Maling Debit Card
Ngikutin beritanya nggak? Kira-kira dua minggu lalu, terjadi ratusan kasus penarikan dana misterius dari berbagai ATM di seluruh dunia. Dan bank-bank di Kanada, Inggris dan Rusia santer mengindikasikan, bahwa produk debit cards mereka… kecolongan! Barangkali kalau kasusnya kartu kredit, ya kita semua sudah maklum. Tapi kartu debit?
Orang bilang, belanja via kartu debit (istilah kebanyakan kita: “kartu ATM”) lebih aman karena — nggak seperti kartu kredit — ia memiliki satu level security tambahan: password a.k.a. nomor PIN.
Kartu kredit lebih gampang di-counterfeit, tapi eksekusinya perlu arrangement rada ruwet yang melibatkan banyak pihak. Sebaliknya, kartu debit, dengan adanya PIN itu, agak susah di-fraud. Tapi begitu dapat PIN, yah it’s where the money is.
Cuman, melihat kasus ini, para bandit itu rupanya mulai bisa mengira-ngira untuk getting around dengan kendala PIN ini. Kalau kasusnya satu dua sih mungkin nggak masalah, anggap aksidental aja, misalnya ada orang di belakang antrian yang suka ngintip. Tapi ini ratusan, ribuan? Dari mana mereka memperoleh data nomor account sebanyak itu, dan yang paling bikin saya wondering: dari mana mereka bisa tahu semua nomor PIN-nya?
Oke, coba kita runut-runut, seperti apa sih cara kerjanya. Sambil mencoba mengira-ngira kemungkinan terjadinya di sini, di Indonesia. Again, ini soal kartu debit, bukan credit card.
Sayangnya… perangkat kriminalnya sama. ;-)
Alat di gambar itu namanya skimmer, atau istilah formalnya card reader/writer. Bisa membaca data-data di magnetic-stripe kartu, lalu menuliskannya di plastik kartu yang baru. Yes, buat para maling, alat itu fungsinya satu: menggandakan kartu. Bisa nyimpen data dalam jumlah besar, yang kemudian di-download di PC via serial. Harga sekitar $600-an, dan besarnya cuma segenggaman tangan aja. (Huh, kalau inget alat ini, saya suka ketar-ketir kalau bayar makan di restoran menggunakan kartu kredit. Mana pelayannya klimis dan sopan banget, membungkuk ke arah kartu, dengan senyum yang dingin…)
Jadi… mereka bisa duplikasi kartu. Dan malam-malam, sehabis kerja seharian di cashier, mereka bisa dump semua data-datanya ke laptop, tulis ke magnetic-stripe di kartu yang baru, lari ke anjungan terdekat, memasukkan kartu palsunya di mesin ATM, lalu… wait, mereka perlu nomor PIN.
Nah sekarang, data-data apa aja ya yang ada di magnetic-stripe itu?
Buat yang belum tahu, magnetic-stripe itu seperti tape kaset aja layaknya, material ferromagnetic yang dapat dipakai untuk menyimpan data (suara, gambar, atau bit-bit biner). Untuk kartu, ada 3 track data. (Kenapa tiga? Standar ANSI/ISO. Selebihnya, nggak tahu). Track 1 dan Track 2 aja yang biasanya dipakai. Track 3 tadinya diperuntukkan untuk extended service, cuma service-nya nggak muncul-muncul sehingga track ini ditinggalkan.
Berlaku hanya di kartu kredit dan ATM (bisa berbeda di “kartu absen” kantor misalnya). Kalau kita extract data-data itu, misalkan menggunakan skimmer tadi, kita bisa lihat informasi seperti ini di kartu Visa:
Kelihatan nggak? Sekedar contoh aja: % di awal dan ? di akhir di Track 1 itu menunjukkan start code dan end-code. Huruf ‘B’ menunjukkan format-code, yaitu “Bank Card”. 1111222233334444 adalah nomor kartu. LASTNAME/FIRSTNAME… self-explained. 9912 adalah expiration-date, 12/99. Sementara 101… dan seterusnya adalah data-data khusus. So, untuk kartu kredit ini, dengan skimmer seharga handphone Nokia seri 9 itu, si maling udah bisa belanja di Internet. ;-)Tapi tidak demikian halnya dengan kartu ATM:
Mirip dengan kartu kredit ya? Bedanya, instead of 101, kita punya 1201 untuk data khusus milik bank. Dan 4 digit ‘xxxx’, berbeda-beda untuk setiap kartu. Lokasi encrypted PIN kah? Mungkin.Tapi rasanya bisa dipastikan, PIN nggak akan disimpan plainly gitu aja di kartu (kecuali banknya kuoooplooo buaanget). Kita pernah baca bahwa di jaman dulu (dan kayaknya sampai sekarang), mesin-mesin IBM yang jadi langganan perbankan kita menggunakan DES (atau 3DES) untuk menentukan PIN. Yah, either way, untuk meng-crack DES nggak akan bisa straight-forward dan perlu waktu lumayan lama.
Lalu question remains, dari mana lagi mereka bisa dapat PIN?
(1) Seminggu yang lalu, Visa ngasih warning bahwa third-party software yang dipakai di POS (point of sales) milik merchant bisa jadi menyimpan informasi kartu. Nah, kalau dia bisa store informasi kartu, mustinya bisa logging juga PIN yang dimasukkan pelanggan. Ya nggak sih? Kayaknya ini yang paling mungkin. Pertanyaannya: niat baik apa software POS itu nge-log PIN kita?
(2) Alternatif kedua, MITM (man-in-the-middle) attack? Kalau teman-teman akrab dengan skema master-session atau DUPKT yang banyak dipakai di mesin card-processor semacam Hypercom di toserba-toserba kita, rasanya sih rada susah. Nggak bisa langsung begitu aja wiretap seperti nguping pembicaraan telpon. Tapi tahu nggak, ada orang yang bisa bikin prototype device yang jadi man-in-the-middle di antara kartu dengan terminal!
Once alat itu “duduk” di situ, ia bisa listening PIN, nggak peduli kartunya tipe smartcard yang pake chip (kayak peraturan barunya BI yang bikin heboh bank-bank itu). Oke, prens, now you know how it works, mungkin kita musti jaga jarak sedikit kalau mau belanja pake kartu debit.
43 Comments »
Leave a comment
Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Main weblog feed
Recent comments
maturnuwun informasinya…
makanya itu aku males yang namanya bikin kartu kredit, ga bisa dibanggain wong tiket buat ngutang kok.
Kartu debit pun jarang dipake…masih cara kuno yang dipake..uang tunai…
hehehe
» Comment by esge — March 28, 2006 @ 8:13 am
Wah.. top2.. makasi pencerahannya.. jadi mesti waspada nih…
kayaknya bakal kena detik effect! lagi nih.. :D
» Comment by Ari W — March 28, 2006 @ 11:58 am
Detik effect… Banyak yg dateng, tapi jarang yg share, buat apa? Mending nemuin komentar dari teman-teman kayak gini. Thanks yak!
P.S. Anyway, blog esge sama ari (lagi cuti shooting ya mas? heheh..) oke juga tuh…
» Comment by Watung — March 28, 2006 @ 7:17 pm
agak OOT.
kemaren, waktu disuruh ganti pin by phone,
sesaat setelah ada aba aba untuk ganti pin, phone nya mengeluarkan random DTMF tone..
kaya’nya untuk mengacaukan tapper, karena bukan hanya tuts yang dipencet aja yang kedengeran, tapi juga tone yang diproduce d
» Comment by snydez — March 29, 2006 @ 5:33 pm
Betul, snydez. Standarnya emang gitu kali ya, menghindari MITM di phone-network. Tapi nggak ada yg kepikiran bakal ada MITM antara kartu dengan card-processor kan? ;-)
» Comment by Watung — March 29, 2006 @ 7:31 pm
Kelihatan nggak? Sekedar contoh aja: % di awal dan ? di akhir di Track 1 itu menunjukkan start code dan end-code. Huruf ‘B’ menunjukkan format-code, yaitu “Bank Card”. 1111222233334444 adalah nomor kartu. LASTNAME/FIRSTNAME… self-explained. 9912 adalah expiration-date, 12/99. Sementara 101… dan seterusnya adalah data-data khusus. So, untuk kartu kredit ini, dengan skimmer seharga handphone Nokia seri 9 itu, si maling udah bisa belanja di Internet. ;-)
kemahalan, nggak perlu pake skimmer. secara plain sight aja semua datanya sudah keliatan kok, nggak pernah kan ketemu kartu kredit yang nggak ada nomer, nama, dan expiration date-nya? dan itu semua tercetak di satu sisi, hehehe.
dan fyi, kalau memang anda suka belanja dengan kartu kredit, perhatikan apa yang dilakukan oleh kasir di indonesia sehabis mereka sweep kartu kredit ke mesin EDC mereka. yang masih konvensional, mereka akan mengetikkan nama dan nomer kartu ke mesin POS mereka (walaupun expiration date tidak ikut dicatat). yang sudah semi modern, mesin POS-nya sudah punya skimmer khusus, kasir tinggal sweep sekali lagi, sehingga semua data yang bisa terbaca dari kartu itu otomatis tercatat (lihat kasir carrefour). so, adakah privacy untuk pengguna kartu kredit di indonesia?
» Comment by Anonymous — March 29, 2006 @ 11:07 pm
nggak peduli kartunya tipe smartcard yang pake chip (kayak peraturan barunya BI yang bikin heboh bank-bank itu)
hmm…
itu yg mana ya? kok saya gag tau.. :D soalnya disini smw kartu udah pasti pake chip.. namanya CHIPKNIP… :)
» Comment by aRdho — March 30, 2006 @ 4:35 am
Betul, anon. Nggak perlu skimmer. Tapi just in case (1) mereka perlu baca seluruh Track kartu — untuk menggandakannya, (2) mereka perlu handy-device yg bisa ngerecord ratusan/ribuan data yg gampang dibawa kemana-mana (dan gak rese dengan kertas-kertas)… maka skimmer itu jadinya a must have buat mereka. Ya nggak?
Kasir sih bisa swipe, tapi dia gak bisa bawa pulang data-datanya, kan? Anyway, posting ini bukan soal credit-card sih sebenarnya.
» Comment by Watung — March 30, 2006 @ 7:23 am
Ardho, check this link.
» Comment by Watung — March 30, 2006 @ 7:28 am
aneh, padahal saya ngisinya bukan tick anon, tapi other identity. tapi ya sudahlah. anyway, point gue nggak cuma fokus ke kartu kredit, tapi pencurian informasi (agak nggak nyambung dengan topik, tapi masih nyambung dengan tulisan anda yang lain). jadi yang saya fokus bukan ke kasirnya, tapi policy toko yang melakukan pencatatan informasi kartu kredit. apakah benar toko memang berhak melakukan pencatatan, walaupun sudah diperlihatkan (dan dipinjamkan walau cuma sebentar) fisik dari kartu kredit?
» Comment by ryosaeba — March 31, 2006 @ 2:42 pm
Policy toko ya, ryo… Iya, ini menarik. Pernah lihat slip waktu kita musti tandatangan utk pembayaran via kartu? Perhatiin TOC-nya nggak? Tapi kayaknya sih isinya semacam “merchant menjamin kerahasiaan data anda…”. CMIIW. Saya nggak tau peraturan di Indonesia seperti apa. Mustinya mesin itu memang cuma untuk processing transaksi aja, nggak bisa storing data. Tapi merchant kayak Amazon misalnya, mereka jelas-jelas ngaku collect tuh data-data itu, walaupun di TOC-nya bilang kerahasiaan data antara kita dengan pihak Amazon saja.
Anyway, di kartu kredit, kita sebenarnya bisa menolak melakukan pembayaran bila memang di-fraud. Yang rugi merchant-nya. Tahu tuh kalau untuk kartu debit.
» Comment by Watung — March 31, 2006 @ 4:07 pm
kang watung, alloow…!
pa kabarnya ?
kang, beberapa comment di sini saya copypaste & simpan di file saya ya, untuk nambah-nambah info.
thanks before and after, ya. :)
keep on writing…! ;-)
» Comment by kirana — April 1, 2006 @ 9:34 am
Silakan aja, Kirana. It’s for everybody anyway… ;-)
» Comment by Watung — April 1, 2006 @ 1:33 pm
Jadi inget cerita dulu,
Ada orang yg “membelokkan” transaksi dari
Toko ke Bank :)
jadi ketika EDC dial, dia dial di “belokin” ke no tertentu, baru setelah datanya terambil, di “belokin” lagi ke no. yg bener
ini kejadian di Indonesia loh :)
» Comment by Yudha — April 3, 2006 @ 9:16 am
Hmm… smart juga. Apa sekarang masih mungkin ya, Mas Yudha? Mustinya EDC sekarang udah ber-”SSL” (entah protokol PKI seperti apa sebagai layer tambahan). Nggak paham juga sih. ;-)
» Comment by Watung — April 3, 2006 @ 12:22 pm
hai, kang watung,
alloowww… pa kabarnya ni ?
kang, mo nanya ya.
boleh ‘kan ? ;-)
banyak terjadi kasus kartu atm hilang, trus ternyata eh… sebelum diblokir, saldonya udah betul-betul minim, nggak bisa diambil lagi.
(dan ini pernah terjadi 2 kali pd saya, dulu, dengan atm (bukan debit card ya) BNI.)
PIN itu kan yang tau ‘katanya’ hanya orang ‘dalam’ aja (yg khusus mengurus kartu + PIN).
tapi… ternyata dalam beberapa macam ‘ilmu’ semacam ‘ilmu debus’ itu pun dilatih untuk bisa membaca tulisan termasuk angka-angka yang tak terlihat secara lahiriah.
gimana menurut kang watung ?
thanks banyak atas sharenya, ya kang… :)
salaam,
» Comment by kirana — April 3, 2006 @ 3:44 pm
Halo AA GeeM
Mungkin dulu programmernya itu, waktu mahasiswa suka maen kode buntut, istilahnya di mistik…, angka itung-itungan 3 bisa di mistik… jadi 8 :D. Kalo diimplemen pas koding randomize nomor juga, hihihi
» Comment by Irmanator — April 3, 2006 @ 5:59 pm
Mbak Kirana, gimana ceritanya tuh bisa kehilangan kartu ATM sampai dua kali? Dicopet? Dihipnotis? ;-) Ini menentukan cara apa yang dipakai si bandit itu (karena ternyata ada 1001 cara kalau kita ngomongin kasus orang per orang).
Di beberapa bank bahkan orang dalam pun sebenarnya nggak bisa tahu PIN kita. Entah di tempat lain… Tapi waktu ngirim PIN awal (ketika dapet kartu baru) pake kurir, nah di titik itu barangkali ada beberapa pihak yg bisa ngintip. ;-)
» Comment by Watung — April 3, 2006 @ 11:14 pm
Irmanator… hmm… kayaknya kenal ex-”black hat” yang satu ini nih? ;-) Cerita dong, ke watung[at]gmail.com aja.
» Comment by Watung — April 3, 2006 @ 11:19 pm
saya pernah berbelanja di salah satu toko elektronik di mall pondok gede namanya sentra. Nah di toko ini, mesin kasirnya menggunakan swipe card yang di gambarkan oleh pak watung ini. Jadi, kira2 gimana pak.. bisa gak mereka melakukan pembobolan terhadap kartu debit saya…
» Comment by mazirwan — April 5, 2006 @ 5:00 pm
Kartu debit kan ya, bukan kredit? Masukin PIN nggak? Kalau debit, kuncinya adalah bagaimana dia mendapatkan PIN. Kalau ngomongin orang per orang, bisa beragam caranya, misalkan “Eh, anu, Pak… mesinnya ada di ruangan belakang, tolong tuliskan nomor PIN-nya di kertas ini.” Atau kita disodori keyboard di PC, “Ketik PIN-nya di sini Pak…” Gitu-gitu deh. ;-)
Tulisan di atas berbicara soal teknik mendapatkan PIN dalam jumlah besar.
(Ini jadinya ngasih tahu “how to be a professional thief” nggak sih ya?)
» Comment by Watung — April 5, 2006 @ 5:18 pm
Ngikutin beritanya nggak? http://www.msnbc.msn.com/id/11714119/
Setelah saya baca, kok kagak ada yang menyatakan seperti yang anda tulis?
=======
Kira-kira dua minggu lalu, terjadi ratusan kasus penarikan dana misterius dari berbagai ATM di seluruh dunia. Dan bank-bank di Kanada, Inggris dan Rusia santer mengindikasikan, bahwa produk debit cards mereka… kecolongan!
=======
Yang diceritakan cuman tentang seseorang saja kok, baca detail lagi deh. Emang ATM orang tersebut tidak bisa dipakai di Canada, tapi tidak ada yang menyatakan adanya ratusan kasus penarikan dana misterius dari berbagai ATM di seluruh dunia.
Thx
GR
bluemonstermail@yahoo.com.sg
» Comment by Anonymous — April 20, 2006 @ 5:50 pm
Good Article…:)
Yang mungkin agak repot, saya kepikiran ada merchant jahat yang pake Hardware KeyLogger http://keystroke-loggers.staticusers.net/hardware.shtml
Kl ini juga bisa baca Pin ATM, bisa gawat banget. Karena asumsi saya port nya sama2 PS2/Serial. Wah, gawat deh..:)
» Comment by toto — April 20, 2006 @ 6:28 pm
Buat anonymous, artikel MSNBC itu bilang gini:
Fogarty wouldn’t say how many consumers were on that list, saying only it involved a “small number of accounts.”
Di artikel lain, disebutkan:
The FBI and the California attorney general’s office said Friday that they’re investigating a far-reaching case of fraud in which debit card numbers belonging to as many as 200,000 consumers were stolen by an international counterfeiting ring.
Buat Mas Toto, thanks link-nya!
» Comment by Watung — April 20, 2006 @ 8:28 pm
Gimana kalau Indonesia mulai menggunakan Check book, kayanya jauh lebih safe?, saya selalu usahakan write a check or last option,cash. Kalau deal online saya bayar juga pake check or sometimes money order.
Thanks for a good info.
GBU.
» Comment by Anonymous — April 21, 2006 @ 5:30 am
Wah, infonya berguna sekali buat saya. Makasih ya en salam kenal..
» Comment by Tina — April 27, 2006 @ 11:44 pm
Halo, Tina. Blognya bagus, bikin awet muda. ;-)
» Comment by Watung — April 28, 2006 @ 12:50 am
Thank Watung,
Awareness kita bakal lebih “naik”, apalagi kalo kita combine dengan Social Engineering. Pasti akan lebih cihuy lagih…
regards,
vienna
(awankintoun@yahoo.com)
» Comment by Anonymous — June 12, 2006 @ 8:23 am
Wew…
kayanya gw telat banget bacanya neih…
tapi yang pasti ulasan ni top d…
kartu debit ya ??? ck..ck..ck..
buat watung….keren dah ;))
» Comment by hendra — October 11, 2006 @ 6:35 am
Great post.. Thx for sharing..
» Comment by Tina — December 18, 2006 @ 1:15 pm
bagus
hehe
pnh coba
tpi bahay buks
» Comment by aloki — September 16, 2007 @ 1:43 pm
mas kalau boleh tau tuh mesin pesan di mana ya mas???
soalnya saya sudah cari di semua toko online gak ada mass…
tolong kasi tau dink mas dapetinnya di mana
saya tunggu emailnya ya mas
» Comment by atin — October 20, 2007 @ 2:23 am
atin, udah coba search google, misalnya msr206?
» Comment by watung — October 20, 2007 @ 4:49 am
mau nambah dikit om
istilahnya di dunia underground itu dumps / bins
diperjual belikan bawah tangan
lengkap dengan kartu kredit plus pin nya
perhitungan sederhana kartu kredit
misal :
no cc : 4888734173617238 (BOA CC Platinum)
expired date : 0505
cvv2 / security code : 101
enkripsi untuk track 1 dan 2 adalah :
Track 1: B4888734173617238^FirstName/lastName^050510100000000001203191805191000000
Track 2: 4888734173617238=0505101120319180519
tinggal di write ke MSR,
fyi : enkripsi tiap bank berbeda2
rgds,
riset-at-antihackerlink Indonesia
» Comment by riset-at-antihackerlink — February 18, 2008 @ 9:30 am
iya di dunia underground istilah nya Dumps
Sekedar info harga nya seh ga mahal² amat ( sekitar $199 + software ) cuman lolos dari bea cukai nya aja yg susah. malah² alamat shipping nya di datengin Pak Polisi hihihihih
» Comment by Forex — February 27, 2008 @ 8:49 pm
i need some numbers pls how much money
» Comment by vim — March 11, 2008 @ 4:13 pm
tidak semua kartu debit waktu dipake transaksi hrs masukkan kode pin. coba kartu debit yang berlogo visa/visa electron lippo/bni/bri etc. kamu pake belanja .. gak perlu masukkan kode pin udah aproval.
jadi ngapain mikir..gmn cari pinnya? wong nggak perlu pake pin udah ok.. gua komen soale gua merchant ..
» Comment by hendrik — July 24, 2008 @ 11:32 pm
alah…. semua sok hitech pake istilah dump lah enkripsi underground etc.. lu tau gak semua kartu debit yang pake logo visa/visa electron kl dipake transaksi gak usah pake pin.. makanya skrg lu colong kartu atm emak lu.. cari yang logo visa/visa elektron.. pake belanja di mall ato lu gandain dulu kartu atm emak lu gue jamin pasti aproval.. ingat.. atm emak lu yang lu colong jangan yang laen.. kl atm org laen nt lu masuk bui.. salam buat yang sok hitech.. he..3x
» Comment by joshua — July 24, 2008 @ 11:46 pm
bro watung…kasih dunk solusi…aq ganggur punya istri dan anak 3..cari kerjaan susah bgt deh…utang diwarung numpuk…to the point aja…aq banyak aplikasi CC lengkap dari hsbc bca citibank terutama BII master card indonesia…lengkap..cuma binggung gmana cari uang dari data CC mereka…yang rata2 orang berduit..mohon bantuannya[-o<
» Comment by andy — July 28, 2008 @ 8:21 pm
Bagus tuh artikel thx yah. Baru aja nonton tentang fraud di SCTV. ^^
» Comment by nana-chan — November 9, 2008 @ 9:41 pm
Wah, kayaknya blog ini jadi disalahgunakan jadi buat ilmu ngebobol debit card..
» Comment by broke — February 13, 2009 @ 5:22 pm
pada ngmongin security nya, gw malah lagi persiapan buat jadi maling nya..tapi yg jelas,yg mau gw malingin ga bangsa sndiri,secara bangsa kita dah miskin masa mau di malingin juga??
pikiran gw simple aja,mereka (buyutnya para orang bule) yg dah jajah dan nyolong di negara kita ratusan taun patut untuk dicolong balik…xixixixi
» Comment by kaka11 was here — May 9, 2009 @ 5:30 am
[...] bisa yaaa… ??!! Baca artikel ini deeh… Hebatkan [...]
» Pingback by Maling Debit Card « A New Way Of Thinking — January 21, 2010 @ 10:42 pm