Upaya-Upaya Melawan Pencuri Kartu Kredit


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Friday, November 17th, 2006
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Dalam kesempatan ini saya akan membahas seputar upaya-upaya yang banyak dilakukan untuk mencegah pencurian kartu kredit. Ruang lingkup pembahasan saya kali ini adalah:

  1. Protokol SET
  2. CC Virtual

 Setelah membaca artikel ini, diharapkan para newbie carder dapat menemukan salah satu jawaban atas pertanyaan yang juga sering ditanyakan oleh kebanyakan newbie:

“Mengapa dari sekian banyak cc number yang berhasil saya ambil hanya sedikit CC valid yang saya dapatkan?”

Masalah apa yang selama bertahun-tahun selalu hangat dibicarakan dalam perkembangan toko online? Apalagi jika bukan pencurian data kartu kredit pelanggan. Bermunculan banyak sekali carder-carder dari seluruh dunia, baik atas nama perorangan maupun organisasi.

Bagi Indonesia sendiri, besarnya frekuensi pencurian yang dilakukan para carder Indonesia berakibat sangat buruk. Indonesia menjadi tidak dipercaya oleh banyak pemilik toko-toko online di negara-negara lain. Mereka lebih sering menolak untuk bertransaksi dengan pembeli dari Indonesia.

Carding memang bukan hal yang suit dilakukan. Hampir setiap hari terjadi pencurian CC walaupun jarang diliput oleh media. Teknik yang paling populer ialah dengan merambah web target, SQL Poisoning, Mencari File log transaksi & konfigurasi troli belanja, dll..

Beberapa carder Elite mampu memesan barang dengan mendapatkan potongan harga 99%, tentu saja “potongan harga” disini didapatkan dengan teknik khusus, yaitu dengan memanfatkan kelemahan validasi input. Semasa saya masih aktif di Crack Sky dulu (2002) tehnik potongan harga ini begitu populer. Namun untuk saat ini toko-toko elektronis sudah mengalami kemajuan dalam menerapkan validasi input.

Dalam upaya melawan carder, ada dua cara yang cukup inovatif:

1. Menggunakan Protokol SET (Secure Electronic Transaction)

Ilustrasi dari penerapan protokol ini ialah:

Pelanggan melakukan pembayaran → sistem SET pada komputer pelanggan mengirimkan pesan pada penjual untuk menyediakan rincian transaksi dan salinan sertifikat digital pelanggan → Penjual mengirim permintaan ke institusi finansial miliknya → Institusi finansial itu kemudian meminta otorisasi dari intitusi finansial pelangan → terjadi persetujuan.

Dari ilustrasi diatas kita bisa melihat bahwa tidak pernah ada rincian kartu kredit yang dikirimkan. Cara ini tergolong cukup aman, namun seperti biasa, keamanan selalu berbanding terbalik dengan kenyamanan. Protokol SET dirancang supaya sang pedagang tidak menerima informasi kartu kredit yang sebenarnya. Proses transaksi ini agak rumit dan protokol ini juga membutuhkan dukungan software yang berat. Pelangan, Penjual dan Intitusi finansial, masing-masing emmbutuhkan PKI. Inilah sebabnya protokol ini sulit untuk diterapkan, dan ini bukan cara yang menyenangkan untuk berbelaja.

2. CC Virtual (CC sekali pakai)

Ilutrasi penggunaan CC virtual ialah:

Pelanggan mendaftarkan diri dan mengakses CC milik situs web perusahaan → Pelanggan memasukkan informasi-informasi seperti jumlah uang yang akan dibayarkan dan validitas pembayaran → perusahaan membuat CC sekali pakai yang telah disahkan hanya untuk sekali transaksi → CC virtual dipakai berbelanja olh pelangan → Intitusi finansial penjual mengirim verivikasi pada perusahaan CC virtual pelanggan → proses pembayaran terjadi secara normal → CC virtual yang telah digunakan dimusnahkan leh perusahaan CC.

Salah satu jenis layanan CC sekali pakai ialah CC virtual yang dikeluarkan oleh Discover (Discover-Card[dot]com). CC virtual dikeluarkan oleh prusahaan CC sekali pakai saat pelanggan bermaksud melakukan pembayaran (transaksi online). Nomor CC virtual ter-link dengan CC asli pelanggan. Hanya saja pelanggan akan menerima nomor CC virtual yang berbeda setip kali transaksi hinga masa berlaku keangotanya habis. Sesuai dengan namanya, CC sekali pakai tidak akan berfungsi untuk kedua kalinya setelah digunakan pada transaksi pertama. CC tersebut akan musnah, dan hanya akan menjadi nomor sampah. “Nomor-nomor sampah” inilah yang biasanya didapat oleh para pemula yang coba-coba carding.

Inilah salah satu sebab mengapa banyak newbie yang kecewa karena tak satupun ditemukan nomor CC yang masih valid dari sekian banyak nomor CC yang ditemukan dalam log transaksi orang lain. Mungkin ini bisa dijadikan semacam “hukuman” bagi para Lamer. Waktu mereka untuk mengumpulkan dan mencoba satu persatu dari puluhan kartu kredit itu akan terbuang percuma :-P Seorang Carder profesional tentu memiliki cara sendiri unuk mendapatkan nomor CC yang valid tanpa harus banyak membuang waktu.

Kedua inovasi yang telah saya bahas diatas hanya sebagian kecil dari sekian banyak upaya untuk melawan Carder. Ingat, bergantung sepenuhnya pada SSL bukanlah hal yang baik. SSL hanya sedikit membantu untuk mencegah pengintaian pada lalu-lintas jaringan.

Semoga bermanfaat ;)


//E.O.F