Kartu kredit menawarkan kemudahan bagi penggunanya karena dengan kartu kredit, melakukan transaksi tidak harus dengan uang cash yang lebih sulit untuk dibawa-bawa apalagi jumlahnya mencapai puluhan juta rupiah. Dengan hanya sebuah kartu, Anda bisa berbelanja sampai puluhan dan bahkan ratusan juta rupiah, sesuai dengan platform yang diberikan oleh pihak bank.
Kemudahan ini berlaku untuk semua pihak, baik pembeli, penjual dan... carder. Pencurian dan penggunaan kartu kredit secara illegal sudah dilakukan semenjak dulu dan masih bertahan sampai dengan saat ini. Kejahatan yang dikenal dengan carding ini semakin marak pada jamannya internet.
Dalam dunia transaksi elektronik, keamanan terhadap data-data user dan data-data transaksi itu sendiri sudah di terapkan bahkan di terus ditingkatkan dari waktu ke waktu. Penerapan system SSL untuk memastikan jalur yang dilalui oleh data penting ini aman dari hacker, penerapan system validitasi kartu itu sendiri dari pihak ke tiga, penerapan Address Verification Services di level payment gateway untuk membandingkan informasi yang diberikan oleh user dengan data kartu user itu sendiri, belum lagi Fraud Detection system yang begitu " cerewet " dan susah untuk diajak " kolusi ". System ini bertugas mendeteksi beberapa hal yang janggal seperti Shipping-Billing Mismatch Filter yang mengidentifikasi perbedaan alamat pengiriman dengan alamat tagihan kartu atau biling statement, Trancsaction IP Velocity Filter yang mendeteksi adanya aksi " borong " belanja dengan kartu yang berbeda tapi menggunakan Internet protokol yang sama, dll.
Pertanyanya, kenapa aksi carding terus terjadi dan makin di minati? bukankah dengan pengamanan " segede gaban " dan mesiu yang ngga main-main tersebut mustinya membuat mati kutu para carder? apa yang menyebabkan aksi carding ini terkesan " ngga ada matinye "?
Kalo begitu mari kita terjun langsung ke lapangan
Saya yakin pembaca blog ini bukan carder dan tidak tertarik untuk menjadi carder, tetapi dalam menjawab hal di atas kita harus menyelami cara carder bekerja dari mulai cara mendapatkan kartu sampai memilh sasaran penipuan.
Untuk mendapatkan data-data kartu kredit, ada banyak cara, dari mulai masuk ke forum-forum underground, masuk ke IRC chat, atau " mungutin " di cache google dengan keyword tertentu seperti, /cvv2.txt, /mysql/shopping.mdb, /database/shopping350.mdb, atau membuat toko online palsu untuk menarik calon pembeli yang tidak jeli dan mendapatkan data-data kartu kreditnya, sampai cara yang lebih " jantan " yaitu mendobrak langsung database dari situs e comerce yang mempunyai celah keamanan pada aplikasi situsnya. OK, kita pilih cara yang terakhir dan kebetulan tersedia contoh nyata khusus untuk penulisan ini.
Carder bisa masuk dan mengerxtract data kartu kredit seperti yang diperlihatkan pada gambar di atas. Database yang saya dapatkan ini berasal dari sebuah toko online yang masih aktif, artinya database berisi data kartu kredit yang masih valid dan siap " gesek ".
Sekali lagi, dalam transaksi elektronik, perlindungan kepada pemilik kartu yang sah/customer, di fokuskan hanya pada level payment gateway. Gateway ini melakukan serangkaian ujian dan pencocokan data kartu terhadap siapapun yang menggunakan jalur ini tidak peduli itu pemilik sah dari kartu atau carder.
Yang jadi masalah adalah perlindungan maksimal penggunaan kartu kredit, tidak di ikuti di level aplikasi web sehingga dengan cerdiknya, carder tinggal mencari kelemahan pada titik yang paling lemah ini. ( hacking seputar kelemahan web aplikasi bisa Anda baca di blog ini juga ).
Tidak heran, bila sebagian besar carder menargetkan sasarannya pada situs-situs penjualan online yang tidak terlalu besar karena pengamanan yang biasanya jauh lebih lemah dibandingkan dengan situs besar seperti ebay, yahoo, paypal, dan lain sebainya.
Card verification ala carder
Sebagai carder, bahaya juga selalu mengintai karena bayarannya adalah penjara. Tidak heran, para carder biasanya cukup teliti dan berhati-hati dalam membelanjakan data data curian yang didapatkan. Ada sebuah " grammer " tersendiri di sini bahwa transaksi tidak boleh menimbulkan error apapun. Error bisa disebabkan karena kartu yang digunakan sudah tidak valid, kadaluarsa, limit belanja yang habis atau bahkan kartu kredit palsu.
Agar tidak menimbulkan kecurigaan akibat banyaknya kegagalan yang terjadi, para carder seringkali melakukan verifikasi kartu kredit yang didapatkan. Carder bisa memanfaatkan yahoo wallet ( http://wallet.yahoo.com ), ebay ( www.ebay.com ), dll.
Untuk menguji kecocokan antara nomer kartu kredit dan type kartu, carder melakukannya dengan mudah dengan melihat 2 digit awal dari 16 digit nomer kartu. Sebagai contoh, : 528722xxxxxxxxxx menunjukan Mastercard, 60110xxxxxxxxxxx menunjukan Discovercard, dll. Selain secara manual, pengecekan juga bisa dilakukan secara online seperti yang ditunjukan oleh gambar dibawah.
Sebenarnya carder jaman sekarang mempunyai banyak kendala dalam membelanjakan kartu curiannya, kita bicara untuk wilayah nasional Indonesia tentunya. Indonesia sudah dikenal di manca negara sebagai salah satu negara asal carder dan ini menyedihkan.
Dampak dari ' predikat ' ini adalah shiping atau pengiriman barang ke wilayah Indonesia di tolak dan bahkan seluruh transaksi dengan alamat IP asal Indonesia akan ditolak secara otomatis dan tidak di tanggapi. Walaupun menggunakan proxy, Fraud detection system tetap melakukan pembatasan wilayah pengiriman. Ruang gerak carder menjadi sempit, kartu kredit menjadi data yang tak berguna, termasuk orang-orang jujur yang memang ingin berbelanja secara sah dan jujur.
Benarkah data kartu kredit menjadi tak berguna?
Tidak bisa dipungkiri banyak toko online yang menutup akses untuk wilayah pengiriman barang ke Indonesia, tapi itu bukan berarti tidak ada yang mau sama sekali. Beberapa situs seperti situs dari hongkong menjadi favorit carder.
Demi mendapatkan keuntungan dari data kartu yang dimilikinya, carder sangatlah kreatif. Transaksi barang boleh saja gagal, tapi " meng-uangkan " kartu kredit illegal ini tetap bisa di lakukan dengan banyak cara. Sebagai contoh, beberapa transaksi favorit yang dilakukan para carder seperti belanja domain atau hosting di luar negeri untuk dijual kembali ke dalam negeri dengan harga murah, belanja file hosting, Live adult Chat account ( chating porno ) yang per-accountnya di jual sekitar 20 ribu sampai 100 ribu rupiah tergantung life time dari account tersebut, membeli proxy berbayar untuk keperluan carding atau menjual kembali ke pengguna proxy lain yang biasannya berbentuk Egold. Penggunaan Egold sangat disukai karena masalah kemanan.
Carding terus tumbuh subur seiring kemiskinan materi maupun moral negeri ini. Dia terus melakukan penetrasi pembongkaran data-data pribadi dengan pola baru, phising, scam, dll. Anda juga bisa " belajar " dari para carder ini tentang bagaimana bernegosiasi dengan calon korban. Kalau Anda jarang mendapatkan SPAM Anda bisa membaca spambox di alamat http://oss.sgi.com/archives/mbox/lockmeter/2007-09 untuk sekedar mengetahui akal bulus penjahat kerah putih ini.
0 komentar:
Posting Komentar