Warga Nigeria Divonis 8 Tahun Penjara karena Retas Firma Pajak AS

Seorang warga negara Nigeria dijatuhi hukuman delapan tahun penjara oleh pengadilan federal Amerika Serikat setelah terbukti meretas sejumlah firma penyedia jasa pajak di Massachusetts dan mengajukan ribuan pengembalian pajak palsu senilai lebih dari USD 8,1 juta.

Matthew Abiodun Akande (37) ditangkap pada Oktober 2024 di Bandara Heathrow, London, sebelum diekstradisi ke Amerika Serikat pada Maret 2025. Ia sebelumnya telah didakwa oleh dewan juri federal pada Juli 2022, saat masih tinggal di Meksiko.

Ribuan Pengembalian Pajak Fiktif

Berdasarkan dokumen pengadilan, antara Juni 2016 hingga Juni 2021, Akande berhasil mengakses sistem beberapa firma pajak dan mencuri data pribadi klien mereka.

Informasi yang dicuri tersebut kemudian digunakan untuk mengajukan lebih dari 1.000 pengembalian pajak palsu. Dari skema tersebut, ia dan rekan-rekannya berhasil memperoleh lebih dari USD 1,3 juta dalam bentuk pengembalian pajak yang tidak sah.

Gunakan Malware Warzone RAT

Untuk menembus jaringan perusahaan target, Akande membeli lisensi malware remote-access trojan (RAT) bernama Warzone serta perangkat lunak enkripsi (crypter) guna menyamarkan malware agar tidak terdeteksi oleh solusi antivirus korban.

Ia kemudian mengirim email phishing yang menyamar sebagai CEO sebuah perusahaan arsitektur dan teknik di Massachusetts kepada empat firma pajak. Untuk memperkuat kredibilitas, Akande menggunakan domain dan akun email yang meniru nama eksekutif tersebut.

Dalam email tersebut, ia melampirkan dokumen pajak asli tahun 2019 milik eksekutif, termasuk formulir W-2 dan 1099. Korban diarahkan untuk mengakses tautan Dropbox yang diklaim berisi dokumen pajak tahun sebelumnya.

Namun, tautan tersebut sebenarnya mengarah pada file eksekusi terselubung yang secara diam-diam menginstal malware RAT ke dalam jaringan perusahaan korban.

Akses Data Sensitif Klien

Setelah berhasil masuk ke sistem, Akande menggunakan Warzone RAT untuk mencuri nomor Social Security serta data pajak tahun-tahun sebelumnya milik klien firma tersebut.

Data yang diperoleh kemudian dimanfaatkan untuk mengajukan klaim pengembalian pajak fiktif senilai lebih dari USD 8,1 juta.

Dana hasil penipuan tersebut disalurkan ke rekening bank yang dikendalikan oleh rekan konspirator di Amerika Serikat. Uang tersebut kemudian ditarik secara tunai dan sebagian dikirim ke Meksiko sesuai instruksi Akande.

Hukuman dan Restitusi

Hakim Pengadilan Distrik AS, Indira Talwani, menjatuhkan hukuman delapan tahun penjara kepada Akande, disertai tiga tahun masa pengawasan setelah bebas.

Selain itu, ia juga diperintahkan membayar restitusi hampir USD 1,4 juta sebagai bagian dari putusan pengadilan.

Kasus ini kembali menyoroti bagaimana serangan phishing yang dikombinasikan dengan malware jarak jauh dapat dimanfaatkan untuk membobol sistem perusahaan dan mengeksploitasi data sensitif dalam skema penipuan pajak berskala besar.