berharga. Saat file dihapus pada disk, ruangnya ditandai sebagai kosong di indeks disk.

Data tidak benar-benar dihapus dari disk karena penghapusan akan memakan waktu tambahan
yang tidak diperlukan. Data tetap dapat diakses dalam utilitas pemulihan khusus sampai program
lain menulis ke lokasi disk tersebut. Fakta ini sangat penting bagi pemeriksa penipuan karena
subjek dapat menghapus file penting dalam upaya menyembunyikan penipuan mereka.

Nomor cyclic redundancy check (CRC) adalah perhitungan (menggunakan algoritma

enkripsi) berdasarkan konten disk atau file. Nomor CRC direkayasa sehingga perubahan kecil
dalam data sumber akan menghasilkan hasil checksum yang berbeda secara signifikan.

Checksum telah digunakan dalam kasus pengadilan untuk membuktikan bahwa data tidak
terpengaruh secara merugikan selama analisis. Dengan segera menghitung nomor checksum,
Anda dapat membuktikan nanti (1) bahwa hard drive hasil kloning sama persis dengan drive asli
(dengan menjalankan checksum di kedua drive dan membandingkan) dan (2) bahwa Anda belum
mengubah data sejak hard drive tersebut digunakan. disita. Checksum memiliki berbagai macam
kegunaan; misalnya, mereka merupakan bagian integral dari Internet karena memastikan bahwa
paket data tidak diubah selama transit dari satu komputer ke komputer lainnya. Checksum
dihitung dan dikirim bersama paket. Perangkat penerima menghitung ulang CRC dan
membandingkannya dengan nomor yang dikirim. Jika keduanya berbeda, data kemungkinan
besar rusak saat transit, dan pihak penerima secara otomatis meminta paket untuk dikirim.

Dua metode checksum utama yang digunakan saat ini adalah algoritma MD5 dan SHA-1.
MD5 adalah algoritma yang lebih tua; SHA-1 dikembangkan untuk menggantikannya, dan sering
dianggap lebih canggih dan aman. Keduanya biasa digunakan dalam forensik. Tabel 7.3
menunjukkan hasil SHA-1 untuk dua kalimat. Perhatikan bahwa perubahan hanya dalam dua
huruf menghasilkan hasil yang sangat berbeda. Hasil SHA-1 selalu memiliki panjang yang sama
terlepas dari panjang input data. Hasilnya adalah angka yang biasanya ditampilkan dalam basis
16 (heksadesimal).

Step 3: Search the Device Manually

Karena paket perangkat lunak membuatnya sangat mudah untuk menjalankan pencarian
otomatis, banyak penyelidik melewatkan langkah analisis yang paling jelas dan paling
bermanfaat: mencari hard drive secara manual. Setiap sistem operasi memiliki tata letak direktori
umum yang membantu dalam penyelidikan.

Misalnya, semua sistem operasi modern umumnya menyimpan dokumen di direktori "Dokumen"
secara default. Grafik dan gambar disimpan di direktori "Pictures", dan film disimpan di direktori
"Videos". Mencari lokasi umum ini secara manual memungkinkan penyidik menggunakan
intuisi manusia saat melakukan pencarian. Pencarian otomatis, meskipun juga berguna,
terkadang mengabaikan kecocokan yang mendekati hasil pencarian manusia.

Area umum disk yang akan dicari meliputi:

• Log komputer seperti aktivitas Web, file terbaru di menu Start, favorit Web, dan riwayat
browser. Riwayat browser sering kali menyoroti keberadaan akun email online, penyimpanan
data online, pencarian umum, atau lokasi berguna lainnya.

• Dokumen, Video, Gambar, dan folder terkait karena sebagian besar aplikasi menyimpan data
ke lokasi ini.

• Tempat sampah atau tempat sampah.

• Kunci USB, CD, atau media lain yang ditemukan di sekitar komputer.

• File yang baru dimuat tercantum dalam menu "File" di banyak aplikasi (seperti Microsoft Word
atau Excel).

• Log obrolan dan cache klien email. Misalnya, sebagian besar klien Instant Messenger
menyimpan percakapan di latar belakang.
Step 4: Search the Device Using Automated Procedures

Setelah metode pencarian manual habis, penyidik harus mencari seluruh hard drive
(termasuk ruang "kosong") menggunakan kata kunci dan pencarian otomatis lainnya. Misalnya,
dalam kasus yang melibatkan interaksi antara DaveSmith dan JanJohansen, pencarian kata kunci
untuk nama-nama ini dalam dokumen yang sama berguna. Karena paket perangkat lunak
investigasi modern mengindeks seluruh hard drive untuk kata kunci, pencarian ini dapat
dilakukan dengan cepat dan mudah. Beberapa paket mendukung penggunaan bahasa pencocokan
pola yang kuat, pencarian kedekatan kata kunci, atau bahkan pemahaman kalimat menggunakan
pemrosesan bahasa alami (seperti menemukan contoh kata "pembelian" hanya jika digunakan
sebagai kata benda). Selain itu, paket perangkat lunak biasanya menyajikan statistik ringkasan
tentang hard drive (jumlah dokumen, spreadsheet, file yang terakhir dibuka, dll.). Mereka
menemukan dan menampilkan file umum di area seperti galeri gambar dari setiap file grafik
pada hard drive. Lihat dokumentasi perangkat lunak Anda untuk kemampuan pencariannya.

Forensic Software Packages

Forensik komputer adalah bidang yang berkembang pesat dengan banyak vendor
perangkat lunak. Banyak universitas sekarang memiliki gelar atau spesialisasi di bidang forensik
komputer. Sementara perangkat lunak baru terus dikembangkan untuk forensik, Edisi Forensik
Perangkat Lunak Panduan dan The Forensic Toolkit (FTK) AccessData umum digunakan saat
ini. Paket perangkat lunak ini menuntun penyelidik melalui seluruh proses yang dijelaskan
sebelumnya dan memastikan bahwa langkah-langkah penting diikuti dengan benar. Mereka
mendukung tugas kloning, penghitungan CRC, dan pencarian menggunakan berbagai metode.

Banyak paket open source juga tersedia untuk forensik komputer. Beberapa di antaranya, seperti
Helix e-fense Inc. atau BackTrack dari Remote-Exploit.org, hadir sebagai CD yang dapat di-boot
yang mendukung penyelidikan dan penelusuran komputer. Misalnya, Helix digunakan untuk
menyelidiki panggilan telepon yang dilakukan ke Puerto Rico dalam kasus yang dijelaskan di
awal bab ini. Karena manajemen belum siap untuk memulai kasus (mis., Menyita komputer,
mengkloning data, dll.), Penyelidik menggunakan CD yang dapat di-boot untuk mem-boot
komputer, melewati sandi, dan mencari drive tanpa pernah memulai sistem operasi normal. CD
ini umumnya memiliki alat yang sangat canggih untuk memecahkan kata sandi, mencari
menggunakan metode yang disebut ekspresi reguler, dan program analisis jaringan. Solusi open
source umumnya tidak semudah digunakan seperti EnCase atau FTK, dan tidak memiliki
prioritas yang sama di pengadilan. Namun, mereka sangat berguna di tangan yang tepat dan
dalam situasi yang tepat.

E-mail Systems

Sistem email sering kali terbukti menjadi gudang komunikasi yang luar biasa antara
tersangka dan orang lain. Sungguh mengejutkan betapa banyak orang yang masih percaya email
sebagai metode komunikasi yang aman. Satu email bisa menjadi senjata api yang mendasari
seluruh kasus.

Dalam dunia media elektronik saat ini, email harus selalu dipertimbangkan selama penyelidikan.
Saat ini, banyak metode komunikasi yang berbeda di luar email tradisional — seperti pesan teks
— sedang dianalisis selama penyelidikan. Misalnya, di beberapa negara, lebih banyak orang
yang memiliki telepon seluler daripada komputer. Akibatnya, pesan teks digunakan lebih dari
sekadar email biasa dan menyediakan sumber informasi yang lebih baik untuk penyelidikan.
Terlepas dari media yang diinvestigasi, prosesnya secara umum sama.

E-mail diberikan pertimbangan khusus karena salinan sering ada di banyak tempat: di
komputer pengirim, di dua (atau lebih) server e-mail yang terlibat dalam transmisi, dan di
komputer penerima. Dengan beberapa server email, pesan hanya berada di server; merebut
laptop klien tidak akan memungkinkan Anda untuk mencari email. Bicaralah dengan personel
dukungan TI Anda untuk memahami jenis email yang digunakan dalam setiap kasus dan
bagaimana email itu dapat dicari. Satu jenis email, email berbasis web dalam browser pengguna,
sangat sulit untuk dicari. Hotmail, Yahoo! Mail, dan Gmail adalah contoh dari jenis email ini.
Dalam kasus ini, semua email disimpan di situs penyedia, dan Anda mungkin memerlukan surat
perintah untuk mengaksesnya. Namun, beberapa informasi mungkin masih ada di hard drive
dalam bentuk halaman Web cache dan dapat ditemukan dengan pencarian kata kunci. Faktanya,
pengguna bahkan mungkin telah menyimpan sandi Webmail-nya — menggunakan browser Web
pengguna ke situs Webmail-nya dapat mengisi otomatis kolom nama pengguna dan sandi.
Legalitas pendekatan ini dan semua pendekatan yang dibahas dalam bab ini berbeda-beda
berdasarkan negara dan situasi Anda. Selalu tanyakan kepada penasihat hukum untuk
memastikan bahwa metode yang Anda rencanakan adalah legal dan etis.

A Comprehensive Example of Using Theft Act Investigation Methods

Untuk menyimpulkan bab ini dan mengilustrasikan nilai metode investigasi tindakan
pencurian, mari kita tinjau kutipan dari artikel yang ditulis oleh Thomas Buckhoff dan James
Clifton yang muncul di The CPA Journal berjudul "Exotic Embezzling: Investigating Off-Book
Fraud Schemes." Para penyelidik dalam kasus penipuan ini memanfaatkan pengawasan dan
pengintaian secara ekstensif.

Pemeriksa kecurangan memutuskan bahwa akan relatif mudah bagi karyawan untuk mencuri dan
tidak tertangkap, berdasarkan tingkat kontrol yang mereka temukan. Mereka mengembangkan
teori penipuan berikut:

• Karyawan yang mengumpulkan biaya penutup $ 6 dapat mengantongi sebagian uang atau
mengizinkan masuk gratis ke teman.

• Pelayan dan bartender bisa mendapatkan minuman untuk pelanggan, bukan memasukkan
mereka ke dalam register, dan mengantongi uang tunai yang diterima dari pelanggan.

• Siapapun yang memiliki akses ke mesin kasir (yaitu, server, bartender, dan manajer) dapat
dengan mudah mengambil uang tunai langsung dari mesin kasir.

• Manajer dapat melakukan skema apa pun yang tersedia bagi karyawan dan dapat mencuri
sebagian dari deposit

Collecting and Evaluating Evidence

Metode investigasi tidak langsung digunakan untuk menguji empat teori penipuan yang
mungkin. Analisis laporan keuangan adalah salah satu metode yang dapat digunakan untuk
menguji keempat teori kecurangan yang disajikan. Jika karyawan benar-benar mencuri uang
tunai dari klub, maka rasio markup-over-cost penjualan yang sebenarnya diharapkan lebih kecil
dari rasio yang dianggarkan. Karenanya, penyelidik penipuan menentukan rasio biaya markup
aktual untuk penjualan bir dan makanan. Bir dibeli seharga $ 0,60 per botol dan kemudian dijual
kepada pelanggan seharga $ 3 masing-masing, dengan markup 500 persen. Item makanan
seharga $ 5 dijual kepada pelanggan seharga $ 12,50, markup 250 persen. Pendapatan yang
dianggarkan untuk satu tahun dihitung, berdasarkan biaya penjualan dan rasio markup yang
diharapkan, lalu dibandingkan dengan pendapatan aktual satu tahun. Perbedaan signifikan dalam
rasio jelas mendukung teori penipuan — faktanya, penjualan makanan lebih rendah daripada
biaya penjualannya! Dengan menggunakan metode investigasi tidak langsung ini, perkiraan total
kerugian penipuan tahunan karena skimming atau perampokan tunai adalah $ 379.974.

Para penyelidik sekarang tahu bahwa klub memiliki masalah besar dengan penipuan;
menentukan karyawan mana yang bertanggung jawab datang berikutnya. Pengawasan yang
menyamar dapat digunakan secara efektif untuk mengidentifikasi karyawan yang tidak jujur.
Menyamar sebagai pelanggan, sebuah tim yang terdiri dari enam penyelidik penipuan terlatih
(dengan pengalaman sebagai bartender dan server) menghabiskan 40 jam seminggu di klub
untuk mengamati aktivitas dan perilaku karyawan. Pengawasan ini mengungkapkan bahwa 90
persen dari mereka, termasuk manajer, secara teratur mencuri uang dari klub, dengan sedikit
memperhatikan kehalusan. Alasan bahwa karyawan tidak pernah mengeluh tentang tingkat gaji,
meskipun gaji pokok rendah dan tidak ada kenaikan gaji, menjadi jelas. Faktanya, beberapa
server dan bartender telah ada selama bertahun-tahun, yang sangat tidak biasa untuk klub jenis
ini. Penyelidik utama mengkomunikasikan temuan mereka kepada Swenson, yang, meskipun
khawatir, enggan untuk mengambil tindakan tanpa bukti yang lebih substantif dari pencurian
karyawan. Untuk lebih tegas menetapkan kerugian penipuan dan memperkirakan jumlahnya,
penyelidik penipuan melakukan pengawasan selama seminggu. Sebagaimana dibahas, dalam
pengintaian, kas yang diterima dan disimpan selama periode pengintaian dibandingkan dengan
periode sebelum dan sesudah. Sebagai metode investigasi tidak langsung, invigilation bisa sangat
efektif dalam memperkirakan kerugian akibat penipuan. Kunci sukses invigilation adalah
membuat karyawan berpikir bahwa pencurian selama periode tersebut akan terdeteksi.
Penanaman persepsi deteksi dalam kasus ini dilakukan dengan mengirimkan tim yang sama yang
terdiri dari enam penyelidik untuk mengawasi karyawan selama satu minggu. Karyawan dan
manajer klub diberi tahu bahwa para penyelidik ada di sana untuk memastikan bahwa setiap
dolar yang dikumpulkan dari pelanggan berhasil masuk ke bank pada akhir hari dan bahwa
perubahan dalam persediaan habis pakai telah diperhitungkan dengan benar. Selama pengintaian,
penyidik dengan mencolok mengamati karyawan yang menangani uang tunai, melakukan
penghitungan uang tunai mendadak, merekonsiliasi perubahan inventaris ke kaset kasir,
memantau penghitungan kas akhir malam, dan menyaksikan setoran tunai harian.

Hari pertama membawa insiden yang sangat meningkatkan persepsi pendeteksian.

Makanan disajikan di lantai bawah, jauh dari area hiburan live. Mencurigai server tunggal yang
bekerja di lantai bawah mengambil uang dari penjualan makanan, salah satu penyelidik
melakukan penghitungan uang tunai mendadak dan mendamaikan uang tunai yang dibunyikan
ke dalam register ke makanan yang disiapkan oleh para juru masak. Server telah meraup $ 25
pada jam pertama dia bekerja. Saat dihadapkan dengan bukti, server mengaku dan segera
dihentikan. Berita dengan cepat menyebar ke karyawan lain, yang menyadari bahwa aktivitas
mereka memang dalam pengawasan ketat. Tidak ada karyawan lain yang ketahuan menggeledah
selama sisa pengintaian. Selama malam pertama pengintaian, pada hari Jumat, $ 8.300 uang
tunai disetorkan ke bank — jumlah terbesar untuk satu malam dalam 15 tahun sejarah klub. Ini
terjadi pada apa yang dianggap sebagai malam yang "lambat" — tidak seperti minggu
sebelumnya, yang memiliki penonton yang hampir mencapai rekor. Manajer dan karyawan
semua segera menyadari bahwa membuat rekor seperti itu di malam yang lambat berdampak
buruk pada mereka. Ini meyakinkan Swenson bahwa karyawannya mencuri darinya, dan dia
ingin memecat semua orang saat itu juga. Para penyelidik membujuknya untuk membiarkan
pengintaian berlanjut selama seminggu penuh seperti yang direncanakan. Hasil pencarian selama
seminggu diringkas sebagai berikut: Penerimaan kas kotor selama pengintaian adalah $ 30.960,
dibandingkan dengan $ 25.775 pada minggu sebelumnya dan $ 22.006 untuk rata-rata mingguan
tahunan. Pendapatan selama minggu pengintaian melebihi pendapatan mingguan rata-rata
sebesar $ 8.954 dan pendapatan minggu sebelumnya sebesar $ 5.185, meskipun merupakan
minggu yang lambat. Perbedaan di atas menyiratkan bahwa $ 259.250 dan sebanyak $ 447.700
kimmed per tahun. (Setelah perubahan diterapkan setelah penyelidikan, penjualan sembilan
bulan yang tersisa lebih tinggi $ 300.000 daripada periode yang sama di tahun sebelumnya.)
Swenson tidak lagi meragukan bahwa karyawannya mencuri darinya. Seperti disebutkan
sebelumnya, Swenson mengalami kesulitan untuk memercayai manajernya mencuri karena
upayanya untuk membebaskan klub dari peraturan kota. Jelaslah bahwa upaya ini dimotivasi
oleh keinginan untuk melindungi arus kas gelapnya. Wawancara karyawan diadakan selama
minggu invigilasi.
 Tujuan mereka ada dua: untuk lebih meningkatkan persepsi pendeteksian selama periode
invigilation dan memberikan kesempatan kepada karyawan untuk melaporkan aktivitas
penipuan. Pertanyaan yang sangat spesifik ditanyakan selama wawancara, berdasarkan informasi
dari pengawasan penyamaran sebelumnya dan penelusuran yang sedang berlangsung. Meskipun
tidak ada yang mengaku mencuri, mereka melibatkan sesama karyawan; banyak yang
mengklaim bahwa manajer Betsy Smith adalah pencuri utama. Selama wawancaranya, Betsy
Smith dihadapkan pada bukti dari pengawasan rahasia, invigilation, dan wawancara karyawan.
Setelah dua jam, dia mengaku mencuri hampir $ 100.000 selama tiga tahun. Pengakuannya
diubah menjadi pernyataan tertulis, yang akhirnya dia tanda tangani. Pernyataan itu merinci
jumlah yang telah dia skim, ketika dia melakukannya, dan berbagai teknik (skimming dari
penjualan minuman keras, deposito bank, penjualan video, dan pengiriman makanan) yang telah
dia gunakan. Ringkasan terlampir menjumlahkan dana yang disaring berdasarkan sumber.
Karena bukti yang dikumpulkan dalam menyelesaikan skema penipuan off-book sebagian besar
tidak langsung dan tidak langsung, mendapatkan pernyataan penerimaan yang ditandatangani
sangat memudahkan pengajuan klaim asuransi ketidakjujuran karyawan atau tuntutan pidana.
Dalam kasus ini, klaim tersebut diajukan oleh penyelidik penipuan atas nama Northern
Exposure. Perusahaan asuransi mengembalikan Eksposur Utara untuk jumlah pertanggungan
maksimum yang diberikan oleh polisnya, $ 50.000. Jelas, jumlah pertanggungan tidak
mencukupi mengingat eksposur risiko untuk bisnis padat uang semacam itu. Sebagaimana
diwajibkan oleh penyedia asuransi, bukti yang dikumpulkan selama pemeriksaan penipuan
diserahkan ke penegak hukum setempat untuk dituntut.

Review of the Learning Objectives

• Diskusikan metode investigasi pencurian dan bagaimana metode itu digunakan untuk
menyelidiki dugaan penipuan. Metode investigasi tindakan pencurian mencakup aktivitas yang
secara langsung menyelidiki elemen penipuan (bukan penyembunyian atau konversi). Tujuan
mereka adalah untuk menangkap pelaku yang “sedang bertindak” melakukan penipuan dan
memasukkan metode investigasi seperti pengawasan, pengintaian, mendapatkan bukti fisik
(misalnya, jejak ban, kunci yang rusak, dll.), Dan mengumpulkan bukti elektronik (misalnya,
email , pesan teks, dll.)
• Memahami bagaimana mengkoordinasikan investigasi, menggunakan grafik kerentanan. Saat
memulai investigasi penipuan, penyidik biasanya mencoba mengembangkan teori tentang siapa
yang melakukan penipuan, bagaimana penipuan dilakukan, dll. Salah satu cara untuk melakukan
ini adalah dengan menyiapkan bagan kerentanan yang mengoordinasikan semua elemen
penipuan: aset mana yang diambil, siapa yang memiliki peluang pencurian, kemungkinan
metode pencurian, kemungkinan penyembunyian, kemungkinan konversi, gejala yang diamati,
tekanan pada berbagai individu, rasionalisasi yang didengar atau bisa dibenarkan seseorang
untuk melakukan tindakan tersebut, dan kontrol internal utama yang hilang atau bisa saja diganti.
Seringkali, mengikat elemen-elemen ini menjadi indikasi awal siapa yang mungkin melakukan
penipuan.

• Menjelaskan sifat operasi pengawasan dan rahasia. Operasi pengawasan dan rahasia adalah
metode investigasi tindakan pencurian yang biasanya melibatkan pengamatan atau
mendengarkan calon pelaku. Metode pengawasan dan operasi rahasia yang mungkin termasuk
merekam percakapan, membuntuti, menggunakan kamera, menggunakan agen yang menyamar,
atau mengamati individu dalam berbagai pengaturan.

• Memahami efektivitas invigilation untuk menyelidiki penipuan. Agar penipuan terjadi, tiga
elemen diperlukan: tekanan, peluang, dan rasionalisasi. Invigilation melibatkan penerapan
prosedur kontrol atau pengamatan yang kuat sehingga penipuan tidak mungkin dilakukan atau
terlihat jelas saat dilakukan. Invigilation memungkinkan penyelidik untuk membandingkan hasil
sebelum menerapkan kontrol, saat menerapkan kontrol penghilang penipuan, dan periode pasca
ketika kontrol pembatasan penipuan dicabut. Invigilation memungkinkan penyidik untuk
membandingkan hasil (keuntungan, pergerakan inventaris, pendapatan, dll.) Saat penipuan
sedang dan tidak terjadi. Selain membantu penyidik memahami jika terjadi penipuan,
pengintaian juga dapat membantu memperkirakan jumlah penipuan.

• Menjelaskan bagaimana mendapatkan bukti fisik dan bagaimana bukti tersebut dapat
digunakan dalam investigasi penipuan. Penyidik penipuan biasanya tidak terlalu terbiasa dengan
pengumpulan bukti fisik seperti jejak ban, kunci yang rusak, noda, sidik jari, dll. Akibatnya,
paling sering, penyidik penipuan menggunakan petugas atau konsultan penegakan hukum untuk
mendapatkan bukti fisik.
• Memahami cara mengambil dan menganalisis informasi elektronik dari ponsel, hard drive,
email, dan sumber lainnya. Bukti elektronik adalah bukti yang sangat berguna yang, karena sifat
teknisnya, biasanya melibatkan personel pendukung TI dan penasihat hukum dalam pertemuan.
Ada beberapa langkah dalam mengumpulkan bukti elektronik: (1) mengamankan perangkat, (2)
mengkloning perangkat (ponsel, komputer, dll.) Dan menghitung checksum CRC, (3) mencari
perangkat secara manual, dan (4) mencari perangkat menggunakan prosedur otomatis.