Terungkap! Operasi Penipuan SMS Global Curi Ratusan Ribu Kartu Kredit per Bulan Lewat Teks Palsu Undangan Tilang dan Paket Gagal Kirim

JAKARTA, GENVOICE.ID - Jika Anda pernah menerima SMS mencurigakan berisi pemberitahuan denda tilang elektronik yang belum dibayar atau paket yang gagal dikirim, Anda mungkin telah menjadi target dari operasi penipuan skala besar yang kini telah mencuri jutaan data kartu kredit secara global.

Dilansir dari Tech Crunch, operasi ini dikenal melalui perangkat lunaknya yang bernama Magic Cat, sebuah sistem penipuan yang mengandalkan teknik phishing melalui SMS. Modusnya sederhana: korban menerima pesan teks seolah-olah dari instansi resmi seperti layanan pengiriman atau lembaga pemerintahan. Begitu tautan dalam pesan diklik, korban diarahkan ke halaman palsu yang meminta mereka memasukkan data kartu kredit. Dalam hitungan detik, data itu dicuri dan digunakan untuk transaksi penipuan.

Dalam periode hanya tujuh bulan sepanjang 2024, Magic Cat berhasil mencuri lebih dari 884.000 data kartu kredit, menyebabkan kerugian finansial besar bagi para korban. Namun kini, keberhasilan operasi ini justru menjadi titik lemahnya.

Melalui serangkaian kesalahan operasional, tim peneliti keamanan dari perusahaan Norwegia, Mnemonic, berhasil melacak identitas asli di balik Magic Cat. Sosok yang sebelumnya dikenal dengan nama samaran Darcula dan tampak lucu lewat avatar kucing imut di Telegram, ternyata adalah Yucheng C., warga negara Tiongkok berusia 24 tahun. Yucheng merancang dan menjual software Magic Cat ke ratusan pelanggan yang kemudian meluncurkan kampanye penipuan mereka masing-masing.

Namun, begitu identitasnya terbongkar dan dipublikasikan oleh media Norwegia, Darcula langsung menghilang, dan operasinya pun mati total, meninggalkan ratusan pelanggannya dalam ketidakpastian.

Menurut investigasi lanjutan yang akan dipresentasikan di konferensi keamanan siber Def Con di Las Vegas, munculnya sistem baru bernama Magic Mouse menandai era baru dalam penipuan digital berskala global. Magic Mouse kini mencuri setidaknya 650.000 data kartu kredit setiap bulan, membuat Magic Cat terlihat kecil sebagai pendahulunya.

Magic Mouse memang bukan buatan Darcula, namun para pengembang barunya telah mencuri dan menggunakan kembali phishing kit legendaris yang dulu membuat Magic Cat begitu efektif. Kit ini mencakup ratusan situs palsu yang meniru halaman login dari berbagai layanan populer, dari perusahaan teknologi, layanan pengiriman, hingga aplikasi pemerintah, yang dirancang untuk memancing pengguna menyerahkan data sensitif mereka.

Peneliti Mnemonic, Harrison Sand, mengungkapkan kepada TechCrunch bahwa Magic Mouse kini menggunakan puluhan ponsel yang dikendalikan secara otomatis, mengirim pesan massal ke calon korban. Mereka bahkan menemukan foto-foto dari balik layar operasi ini: deretan terminal pembayaran, rak penuh ponsel, dan dompet digital berisi ratusan kartu curian siap digunakan untuk transaksi penipuan.

Modusnya makin canggih, setelah data kartu dicuri, pelaku mengimpornya ke dompet digital di ponsel dan melakukan transaksi secara fisik di toko-toko atau mentransfer dana ke rekening pencucian uang. Semua itu dilakukan dalam skema yang sangat terorganisir.

Meski operasi ini telah merugikan konsumen secara global dan mendatangkan keuntungan besar bagi para pelaku, Sand menyayangkan minimnya respons dari aparat penegak hukum. Fokus mereka masih sebatas laporan individual, bukan pada jaringan penipuan global yang menjalankan skema ini secara sistematis.