Lingkup Credit Card Froud

Penipuan kartu kredit didefinisikan sebagai: seorang individu/sekelompok orang yang

menggunakan kartu kredit /debit orang lain karena alasan pribadi, sementara pemegang kartu
(card holder) dan penerbit kartu (issuer) tidak menyadari penyalahgunaan kartu tersebut atau
seseorang yang menggunakan kartu yang tidak ada hubungannya dengan pemegang kartu atau
penerbit, dan tidak berniat baik untuk menghubungi pemegang kartu dan atau penerbit kartu, atas
pembayaran yang telah dilakukan.

Penipuan kartu kredit yang paling umum terjadi di Indonesia antara lain meliputi:

Skimming pencurian informasi kartu kredit yang digunakan dalam transaksi dinyatakan
sah, secara manual menyalin nomor kartu menggunakan metode dasar seperti
memfotokopi bukti pembayaran atau metode yang lebih canggih seperti menggunakan
perangkat elektronik kecil (skimmer) untuk menggesek dan menyimpan ratusan nomor
kartu korban
Penipuan ATM. Fokus kejahatan ATM adalah pencurian data yang tersimpan pada kartu
bank (kartu debit). Sampai saat ini kartu bank menggunakan strip magnetik (kartu
magnetis) untuk memuat informasi untuk mengidentifikasi pemengang kartu dan kode
PIN untuk otentikasi yang memungkinkan mereka untuk melakukan transaksi di ATM.
Card ID theft. Penipuan ini terjadi ketika pelaku kriminal menggunakan kartu curian, atau
dengan sengaja memalsukan identitas seseorang untuk membuka akun bank atau
mengambil alih akun atas nama nama orang lain. Adapun penipuan aplikasi palsu terjadi
ketika pelaku kriminal membuat dokumen palsu/memalsukan identitas untuk membuka
rekening atas nama orang lain. Para pelaku mungkin mencoba untuk mencuri dokumen
seperti tagihan listrik dan laporan bank untuk mengumpulkan informasi kredit seseorang
yang berguna untuk mendapatkan fasilitas kredit / pinjaman dari lembaga keuangan.
Account takeover: melibatkan pelaku kriminal yang mencuri dan menggunakan kartu
kredit atau kartu debit rekening orang lain, dengan mengumpulkan informasi terkait
calon korban, kemudian menghubungi bank atau penerbit kartu mereka dan menyamar
sebagai pemegang kartu/nasabah asli. Pelaku kriminal kemudian mengatur dana yang
akan ditransfer dari rekening, atau akan mengubah alamat atas akun bank dan meminta
 pencetakan ulang fisik kartu kredit calon korban atau meminta penggantian kartu untuk
dikirim.
Penipuan POS skimmer: biasanya dipasarkan dan dijual melalui salah satu dari tiga cara
sbb: terminal POS precompromised yang dapat membaca kartu dan diinstal pada mesin
kasir (cash register); perangkat EDC/POS palsu yang disiapkan tidak untuk memproses
transaksi tetapi dirancang untuk merekam data dari kartu digesek dan entri PIN; atau alat
skimming buatan yang mencakup keseluruhan bagian dari perangkat, kabel dan yang
manual instruksi yang dibutuhkan untuk memodifikasi terminal POS yang ada.

Carding merupakan salah satu bentuk pencurian informasi kartu kredit milik orang lain untuk
kemudian dimanfaatkan pelaku dalam melakukan transaksi pembelian barang atau jasa maupun
pencairan nominal saldo yang terdapat pada kartu kredit ke dalam rekening pelaku melalui
online payment gateway.

Tujuan carding adalah untuk membeli barang secara tidak sah dengan pembebanan rekening
pemilik kartu kredit yang sebenarnya (yang asli) atau untuk menarik dana secara tidak sah dari
suatu rekening bank milik orang lain.Terdapat berbagai program carding dan bagaimana cara
mendapatkan kartu-kartu kredit, bagaimana menggandakan kartu-kartu kredit yang sah, dan
bagaimana menggunakan kartu-kartu kredit yang palsu itu.

Kasus

Sejumlah data nasabah kartu kredit maupun debit dari berbagai bank dicuri saat bertransaksi di
gerai The Body Shop Indonesia. Sumber Tempo mengatakan, data curian tersebut digunakan
untuk membuat kartu duplikat yang ditransaksikan di Meksiko dan Amerika Serikat.
Data yang dicuri berasal dari berbagai bank, di antaranya Bank Mandiri dan Bank BCA. Menurut
Direktur Micro and Retail Banking Bank Mandiri, Budi Gunadi Sadikin, pihaknya menemukan
puluhan nasabah kartu kredit dan debit yang datanya dicuri. Adapun transaksi yang dilakukan
dengan data curian ini ditaksir hingga ratusan juta rupiah.

Kejahatan kartu kredit terendus saat Bank Mandiri menemukan adanya transaksi mencurigakan.
"Kartu yang biasa digunakan di Indonesia tiba-tiba dipakai untuk bertransaksi di Meksiko dan
Amerika," kata Budi. Setelah dilakukan pengecekan terhadap nasabah, ternyata kartu-kartu itu
tidak pernah digunakan di sana.
Kartu tiruan itu hanya bisa digunakan di negara-negara yang menggunakan sistem magnetic
stripe. Data pada kartu jenis ini bisa dibaca saat ada kontak fisik dan menggesekkannya melewati
mesin pembaca kartu atau card reader.

Di Indonesia, ada dua sistem yang digunakan pada kartu kredit, yaitu chip dan magnetic stripe.
Penggunaan chip pada kartu kredit bertujuan untuk mengantisipasi tindak kejahatan kartu kredit.
Adapun transaksi kartu kredit dengan magnetic stripe sebenarnya sudah dilarang. Sedangkan
pada kartu debit, magnetic stripe ini baru dilarang mulai 1 Januari 2016.

Bukan hanya Mandiri, PT Bank Central Asia mengaku sudah menerima laporan serupa. General
Manager Kartu Kredit BCA, Santoso, mengatakan, berdasarkan informasi sementara, pencurian
data berawal dari sebuah gerai The Body Shop. Pencurian kemudian menyebar ke gerai lainnya.
"Sepertinya ada oknum yang berhasil membobol dan berpindah-pindah," katanya.

Namun ia menjamin keamanan dalam sistem pengiriman data dari mesin electronic data capture
(EDC) ke bank. Santoso juga berjanji akan secepatnya menyelesaikan kasus ini dengan
melibatkan kepolisian, perbankan, dan nasabah.

Tak hanya perbankan, The Body Shop Indonesia juga langsung bertindak. Chief Financial
Officer The Body Shop, Jahja Wirawan Sudomo, mengatakan, perusahaan sedang menyelidiki
kebocoran data di perusahaannya. "Kami dan perbankan masih menyelidiki. Kami berharap
selesai pekan depan dan diserahkan ke kepolisian," katanya kemarin.

Skema Kasus

Selasa 5 Maret 2013 terdeteksi fraud counterfeit kartu debit di Amerika Serikat dan
Meksiko. Di kedua negara tersebut, untuk pembayaran EDC tedapat dua opsi untuk
melakukan transaksi yaitu dengan debit atau kredit. Fraud terjadi untuk kartu kredit yang
menggunakan sistem gesek.
Rabu, 6 Maret 2013 Dari hasil analisa dan sharing antar bank diketahui dugaan awal
tempat pencurian data adalah merchant Body Shop di dua buah mall di Jakarta. BI telah
dilakukan koordinasi dengan pihak Visa International untuk pembuatan parameter Real
Time Decline pada system VAA/VRM terhadap transaksi yang terjadi di US dan
Meksiko untuk terminal mencurigakan.
 Kamis, 7 Maret 2013 Diketahui tempat terjadinya fraud bertambah, tidak hanya di AS
dan Meksiko, melainkan juga di Philipina, Turki, Malaysia, Thailand, dan India. Dugaan
adanya tempat pencurian data mulai berkembang ke cabang Body Shop yang lain.
Jumat- Minggu, 8-10 Maret 2013 Sejumlah bank telah melakukan pemblokiran kartu
dan melanjutkan analisis Common Purchase Point (CPP). Hasil analisa CPP
menyimpulkan dugaan tempat pencurian data berkembang ke cabang Body Shop yang
lain, di beberapa toko di Jakarta dan satu di Padang.
Senin, 11 Maret 2013 BI telah melakukan koordinasi lanjutan dengan pihak Visa
international untuk pembuatan parameter Real Time Decline pada system VAA/VRM
untuk transaksi swipe di US, Meksiko, Turki, Malaysia, Philipina, Thailand, dan India.
Kamis, 7 Maret 2013 BI telah dilakukan pertemuan antara pihak bank acquirer dengan
pihak Body Shop, dengan agenda menginformasikan kasus fraud yang terjadi dengan
dugaan sementara pencurian data di merchant Body Shop di dua mall di Jakarta.
Diketahui bahwa latar belakang merchant Body Shop melakukan double swipe adalah
untuk kepentingan rekonsiliasi data transaksi melalui EDC dengan pencatatan di sistem
cash register. Umumnya, jika dilakukan swipe maka data yang terekam dari kartu kredit
adalah nomor kartu, expiry date, dan Card Verification Value (CVV) berupa 3 angka di
bagian belakang kartu kredit. Sebenarnya yang diperlukan merchant hanyalah data
nomor kartu, yang dapat diperoleh melalui input data/key in.
Kamis, 14 Maret 2013 Perwakilan Bank Acquirer bertemu dengan pihak Body Shop
untuk meminta penjelasan prosedur atau flow cash register yang ada di masing-masing
outlet sehingga tersimpan di server kantor pusat.
20 Maret 2013 Telah dilakukan kesepakatan antar anggota AKKI tanggal. AKKI telah
membuat laporan ke pihak kepolisian, melakukan uji forensik dan megghentikan praktik
double swipe di merchant Body Shop.
Analisis

Kasus carding yang terjadi di Indonesia mengindikasikan bahwa kejahatan carding bisa terjadi
pada siapa saja. Kasus ini membuktikan bahwa carding mempunyai karakteristik Global, yaitu
pelaku dan korban carding terjadi dilintas negara yang mengabaikan batas batas geografis dan
waktu. Pelaku melakukan transaksi menggunakan kartu kredit palsu tersebut untuk berbelanja
kebutuhan pribadinya. Pelaku membeli beberapa handphone, dan bisa untuk dijual lagi. Dalam
hal ini pihak bank bersangkutan dirugikan lantaran harus menanggung klaim pembayaran kartu
kredit.
Cara Menangani Kasus :
Banyak elemen penting yang harus ikut terlibat untuk memerangi kejahatan carding di Indonesia,
menurut pendapat kami pihak-pihak terkait tersebut adalah sebagai berikut :

1. Pihak Bank selaku penerbit kartu kredit harus menggunakan teknologi chip, bukan lagi swipe
yang secara kriptografi lebih lemah. Dengan menggunakan kartu kredit dengan sistem chip,
maka kejahatan kartu kredit lebih sulit ditembus daripada swipe.
2. Pihak Bank harus menyediakan fasilitas-fasilitas pendukung untuk menghindari kerugian
yang lebih besar setelah terjadi penyalagunaan kartu kredit, misalnya saja ketika akan terjadi
transaksi, pengguna akan mendapatkan sms untuk melakukan konfirmasi. Hal lain yang bisa
juga dilakukan diantaranya seperti memberikan laporan yang update setiap kali transaksi baik
itu pengiriman melalui SMS ataupun melalui email, dan layanan cepat untuk melakukan
pemblokiran ketika terjadi sesuatu yang tidak diinginkan.
3. Bagi pemilik kartu kredit, Pengetahuan akan penggunaan kartu kredit yang sebanyak-
banyaknya sangat penting agar kita tidak mudah memberikan data-data kartu kredit, hal ini
dapat dilakukan dengan cara studi pustaka.
4. Sanksi tegas bagi pelaku carding, karena kejahatan carding bisa terjadi secara Internasional
dan dapat dilakukan secara kolektif kolegial, agar dapat memberikan efek jera untuk pelaku
carding.
5. Pihak Kepolisian semakin aktif dan tanggap terhadap kasus cyber crime khususnya carding
dengan semakin banyaknya melakukan rekrutmen polisi khusus dunia maya (polisi siber)
dengan kompetensi yang baik.
6. Pihak merchant yang mempekerjakan karyawan harus secara aktif memberikan penjelasan
dan pengetahuan akan kejahatan dunia maya termasuk sosialisasi akan undang-undang
Informasi dan Transaksi Elektronik kepada karyawan sejak menjalani OJT (on job training).
Sehingga karyawan menjadi lebih sadar hukum saat akan melakukan kejahatan carding.
7. Pihak Internet Service Provider (ISP) harus proaktif memblok laman-laman yang secara
terang-terangan mendukung terjadinya kejahatan carding di dunia maya, seperti laman
penjualan data kartu kredit hingga tutorial melakukan carding.
8. Pihak-pihak yang menggunakan sarana kartu kredit sebagai media transaksi elektronik wajib
menggunakan protokol keamanan yang tidak mudah dibobol oleh peretas.