
Salah satu aspek yang paling terbuka dalam artikel ini adalah bagaimana aktor membingkai keamanan operasional. Menurut aktor tersebut, “Jika Anda masih menggunakan VPN sebagai langkah keamanan utama, Anda perlu naik level.”
Fokusnya bukan pada bagaimana melakukan penipuan, namun pada bagaimana agar tetap beroperasi seiring berjalannya waktu. Pemisahan yang ketat antar lapisan, kompartementalisasi yang diberlakukan, dan mekanisme darurat yang ada di dalamnya semuanya menunjukkan prioritas yang jelas: menghindari gangguan.
Hal ini menunjukkan bahwa OPSEC bukan lagi sekedar tindakan pencegahan, namun menjadi filter kompetitif dalam ekosistem kejahatan dunia maya. Pelaku yang mengandalkan perlindungan dasar lebih besar kemungkinannya untuk terekspos sejak dini, sementara pelaku yang menggunakan model terstruktur dapat beroperasi lebih lama dan dalam skala besar.
Kerangka kerja ini tidak memperkenalkan teknik-teknik baru, namun memformalkannya. Dan seiring dengan semakin banyaknya aktor yang mengadopsi pendekatan serupa, upaya mempertahankan akses dapat berubah dari kemampuan teknis menjadi siapa yang dapat bersembunyi paling lama.
Apa yang Dapat Dilakukan Pembela HAM
Meskipun postingan aslinya ditujukan untuk pelaku ancaman, postingan ini memberikan wawasan defensif yang berharga bagi tim keamanan.
-
Berinvestasi dalam memahami korelasi lintas platform: Penekanan pada menghindari penggunaan kembali identitas menyoroti pentingnya korelasi lintas platform dan lintas sesi. Pembela HAM harus fokus pada menghubungkan aktivitas antar akun, perangkat, dan pola perilaku.
-
Kembangkan deteksi perilaku: Fokus aktor ini pada sidik jari dan pengacakan menggarisbawahi perlunya analisis perilaku tingkat lanjut dibandingkan ketergantungan pada indikator statis.
-
Pantau seluruh rantai serangan: Pemisahan yang ketat antar tahapan berarti pembela HAM harus menghubungkan sinyal di berbagai fase, mulai dari akses awal hingga monetisasi.
-
Memanfaatkan metadata: Metadata masih merupakan alat investigasi yang kurang dimanfaatkan namun kuat. Analisis yang tepat dapat mengungkap hubungan tersembunyi antar operasi.
-
Bersiaplah menghadapi musuh yang tangguh: Penggunaan mekanisme kontinjensi menunjukkan bahwa penyerang berencana melakukan gangguan. Oleh karena itu, strategi pertahanan harus menekankan ketahanan dan kemampuan beradaptasi, bukan hanya pencegahan.
Postingan di forum ini menyoroti bagaimana beberapa pelaku ancaman memprioritaskan umur operasional dibandingkan akses jangka pendek. Menurut sang aktor, kegagalan bukan disebabkan oleh kurangnya alat, namun karena disiplin yang buruk: penggunaan kembali identitas, pemisahan yang lemah, dan kesalahan operasional.
Bagi para pembela HAM, hal ini mengubah tantangannya. Karena penyerang fokus pada umur panjang, deteksi harus melampaui indikator yang terisolasi dan menghubungkan perilaku, identitas, dan infrastruktur dari waktu ke waktu.
Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.
Disponsori dan ditulis oleh Suar.
