(Info) Maling Debit Card al Kartu ATM

[widiyono]

(Info) Maling Debit Card


Dapet dari forward-an temen di milis , smoga berguna









Kira-kira dua minggu lalu, terjadi ratusan kasus penarikan dana misterius dari berbagai ATM di seluruh dunia. Bank-bank di Kanada, Inggris dan Rusia santer mengindikasikan, bahwa produk debit cards mereka kecolongan! Barangkali kalau kasusnya kartu kredit, ya kita semua sudah maklum. Tapi kartu debit? Untuk berita selengkapnya bisa dilihat disini

Orang bilang, belanja via kartu debit (istilah kebanyakan kita: "kartu ATM") lebih aman karena -- nggak seperti kartu kredit -- ia memiliki satu level security tambahan: password a.k.a. nomor PIN.

Kartu kredit lebih gampang di-counterfeit, tapi eksekusinya perlu arrangement rada ruwet yang melibatkan banyak pihak. Sebaliknya, kartu debit, dengan adanya PIN itu, agak susah di-fraud. Tapi begitu dapat PIN, yah it's where the money is.

Cuman, melihat kasus ini, para bandit itu rupanya mulai bisa mengira-ngira untuk getting around dengan kendala PIN ini. Kalau kasusnya satu dua sih mungkin nggak masalah, anggap aksidental aja, misalnya ada orang di belakang antrian yang suka ngintip. Tapi ini ratusan, ribuan? Dari mana mereka memperoleh data nomor account sebanyak itu, dan yang paling bikin saya wondering: dari mana mereka bisa tahu semua nomor PIN-nya?

Oke, coba kita runut-runut, seperti apa sih cara kerjanya. Sambil mencoba mengira-ngira kemungkinan terjadinya di sini, di Indonesia. Again, ini soal kartu debit, bukan credit card.

Sayangnya... perangkat kriminalnya sama. ;-)




Alat di gambar itu namanya skimmer, atau istilah formalnya card reader/writer. Bisa membaca data-data di magnetic-stripe kartu, lalu menuliskannya di plastik kartu yang baru. Yes, buat para maling, alat itu fungsinya satu: menggandakan kartu. Bisa nyimpen data dalam jumlah besar, yang kemudian di-download di PC via serial. Harga sekitar $600-an, dan besarnya cuma segenggaman tangan aja. (Huh, kalau inget alat ini, saya suka ketar-ketir kalau bayar makan di restoran menggunakan kartu kredit. Mana pelayannya klimis dan sopan banget, membungkuk ke arah kartu, dengan senyum yang dingin...)

Jadi... mereka bisa duplikasi kartu. Dan malam-malam, sehabis kerja seharian di cashier, mereka bisa dump semua data-datanya ke laptop, tulis ke magnetic-stripe di kartu yang baru, lari ke anjungan terdekat, memasukkan kartu palsunya di mesin ATM, lalu... wait, mereka perlu nomor PIN.

Nah sekarang, data-data apa aja ya yang ada di magnetic-stripe itu?




Buat yang belum tahu, magnetic-stripe itu seperti tape kaset aja layaknya, material ferromagnetic yang dapat dipakai untuk menyimpan data (suara, gambar, atau bit-bit biner). Untuk kartu, ada 3 track data. (Kenapa tiga? Standar ANSI/ISO. Selebihnya, nggak tahu). Track 1 dan Track 2 aja yang biasanya dipakai. Track 3 tadinya diperuntukkan untuk extended service, cuma service-nya nggak muncul-muncul sehingga track ini ditinggalkan.

Berlaku hanya di kartu kredit dan ATM (bisa berbeda di "kartu absen" kantor misalnya). Kalau kita extract data-data itu, misalkan menggunakan skimmer tadi, kita bisa lihat informasi seperti ini di kartu Visa:





Kelihatan nggak? Sekedar contoh aja: % di awal dan ? di akhir di Track 1 itu menunjukkan start code dan end-code. Huruf 'B' menunjukkan format-code, yaitu "Bank Card". 1111222233334444 adalah nomor kartu. LASTNAME/FIRSTNAME... self-explained. 9912 adalah expiration-date, 12/99. Sementara 101... dan seterusnya adalah data-data khusus. So, untuk kartu kredit ini, dengan skimmer seharga handphone Nokia seri 9 itu, si maling udah bisa belanja di Internet. ;-)

Tapi tidak demikian halnya dengan kartu ATM:




Mirip dengan kartu kredit ya? Bedanya, instead of 101, kita punya 1201 untuk data khusus milik bank. Dan 4 digit 'xxxx', berbeda-beda untuk setiap kartu. Lokasi encrypted PIN kah? Mungkin.

Tapi rasanya bisa dipastikan, PIN nggak akan disimpan plainly gitu aja di kartu (kecuali banknya kuoooplooo buaanget). Kita pernah baca bahwa di jaman dulu (dan kayaknya sampai sekarang), mesin-mesin IBM yang jadi langganan perbankan kita menggunakan DES(atau 3DES) untuk menentukan PIN. Yah, either way, untuk meng-crack DES nggak akan bisa straight-forward dan perlu waktu lumayan lama.

Lalu question remains, dari mana lagi mereka bisa dapat PIN?
1. Seminggu yang lalu, Visa ngasih warning bahwa third-party software yang dipakai di POS (point of sales) milik merchant bisa jadi menyimpan informasi kartu. Nah, kalau dia bisa store informasi kartu, mustinya bisa logging juga PIN yang dimasukkan pelanggan. Ya nggak sih? Kayaknya ini yang paling mungkin. Pertanyaannya: niat baik apa software POS itu nge-log PIN kita?
2. Alternatif kedua, MITM (man-in-the-middle) attack? Kalau teman-teman akrab dengan skema master-session atau DUPKTyang banyak dipakai di mesin card-processor semacam Hypercom di toserba-toserba kita, rasanya sih rada susah. Nggak bisa langsung begitu aja wiretap seperti nguping pembicaraan telpon. Tapi tahu nggak, ada orang yang bisa bikin prototype device yang jadi man-in-the-middle di antara kartu dengan terminal!




Jika alat tersebut telah terpasang di situ, ia bisa listening PIN, nggak peduli kartunya tipe smartcard yang pake chip (kayak peraturan barunya BI yang bikin heboh bank-bank itu)

[widiyono]

Di salah satu Bank Terbesar di Jakarta di daerah Gunung Sahari yg kalo siang ngantrinya gak kira2 ramenya :

Teller : "Silahkan"
Gue : "Terima Kasih", sambil menyodorkan 3 slip setoran dan uang sejumlah 2,477 jt.
Teller mengecek slip setoran dan menjumlahkan total 3 slip yg gue setor menggunakan komputer, "Totalnya Rp 2.477.000", katanya.
Teller : "Saya hitung dulu ya mas", sambil menyusun uang yg gue serahkan, kemudian menghitungnya menggunakan tangan (bukan mesin) setelah itu melihat keaslian uang di bawah lampu ultra violet dan menghitung (lagi) uangnya (2x menghitung dengan tangan).
Teller : "Mas, uangnya kurang Rp 50.000,-"
Gue agak heran mendengarnya, soalnya gue yg masukin sendiri duitnya ke dalam amplop dan udah gue itung 2 kali sebelumnya, gue yakin duit di amplop jumlahnya Rp 2.450.000 dalam pecahan 50.000-an, satu lembar 20 ribuan, 1 lembar 5000-an, dan 2 lembar 1000-an. Totalnya Rp 2.477.000,-
Gue udah siap2 mau ambil duit dari dompet buat nambahin kekurangan, tapi sebelumnya gue tanya lagi ke Teller yg bersangkutan "Yakin mas kurang ?"
Teller : "Kalo gak percaya itung aja lagi uangnya mas", sambil pasang tampang jutek.
Ditantang kayak gitu, gue jabanin aja "Sini saya itung lagi deh mas"
Ternyata memang pas dan gak kurang !
Gue : "Mas ini pas kok, 50.000-an nya ada dua juta empat ratus lima puluh ribu"
Teller : "Wah pas ya ?", sambil senyum kecut.
Gue : "Iya mas PAS !", kata gue menegaskan.

YG aneh lagi tellernya gak mecoba menghitung uangnya lagi, malah langsung memproses slip setoran gue yg jumlahnya 3 biji, setelah selesai tanpa basa basi mempersilahkan orang di antrian selanjutnya untuk maju.

Teller yg aneh ! :P
Sengaja kali pengen nyari duit ye ? haha