Monday, November 06, 2006
Jangan terlalu senang berbelanja dengan kartu ATM, kartu debit di merchant yang suka menawarkan gesekan kartu. Terjadi ratusan kasus penarikan dana misterius dari berbagai ATM di seluruh dunia. Dan bank-bank di Kanada, Inggris dan Rusia santer mengindikasikan, bahwa produk debit cards mereka... kecolongan! Barangkali kalau kasusnya kartu kredit, ya kita semua sudah maklum. Tapi kartu debit?
Orang bilang, belanja via kartu debit (istilah kebanyakan kita: "kartu ATM") lebih aman karena -- nggak seperti kartu kredit ia memiliki satu level security tambahan: password atau nomor PIN. Kartu kredit lebih gampang di-counterfeit, tapi eksekusinya perlu arrangement rada ruwet yang melibatkan banyak pihak. Sebaliknya, kartu debit, dengan adanya PIN itu, agak susah di-fraud. Tapi begitu dapat PIN, yah it's where the money is.
Melihat kasus ini, para bandit itu rupanya mulai bisa mengira-ngira untuk getting around dengan kendala PIN ini. Kalau kasusnya satu dua sih mungkin nggak masalah, anggap aksidental aja, misalnya ada orang di belakang antrian yang suka ngintip. Tapi ini ratusan, ribuan? Dari mana mereka memperoleh data nomor account sebanyak itu, dan yang paling bikin wondering: dari mana mereka bisa tahu semua nomor PIN-nya?
Mari coba kita runut-runut, seperti apa sih cara kerjanya. Ini sudah terjadi di sini, di Indonesia. Again, ini soal kartu debit, bukan credit card. Alat di gambar itu namanya skimmer, atau istilah formalnya card reader/writer. Alat itu bisa membaca data-data di magnetic-stripe kartu, lalu menuliskannya di plastik kartu yang baru. Alat itu fungsinya satu: menggandakan kartu. Bisa nyimpen data dalam jumlah besar, yang kemudian di-download di PC via serial. Harga sekitar $600-an, dan besarnya cuma segenggaman tangan aja.
Jadi... mereka yang merekam bisa menduplikasi kartu. Dan malam-malam, sehabis kerja seharian di cashier, mereka bisa baca semua data-datanya ke laptop, lalu menulis ke magnetic-stripe di kartu yang baru, lari ke ATM terdekat, memasukkan kartu palsunya di mesin ATM, lalu... wait, mereka perlu nomor PIN.
Sebelumnya, magnetic-stripe itu menyimpan aneka data. Magnetic-stripe itu seperti tape kaset saja layaknya, material ferromagnetic yang dapat dipakai untuk menyimpan data (suara, gambar, atau bit-bit biner). Untuk kartu, ada 3 track data. (Kenapa tiga? Standar ANSI/ISO. Selebihnya, nggak tahu). Track 1 dan Track 2 aja yang biasanya dipakai. Track 3 tadinya diperuntukkan untuk extended service, cuma service-nya tidak muncul-muncul sehingga track ini ditinggalkan. Berlaku hanya di kartu kredit dan ATM (bisa berbeda di "kartu absen" kantor misalnya). Kalau kita extract data-data itu, misalkan menggunakan skimmer tadi, kita bisa lihat informasi seperti ini di kartu Visa:
Kelihatan nggak? Sekedar contoh aja: tanda % di awal dan tanda ? di akhir di track 1 itu menunjukkan start code dan end-code. Huruf 'B' menunjukkan format-code, yaitu "Bank Card". 1111222233334444 adalah nomor kartu. Lalu ada informasi nama last name / fisrt name. 9912 adalah expiration-date, 12/99. Sementara 101... dan seterusnya adalah data-data khusus. So, dengan data yang terbaca dengan skimmer seharga handphone Nokia seri 9 itu, data di kartu ATM kita bukan lagi rahasia bagi mereka yang punya niat buruk.
Tapi tidak demikian halnya dengan kartu ATM. Mirip dengan kartu kredit ya? Bedanya, instead of 101, kita punya 1201 untuk data khusus milik bank. Dan 4 digit 'xxxx', berbeda-beda untuk setiap kartu. Lokasi encrypted PIN kah? Mungkin. Tapi rasanya bisa dipastikan, PIN nggak akan disimpan plainly gitu aja di kartu (kecuali banknya bego buaanget). Kita pernah baca bahwa di jaman dulu (dan kayaknya sampai sekarang), mesin-mesin IBM yang jadi langganan perbankan kita menggunakan DES (atau 3DES) untuk menentukan PIN. Yah, either way, untuk meng-crack DES nggak akan bisa straight-forward dan perlu waktu lumayan lama.
Lalu dari mana lagi mereka bisa mendapat informasi PIN:
1. Third-party software yang dipakai di POS (point of sales) milik merchant bisa jadi menyimpan informasi kartu. Nah, kalau dia bisa store informasi kartu, mustinya bisa logging juga PIN yang dimasukkan pelanggan. Memang susah kalau software POS itu nge-log PIN kita.
2. MITM (man-in-the-middle) pembacanya. Kalau paham dengan dengan skema master-session atau DUPKT yang banyak dipakai di mesin card-processor semacam Hypercom di toserba-toserba kita, rasanya tak mungkin. Karena wiretap tak mungkin dengan mudah membaca atau merekam setiap datan yang lewat. Tapi ada orang yang bisa membuat prototype device yang jadi man-in-the-middle di antara kartu dengan terminal! Dari prototipe inilah data-data termasuk PIN kita terbaca. Alat itu bisa membaca PIN, meskipun kartunya tipe smartcard yang pake chip sekalipun.
Now you know how it works, membuat kita mesti berhati-hati kalau kita mau belanja dengan kartu kredit, sedikit waspada dengan peranti-piranti lain yang menyadap data kita di merchant-merchant, yang suka menawarkan gesekan kartu ATM kita…
Postingan diambil dari Luluk Widyawan