NeoTekno

E-COMMERCE SECURITY
Modus Operandi Carding
Lahirnya e-commerce melahirkan pula teknik-teknik yang merupakan risiko terhadap bisnis e-commerce. Selain
rawan terhadap pencurian database, situs e-commerce juga rawan terhadap credit card fraud yang lebih
dikenal sebagai carding. Seluk beluk carding bukan teknologi semata-mata, melainkan juga social engineering.

EBAGAI DAMPAK DARI MELUASNYA TEKNOLOGI Inter-

S net, salah satu efeknya adalah terjadinya “kena-
kalan” di Internet. Istilah hacking, phreaking,
cracking dan carding, menjadi populer sejalan dengan
popularitas istilah Web, email, chating. Bagi sebagian
orang sulit untuk membedakan kenakalanan model baru
ini. Secara mudahnya, tiga istilah di depan lebih terkait
dengan perusakan infrastuktur komputer, jaringan,
software dan Internet.
Untuk dikategorikan sebagai kejahatan, ketiganya masih
ambigu karena ada juga pelaku yang bertujuan mulia, se-
bagai uji coba keamanan jaringan misalnya, sehingga
pemberian label kejahatan lebih bergantung pada maksud
dan tujuannya.
Lain halnya dengan carding, yang satu ini merupakan
efek langsung dari ketiganya. Label “kejahatan” layak
diberikan kepada pelaku carding, karena prinsipnya sama
persis dengan maling, pencuri ataupun copet serta korup-
tor. Hanya saja media yang digunakan lebih canggih, dan
belum terjangkau hukum formal serta terjamah aparat
hukum. Berikut paparan pengantar tentang carding.
• “Portal” carder Indonesia (www.geocities.com/yogyacarding/
Latar belakang blackapril.htm) didedikasikan bagi para carder Indonesia. Di sini selain
Manifesto Carder, anda akan menjumpai pula informasi pada menu
Tidak sedikit pelaku carding berawal dari sekedar iseng,
History, Info Online Shop, dan Tips & Tricks Carding. Hati-hati dengan
mencoba peruntungannya. Meski tidak ada statistik resmi
Download sebab ada program yang konon tanpad disadari dapat
tentang hal ini, tetapi sepengamatan penulis merekalah
memformat hard disk anda.
yang paling banyak. Rata-rata frekuensi browsing mereka
di Internet masih minim, dan sekedar mencari tahu saja. balas dendam, registrasi memasuki komunitas tertentu,
Ada anggapan sebagian orang yang mau dianggap jago dan lain sebagainya. Pelaku ini biasanya terpelajar—
Internet bila sudah mampu membobol kartu kredit orang paham komputer, Internet dan jaringan—dan sedikit
yang sudah diamankan sedemikan rupa. Yang satu ini me- jumlahnya.
rupakan pernyataan keblinger dari orang yang mencoba
menjadi hacker—dan biasanya mereka mengaku-ngaku Tujuan
sebagai hacker bukan carder. Sebetulnya ini merupakan 1. Secara konvensional pelaku bertujuan mendapatkan
pernyataan aktualisasi diri di Internet. barang yang diinginkan.
Diakui ataupun tidak, budaya hedon atau mudahnya “bu- 2. Ada pula yang bermaksud mendapatkan uang secara
daya kepinginan” akibat provokasi konsumerisme dari langsung. Prisnsip kerjanya kurang lebih sama dengan
iklan (baca: media) membuat sebagian orang mencari ja- yang pertama hanya saja secara spesifik dilakukan:
lan pintas untuk memperoleh barang yang dimau hanya Teknik Refund. Pesanan sengaja dibatalkan, (pembatalan
bermodalkan biaya koneksi warnet. langsung, alamat pengiriman asal sehingga barang
Sebagian dari pengangguran produktif yang tidak tersalur kembali ke pengirim, mengaku alamat pengiriman sedang
mencoba peruntungan dan menyalurkan keahliannya di kosong karena sedang ada di luar negeri, dan lain
bidang ini. Sepengamatan penulis, ada banyak sarjana sebagainya) sehingga dana yang sudah diambil merchant
yang masih menganggur memanfaatkan lahan basah ini dapat diminta kembali untuk dikirim lewat check, pay
sebagai mata pencarian. Bila dipakai tolok ukur dengan pall, atau moneygram dan rekening bank.
sejumlah pegawai dotkom dan dotnet yang dirumahkan Penjualan secara online atau lewat lelang tertutup di
tempo hari, agaknya hal ini cukup signifikan dengan komunitas tertentu.
kesempatan kerja dibidang IT langka dengan tenaga ahli.
3. Tidak sedikit orang Indonesia yang ingin memiliki fasi-
Ada juga pelaku yang memiliki tujuan tertentu, misal

Februari 2003 NeoTek 19

 NeoTekno
litas mewah yang disediakan di Internet, untuk itu kartu
kredit curian digunakan untuk mendapatkan account
khusus pada situs judi, porno. Privelege untuk dapat me-
masuki koneksi sebuah server dan simulator. Tidak tertu-
tup juga nomor kartu kredit tersebut digunakan untuk
membeli lisensi software atau UNIX Shell. Sementara itu
bisnis penjualan domain dan pemanfaatan hosting yang
membutuhkan pembayaran kartu kredit, menjadi lahan
yang menjanjikan untuk meraup rezeki, meski ada juga
yang digunakan untuk kepentingan domain sendiri.
Cara kerja
Sendiri, tipe single figthter biasanya merupakan pemula
atau mereka yang memang sudah ahli sehingga tidak
memerlukan bantuan.
Berkelompok, kumpulan carder yang bekerja sama dalam
satu komunitas tertentu. Kelompok ini bisa secara fisik
berdekatan bisa pula secara virtual, secara fisik berjauhan.
Kelebihan mereka yang berkumpul adalah selalu terse-
dianya informasi nomor kartu kredit baru, situs baru,
teknik-teknik pengamanan, dan lain sebagainya. Di sini
dimungkinkan adanya pembagian tugas, semisal pencari
kartu kredit baru, situs baru, pengorder barang, negosia-
tor, penjual, bahkan translator bagi yang tidak paham
bahasa tertentu. Kelompok ini sangat solid, bahkan sam-
pai pada pembagian hasil, bila ada yang nyeleweng tak
segan mereka secara kejam “menyiksa” si pelaku, baik
secara fisik maupun mental.
Metode Pencarian
Lokasi akses yang paling strategis adalah warnet, dengan
alasan klasik sulit dilacak. Ada pula pertimbangan lain,
misal pemilik dan operator mau diajak kerja sama—syu-
kur kalau mau tempatnya dijadikan alamat tujuan pengi-
riman—pengamanan komputer dan bandwidth warnet
yang tidak ketat.
Kartu kredit yang memenuhi kriteria
• Milik orang asing. Haram dan bodoh hukumnya mema-
kai kartu kredit dari Indonesia, kecuali kalau mau untuk
ditukarkan dengan nomor asing.
• Masa berlaku masih lama agar dana yang tersedia ma-
sih banyak dan tidak mendekati limit
• Bank yang mengeluarkan minimal pernah didengar na-
manya karena ada juga merchant yang tidak mau mene-
rima kartu dari bank tertentu.
• Prioritas untuk mendapatkan kartu VISA, baru Master-
card, Amex, Diner dan lain sebagainya.
Ada beberapa cara yang dilakukan untuk memperoleh
kartu kredit
• Mendapat setoran nomor kartu kredit [fresh !] dari
orang yang bekerja di hotel, cafe, restoran, travel agent
dan tempat yang banyak dikunjungi orang asing.
• Bertukar di room chat IRC
• Menjebol situs belanja dengan dengan skrip tertentu,
berkolusi dengan webmaster yang sakit hati, atau mencari
kelemahanannya yang lain.
Target barang yang dibelanjakan
Biasanya barang-barang tersebut tidak ada di Indonesia,
atau sulit didapat, mahal, perlengkapan khusus (otomotif,
olah raga, hobbies, buku, software, kebutuhan medis). Ada
sebagian kecil yang iseng memesan coklat, boneka Tele-
20 NeoTek Februari 2003
tubies, kondom, viagra, alat bantu sex, majalah porno.
Pertimbangan khusus untuk memilih barang adalah:
• Mudah dikeluarkan oleh pabean, secara fisik tidak
mencolok dan mencurigakan.
• Pajak tidak tinggi, terkait dengan pembayaran yang nan-
tinya dibayarkan oleh pemesan. Untuk itu perlu penge-
tahuan tentang perpajakan dan biasanya hal ini diterang-
kan oleh pihak shipment atau bea cukai.
• Target situs belanja. Alat bantu pertama yang diguna-
kan adalah search engine, bisa Google, Altavista, Buyer
Index dan lainnya. Cukup ketikkan kata kunci jenis ba-
rang yang diinginkan, maka akan keluar ratusan bahkan
ribuan situs. Tinggal dipilah-pilah mana yang cocok dan
yang tidak.
Otentifikasi
Kartu kredit. Kartu kredit yang diperoleh meskipun fresh
belum tentu siap pakai. Untuk itu carder profesional perlu
melakukan otentifkasi bertingkat dengan cara:
1. Melakukan generate pada software generator, dan akan
ditemukan informasi
• Card issue -bank yang mengeluarkan
• Area alamat pemegang kartu kredit yang diidentifikasi
dengan kombinasi nomor kartu kredit yang mengarah
pada kode pos. Dari sini bisa dibuat nama, alamat, nomor
telepon pemilik kartu secara fiktif oleh software.
• Nomor kartu kredit lain yang se card issue, yang bisa
dijadikan alternatif bila nomor kartu ini ditolak.
2. Validasi kartu kredit, biasanya secara online pada situs
porno, judi, underground. Yang lebih profesional me-
manfaatkan situs pengembangan software security yang
membutuhkan donasi, kalau yang satu ini validasinya
bisa 100%, cukup sumbang $2 saja.
Situs target. Faktor penentu keberhasilan belanja dimulai
disini, beberapa pertimbangan carder untuk memilih situs
belanja yang nyaman adalah:
• Mau mengirim ke luar negeri, terutama Asia, syukur
ada option Indonesia.
• Pembayaran online yang realtime, dengan otentifikasi
seadanya tanpa perlu mengirim balik foto copy kartu
kredit yang dipergunakan.
• Bukan merupakan afiliasi dari usaha serupa di
Indonesia.
• Pilihan metode shipment (pengiriman) yang banyak,
dan tidak terikat.
Mengatasi pengamanan ekstra dan metode
pembayaran lain
Mengakali alamat
Bukan rahasia lagi kalau tujuan pengiriman Indonesia
kini sulit dilakukan. Biasanya pemesanan menuliskan
tujuannya negara lain tapi dengan tetap mempergunakan
kode pos Indonesia. Metode ini manjur karena shipment
melakukan verifikasi dengan melalui kode pos yang
sudah pasti keunikan nomornya, apalagi bila database
alamat kota dan jalannya terdapat di kode pos tersebut.
Ada beberapa metode pengamanan ekstra pada situs ter-
tentu. Di antaranya adalah keharusan untuk mengirim-
kan foto copy kartu kredit bolak balik beserta tanda ta-
ngan dan social security number (KTPnya orang Ame-
 NeoTekno

rika). Para carder yang sudah kebelet biasanya melakukan • Ambil di kantor shipment agent, cara paling nekat
olah image lewat sofware pengolah image (macam Photo- adalah menjemput bola. Resiko tertangkap sangat besar
shop). Tinggal capture atau scan kartu kredit asli lalu bila tidak memiliki "orang dalam".
kotak-katik, print, image siap untuk dikirim melaui fax
atau emai, bergantung permintaan. Penjualan
Metode pembayaran lainnya adalah dengan penggunaan Antar teman offline. Umum dilakukan untuk menutup
e-wallet, paypall, check, moneygram. Biasanya carder pe- terjadinya penipuan, atau malah paling apes jebakan yang
mula malas melakukan metode pembayaran ini, karena berakhir penangkapan dari aparat.
ruwet dan berbelit. Tapi bila ini berhasil, transaksinya bisa Antar teman online. Biasanya shipment dibelokkan lang-
mencapai puluhan ribu dolar. Caranya dengan mendaftar sung oleh pemesan ke yang bersangkutan. Kompensasi
pada situs yang menyediakan layanan tersebut, setelah bisa uang, barang lain, atau jasa (mis; pembuatan situs,
sebelumnya menyediakan sejumlah nomor kartu kredit account, image kartu kredit palsu, “pelacuran,” dan lain
yang valid 100%, nomor social security, rekening bank. sebagainya) bergantung lokasi teman online.
Teknik order Masuk counter barang yang spesifik, misal sebuah laptop
dijual ke main dealer dengan harga non garansi.
Web based, merupakan hal umum yang dilakukan dan
tidak terlalu sulit. Akibat pada bangsa
E-Mail order, dimanfaatkan bagi situs yang tidak menye- Kenakalan internet yang mengarah pada kriminal ini
diakan transaksi web -web hanya sebagai galeri, atau membuahkan hasil, yang tidak terpikirkan akibatnya
tidak memberi pilihan untuk pengiriman keluar negeri, ke oleh para pelaku, yaitu;
Asia, apalagi Indonesia. Untuk itu kemampuan berbahasa
• IP address Indonesia diblokir untuk transaksi dan
asing terutama Inggris amat diperlukan disini, apalagi bila
memasuki situs tertentu.
terpaksa harus bernegosiasi untuk meyakinkan merchant.
• Kartu kredit dari Indonesia diblokir.
Fax order, secara prisip hampir sama dengan mail order, • Integritas pebisnis Indonesia turun.
hanya saja biasanya merchant tidak menerima internet
Secara langsung saat ini mungkin pelaku tidak merasakan
fax, untuk melacak alamat nomor tujuan. Untuk meng-
dampaknya. Namun pada masa mendatang bangsa yang
atasi ini, carder bekerja sama dengan pihak wartel. Jenis
sudah terpuruk ini semakin terpuruk lagi akibat ulah
belanjaan pada metode ini umumnya grosir, dan transaksi
segelintir oknum pengguna Internet. Apa jadinya jika
yang terjadi juga besar, bisa mencapai puluhan ribu dollar.
Indonesia tidak ada lagi koneksi Internet. Jelas tidak
mungkin kita hanya saling berhubungan internet hanya
Konfirmasi melalui jalur IIX, dan tidak mendapat koneksi global.
Wajib hukumnya untuk melakukan konfirmasi setelah Hanya kesadaran moral saja yang dapat menghentikan-
belanja, bahkan pada saat belanja betulan. Hal ini berguna nya, karena lemahnya perangkat dan aparat hukum.
untuk memberikan instruksi
Removal tag. Mencopot semua label yang terkait dengan
harga agar pihak bea cukai kesulitan memberikan
estimasi pajak yang berdasarkan harga barang, sehingga
biaya pajak bisa dinegosiasikan atau syukur malah kalau
ditiadakan. Bisa juga barang tersebut diakui sebagai
barang bekas, hadiah, pengiriman kembali karena
komplain.
Pengepakan. Siasat ini juga untuk mengelabui bea cukai
dan shipment, agar pajak dan asuransinya menjadi lebih
murah. Misalnya adalah mengepak perhiasan dalam
boneka atau membungkusnya bersama buku bekas.
Permintaan track number, dapat untuk mengetahui
• Jalur perjalanan barang. Menariknya di sini sering ter-
jadi saling bajak antar carder. Jadi ada carder lain yang
mengklaim barang tersebut dan memindahkan alamat
pengiriman.
• Oknum yang bisa disuap; bea cukai, pegawai pos,
pegawai shipment, polisi
Penerimaan barang
• Diantar ke alamat pemesan, sama seperti barang
kiriman umumnya, hanya saja biasanya dilakukan secara
sembunyi-sembunyi atau diluar jam kerja karena
penerima takut bila ternyata kurir pengirim dibuntuti
aparat.
• Ambil di tempat tertentu, setelah mengadakan • BlackApril “mengungkapkan” identitasnya sebagai carder lewat situs
perjanjian sebelumnya dengan kurir, ditentukan tempat Web-nya (www.geocities.com/yogyacarding/blackapril.htm). Anda
tertentu yang biasanya ramai atau malahan sulit berniat menjadi carder? Silakan mengikuti kursus kilat melalui situs
diketahui. Yogyacarding ini.

Februari 2003 NeoTek 21