Sunday, November 26, 2006

Upaya UpaYa MelaWan Pencuri Kredit Card :P~

------------------------------------------------------------------
Author : Spyro Kid Spyro_Zone@Yahoo.com ::--> www.spyrozone.tk
CopyLeft(c)2006 www.spyrozone.tk All Rights Reserved
November,17 2006
------------------------------------------------------------------


---//Preface

Dalam kesempatan ini saya akan membahas seputar upaya-upaya yang banyak dilakukan untuk mencegah pencurian kartu kredit. Ruang lingkup pembahasan saya kali ini adalah:

1. Protokol SET
2. CC Virtual

Setelah membaca artikel ini, diharapkan para newbie carder dapat menemukan salah satu jawaban atas pertanyaan yang juga sering ditanyakan oleh kebanyakan newbie: "Mengapa dari sekian banyak cc number yang berhasil saya ambil hanya sedikit CC valid yang saya dapatkan?"

---//Contents

Masalah apa yang selama bertahun-tahun selalu hangat dibicarakan dalam perkembangan toko elektronis? Apalagi jika bukan pencurian data kartu kredit pelanggan. Bermunculan banyak sekali carder-carder dari seluruh dunia, baik atas nama perorangan maupun organisasi.

Bagi Indonesia sendiri, besarnya frekuensi pencurian yang dilakukan para carder Indonesia berakibat sangat buruk. Indonesia menjadi tidak dipercaya oleh banyak pemilik toko-toko online di negara-negara lain. Mereka lebih sering menolak untuk bertransaksi dengan pembeli dari Indonesia.

Carding memang bukan hal yang suit dilakukan,. Hampir setiap hari terjadi pencurian CC walaupun jarang diliput oleh media. Tehnik yang paling populer ialah dengan merambah web target, SQL Poisoning, Mencari File log transaksi & onfigurasi troli belanja, dll..

Beberapa carder Elite mampu memesanbarang dengan mendapatkan potongan harga 99%, tentu saja "potongan harga" disini didapatkan dengan tehnik khusus, yaitu dengan memanfatkan kelemahan validasi input. Semasa saya masih aktif di Crack Sky dulu (2002) tehnik potongan harga ini begitu populer. Namun untuk saat ini toko-toko elektronis sudah mengalami kemajuan dalam menerapkan validasi input.

Dalam upaya melawan carder, ada dua cara yang cukup inovatif:

1. Menggunakan Protokol SET (Secure Electronic Transaction)
-----------------------------------------------------------
Ilustrasi dari penerapan protokol ini ialah:
>::--->> Pelanggan melakukan pembayaran >::--->> sistem SET pada komputer pelanggan mengirimkan pesan pada penjual untuk menyediakan rincian transaksi dan salinan sertifikat dgital pelanggan >::--->> Penjual mengirim permintaan ke institusi finansial miliknya >::--->> Institusi finansial itu kemudian meminta otorisasi dari intitusi finansial pelangan >::--->> terjadi persetujuan.

Dari ilustrasi diatas kita bisa melihat bahwa tidak pernah ada rincian kartu kredit yang dikirimkan. Cara ini tergolong cukup aman, namun seperti biasa, keamanan selalu berbanding terbalik dengan kenyamanan. Protokol SET dirancang supaya sang pedagang tidak menerima informasi kartu kredit yang sebenarnya. Proses transaksi ini agak rumit dan protokol ini juga membutuhkan dukungan software yang berat. Pelangan, Penjual dan Intitusi finansial, masing-masing emmbutuhkan PKI. Inilah sebabnya protokol ini sulit untuk diterapkan, dan ini bukan cara yang menyenangkan untuk berbelaja.

2. CC Virtual (CC sekali pakai)
------------------------------
Ilutrasi penggunaan CC virtual ialah:
>::--->> Pelanggan mendaftarkan diri dan mengakses CC milik situs web perusahaan >::--->> Pelanggan memasukkan informasi-informasi seperti jumlah uang yang akan dibayarkan dan validitas pembayaran >::--->> perusahaan membuat CC sekali pakai yang telah disahkan hanya untuk sekali transaksi >::--->> CC virtual dipakai berbelanja olh pelangan >::--->> Intitusi finansial penjual mengirim verivikasi pada perusahaan CC virtual pelanggan >::--->> proses pembayaran terjadi secara normal >::--->> CC virtual yang telah digunakan dimusnahkan leh perusahaan CC.

Salah satu jenis layanan CC sekali pakai ialah CC virtual yang dikeluarkan oleh Discover (Discover-Card[dot]com). CC virtual dikeluarkan oleh prusahaan CC sekali pakai saat pelanggan bermaksud melakukan pembayaran (transaksi online). Nomor CC virtual ter-link dengan CC asli pelanggan. Hanya saja pelanggan akan menerima nomor CC virtual yang berbeda setip kali transaksi hinga masa berlaku keangotanya habis. Sesuai dengan namanya, CC sekali pakai tidak akan berfungsi untuk kedua kalinya setelah digunakan pada transaksi pertama. CC tersebut akan musnah, dan hanya akan menjadi nomor sampah. "Nomor-nomor sampah" inilah yang biasanya didapat oleh para pemula yang coba-coba carding. Inilah salah satu sebab mengapa banyak newbie yang kecewa karena tak satupun ditemukan nomor CC yang masih valid dari sekian banyak nomor CC yang ditemukan dalam log transaksi orang lain. Mungkin ini bisa dijadikan semacam "hukuman" bagi para Lamer. Waktu mereka untuk mengumpulkan dan mencoba satu persatu dari puluhan kartu rdit itu akan etrbuang percuma :P Seorang Carder profesional tentu memiliki cara sendiri unuk mendapatkan nomor CC yang valid tanpa harus banyak membuang waktu.

---//Penutup

Kedua inovasi yang telah saya bahas diatas hanya sebagian kci dari sekian banyak upaya untuk melawan Carder. Ingat, bergantung sepenuhnya pada SSL bukanlah hal yang baik. SSL hanya sedikit membantu untuk mencegah pengintaian pada lalu-lintas jaringan.

How To Become A Carder

How To Become a CARDER


---------------------------------------------------------
.oO0--[ Author: Spyro Kid ]--0Oo.
[-------- spyro_zone[at]yahoo[dot]com -----–--]
//--// © 2006 www.spyrozone.tk //--//
October17, 2006
---------------------------------------------------------

--------------- PURPOSED 4 EDUCATION ONLY!! --------------

---// Preface

Monthly search report dari www.spyrozone.tk yang saya terima menunjukkan bahw rasa kengintahuan para netter terhadap dunia carding mash tinggi. Hal ini masih diperkuat dengan seringnya saya menerima pertanyaan dari para newbie.. “Bagaimana cara menjadi carder professional?.”. Tulisan ini dimaksudkan untuk mencoba menjawab pertanyaan itu.


---// Contents

[1]. Apa itu carder?
--------------------
Ketika dunia web pertamakali memperkenalkan keindahannya, mulailah muncul beberapa aksi pengrusakan-pengrusakan kecil yang dilakukan oleh para script kiddies. Tujuan utama tak lain hanyalah demi mendapatkan pengakuan (dari kelompoknya sendiri maupun masyarakat). Seiring dengan maraknya organisasi-organisasi yang menerapkan apikasi bisnis berbasis web, tujuan itu mulai berubah. Bukan lagi pengakuan yang mereka incar, tetapi aksi-aksi itu mulai mengarah pada sesuatu yang selama ini populer di kalangan umat manusia hehehe.. apalagi kalo bukan dengan tujuan kekayaan ($uang$). Professional dalam bidang ini mampu menyusup dalam sistem korban tanpa terdeteksi, keudian mencari file database atau log-log transaksi untuk mendapatkan rincian nomor-nomor kartu kredit. Mereka inilah yang kemudian disebut sebagai CARDER, para perampok cyber.

Pada intinya, untuk melakukan penyalahgunaan kartu kredit, yang diperlukan hanyalah nomor kartu, nama pemilik, dan tangal kadaluwarsanya. Jadi, misi utama seorang carder adalah bagaimana mendapatkan nomor-nomor kartu kredit orang lain, kemudian melakuakn transaksi pembelian dengan nomor kartu kredit itu.


[2]. Yang Harus Anda Sadari
---------------------------
Sebelum anda memutuskan untuk terjun di dunia carder, ada baiknya anda menyadari dan mengetahui hal-hal berikut:

--[1. Carding adalah sebuah perbuatan dosa yang pelakunya jelas-jeas akan mendapatkan siksa di Neraka. Apapun agama anda (jika anda benar-benar orang beragama), saya rasa tidak satupun dari ajaran agama yang ada memperbolehkan pemeluknya untuk menjadi pencuri.

--[2. Dunia carding bukanlah taman bermain anak-anak yang bisa anda tinggalkan begitu saja setelah anda bermain di dalamnya. Anda bisa, dan sangat mungkin untuk dilacak. Sekali saja anda tertangkap, anda akan menghabiskan sisa umur anda dengan penuh rasa sesal di balik jeruji besi. Nama anda dan keluarga anda akan tercemar, dan satu hal yang perlu anda ingat, tak satupun dari perusahaan yang ada sat ini mau menerima mantan narapidana sebagai karyawan.

--[3. Dalam melakukan aksi carding:
- gunakan line telepon yang bukan milik anda.
- Pakailah account Internet yang juga bukan milik anda.
- Jangan sekali-kali meninggalkan nama asli, handle asli, atau nama orang lain yang mengenal anda.

--[4. Gunakan proxy anonymouse atau elite proxy. Manfaatkan anonymizer, namun perlu anda ketahuai bahwa biasanya anonymizer menolak untuk melayani protokol http over ssl (https://). Ingat selalu bahwa setiap transaksi di Internet pasti mencatat alamat IP anda.

--[5. Bersihka jejak yang tertinggal di komputer tempat anda melakukan aksi menggunakan penghapus jejak yang telah banyak beredar di Inet. Dan jika anda cukup paranoid, hapus sidik jari!! :)


[3]. Kemampuan dasar
--------------------
Jika anda benar-benar ingin menjadi professional carder, setidaknya ada beberapa kemampuan dasar yang harus anda kuasai:

--[3.1 Pelajari web programming

Ini merupakan hal yang paling mendasar. Anda akan banyak sekali membutuhkan kemampuan ini nantinya. mJika anda belum pernah mengenal bahasa pemrograman web apapun, anda bisa memulai dengan belajar HTML. Sebagai upaya latihan, anda bisa memulai dengan membuat home page sederhana. Tentu saja anda harus memuai segalanya dari nol, dalam artian jangan menggunakan HTML generator. Belajarlah menulis kodenya sendiri!

Setelah itu anda dapat mencoba bahasa-bahasa web lain yang sedikit lebih rumit. Daftar bahasa-bahasa pemrograman web beserta gambaran singkatnya bisa anda baca pada tulisan saya yang berjudul “Mengenal Bahasa-Bahasa Pemrogramana Web” di www.spyrozone.tk. Pelajari dan pahami cara kerja bahasa-bahasa itu, bagaimana sifat-sifatnya, cari letak kelemahannya serta apa saja resiko-resiko keamanan yang potensial dari bahasa-bahasa itu.

--[3.2 Mengenal teknologi web server dan database server

Web server dan database server merupakan komponen utama dari suatu aplikasi Internet yang tangguh. Untuk satu alasan ini, dan juga banayka alasan-alasan lainnya, menyebabkan begitu banyak attacker menjadikannya sebagai sasaran empuk. Dengan memahami teknologi-teknologi web server seorang carder akan mampu meneliti dan mencari celah-celah keamanan di baliknya. Setelah celah keamanan itu ditemukan, barulah sang carder menerobos system dengan memanfaatkan celah tadi untuk kemudian mencari file database yang berisi rincian data kartu kredit pelanggan.

Database adalah sebuah mekanisme penyimpanan dan pencarian data bagi para pelanggan, istilah pelanggan disini bisa juga diasumsikan sebagai carder ^_^. Ironisnya, kerentanan database ternyata tidak terlalu diperhatikan oleh sebagian webmaster.

Pelajari perintah-perintah SQL, ketahui database-database default pada suatu sistem server SQL dan beberapa fungsi-fungsi yang ada padanya. Ketahui juga bagaimana bentuk setting default pada database itu, biasanya (dan seringkali) terdapat banyak sekali celah keamanan pada konfigurasi default database dan web server.

--[3.3 Memahami seluk beluk URL

URL merupakan sebuah celah yang sangat sempit dan sangat halus, sebuah mekanisme untuk mengenali sumber-sumber pada web, SSL, server FTP dan masih banyak lagi. Pelajari seluk-beluk URL, anda akan memiliki kemampuan untuk melakukan identifikasi teknologi, memahami apa yang ada dibaliknya. Hal ini akan sangat membantu anda. Pada kenyataannya, dewasa ini banyak serangan-serangan mematikan yang terjadi dan pencurian-pencurian file database dilakukan hanya dengan berbekal browser. Semua itu bisa dilakukan dikarenakan kemampuan yang baik dalam menganalisis struktur URL yang didasari oleh pengetahuan yang cukup mengenai seluk-beluk URL

--[3.4 Mengikuti perkembangan teknologi Troli Belanja

Teknologi yang mendukung komponen troli belanja adalah session managemen, statetracking dan antarmuka navigasi Front-End. Pemrogramannya sendiri dilakukan dengan menggunakan bahasa script seperti PHP, PERL, ASP, dan bahkan terkadang juga menggunakan komponen-komponen yang sudah ada, misalnya saja class Java.

Pelajari dan ikuti perkembangan teknologi troli belanja. Ada begitu banyak troli belanja yang kurang baik penerapannya dan memungkinkan untuk digunakan sebagai alat eksekusi jarak jauh melalui HTTP. Beberapa tehnik exploitasinya sudah pernah saya posting di www.spyrozone.tk , silahkan anda baca-baca arsip lama.


[4]. Apa yang harus dilakukan setelah mendapat kartunya?
---------------------------------------------------------

Jika anda sudah mendapat CC number yang valid, maka kini saatnya untuk berbelanja :) Di Indonesia mungkin agak sedikit sulit digunakan karena kebanyakan bisnis komersil yang ada akan memeriksa secara detail data-data nomor kartu kredit tersebut. Jika anda punya rekan di luar negeri, hal itu akan sangat membantu karena prosedur disana pada umumnya tidak serumit di Indonesia.

Benerapa hal yang populer dilakukan oleh para ABG adalah dengan menggunakan nomor-nomor itu untuk melakukan registrasi member situs-situs porno. *_^ Ada pula yang memakai cc curian untuk membeli domain situs pribadi.

Perlu anda ketahui bahwa cc curian biasanya tidak akan bertahan lama. Jarang sekali ada CC curian yang “panjang umur” :P . Adakalanya hanya berumur satu hari, kurang dari 12 jam, bahkan tak jarang sesaat setelah anda meg-order barang perusahaan terkait akan merasakan adanya kejanggalan-kejanggalan. Atau mungkin sang pemilik akan menemukan ketidakberesan dalam laporan rekening kartu kreditnya.

Apapun yang akan anda lakukan dengan nomor cc itu, elalu hati-hatilah dalam menjaga identitas. Jangan pernah memiliki anggapan bahwa anda tidak akan dilacak atau tertangkap. Kemungkinan itu selalu ada. Kurangi frekuensi transaksi ilegal yang anda lakukan karea hal itu juga berpengaruh dalam memperpendek kartu kredit (curian) anda.


[5]. Adakah cara mudah menjadi carder?
-------------------------------------
Jawaban dari pertanyaan itu adalah.. “ADA!” namun anda akan kehilangan kesan profesional dan hasil yang anda dapat juga kurang (bahkan tidak) memuaskan. Di kota-kota besar dimana penggunaan kartu kredit sedemikian meluas, anda bisa dengan mudah mendapatkan nomor CC dengan mengaduk-aduk tempat sampah toko grosir atau pasar swalayan besar untuk mendapat bon kartu kredit pelanggan. Pekerjaan sebagai penjaga kasir di swalayan-swalayan besar (jika anda perempuan) juga potensial untuk mendapatkan CC pembeli. Sempatkan saja untuk menyalin nomor-nomor itu secara sembunyi-sembunyi.

Bagaimana dengan CC generator? Pada umumnya jika anda menggunakan CC generator maka anda akan gagal melakukan transaksi. Pada kenyataannya, nomor-nomor CC yang dhasilkan itu hanyalah nomor-nomor fiktif. Saat ini hampir-hampir tidak bisa ditemui lagi toko elektronis yang melakukan pengecekan berdasarkan algoritma keempatbelas digit kartu kredit saja.

Pada umumnya mereka akan melakukan pemeriksaan berdasarkan:
- Nama pemegang kartu
- Nomor kartunya
- Kode pos dari alamat pemegang kartu

Jadi, sebaiknya anda tidak usah terlalu percaya dengan CC generator yang banyak beredar di Internet. Banyak CC generator yang ada hanya ditujukan untuk menipu para script kiddies.