WOW......Informasi yang hebat... (pak koer memang kalo kirim info sangat bermutu..) Thanks pak semoga bermanfaat....
--- Koerniawan Andy Widjaja <[EMAIL PROTECTED]> wrote: > > FYI > > Maling Debit Card > > <http://photos1.blogger.com/blogger/3625/376/1600/cardtheft.jpg> > > Ngikutin <http://www.msnbc.msn.com/id/11714119/> > beritanya nggak? > Kira-kira dua minggu lalu, terjadi ratusan kasus > penarikan dana > misterius dari berbagai ATM di seluruh dunia. Dan > bank-bank di Kanada, > Inggris dan Rusia santer mengindikasikan, bahwa > produk debit cards > mereka... kecolongan! Barangkali kalau kasusnya > kartu kredit, ya kita > semua sudah maklum. Tapi kartu debit? > > Orang bilang, belanja via kartu debit (istilah > kebanyakan kita: "kartu > ATM") lebih aman karena -- nggak seperti kartu > kredit -- ia memiliki > satu level security tambahan: password a.k.a. nomor > PIN. > > Kartu kredit lebih gampang di-counterfeit, tapi > eksekusinya perlu > arrangement rada ruwet yang melibatkan banyak pihak. > Sebaliknya, kartu > debit, dengan adanya PIN itu, agak susah di-fraud. > Tapi begitu dapat > PIN, yah it's where the money is. > > Cuman, melihat kasus ini, para bandit itu rupanya > mulai bisa > mengira-ngira untuk getting around dengan kendala > PIN ini. Kalau > kasusnya satu dua sih mungkin nggak masalah, anggap > aksidental aja, > misalnya ada orang di belakang antrian yang suka > ngintip. Tapi ini > ratusan, ribuan? Dari mana mereka memperoleh data > nomor account sebanyak > itu, dan yang paling bikin saya wondering: dari mana > mereka bisa tahu > semua nomor PIN-nya? > > Oke, coba kita runut-runut, seperti apa sih cara > kerjanya. Sambil > mencoba mengira-ngira kemungkinan terjadinya di > sini, di Indonesia. > Again, ini soal kartu debit, bukan credit card. > > Sayangnya... perangkat kriminalnya sama. ;-) > > > <http://photos1.blogger.com/blogger/3625/376/1600/msr206.jpg> > > Alat di gambar itu namanya skimmer, atau istilah > formalnya card > reader/writer. Bisa membaca data-data di > magnetic-stripe kartu, lalu > menuliskannya di plastik kartu yang baru. Yes, buat > para maling, alat > itu fungsinya satu: menggandakan kartu. Bisa nyimpen > data dalam jumlah > besar, yang kemudian di-download di PC via serial. > Harga sekitar > $600-an, dan besarnya cuma segenggaman tangan aja. > (Huh, kalau inget > alat ini, saya suka ketar-ketir kalau bayar makan di > restoran > menggunakan kartu kredit. Mana pelayannya klimis dan > sopan banget, > membungkuk ke arah kartu, dengan senyum yang > dingin...) > > Jadi... mereka bisa duplikasi kartu. Dan > malam-malam, sehabis kerja > seharian di cashier, mereka bisa dump semua > data-datanya ke laptop, > tulis ke magnetic-stripe di kartu yang baru, lari ke > anjungan terdekat, > memasukkan kartu palsunya di mesin ATM, lalu... > wait, mereka perlu nomor > PIN. > > Nah sekarang, data-data apa aja ya yang ada di > magnetic-stripe itu? > > > <http://photos1.blogger.com/blogger/3625/376/1600/card-tracks.jpg> > > Buat yang belum tahu, magnetic-stripe itu seperti > tape kaset aja > layaknya, material ferromagnetic yang dapat dipakai > untuk menyimpan data > (suara, gambar, atau bit-bit biner). Untuk kartu, > ada 3 track data. > (Kenapa tiga? Standar ANSI/ISO. Selebihnya, nggak > tahu). Track 1 dan > Track 2 aja yang biasanya dipakai. Track 3 tadinya > diperuntukkan untuk > extended service, cuma service-nya nggak > muncul-muncul sehingga track > ini ditinggalkan. > > Berlaku hanya di kartu kredit dan ATM (bisa berbeda > di "kartu absen" > kantor misalnya). Kalau kita extract data-data itu, > misalkan menggunakan > skimmer tadi, kita bisa lihat informasi seperti ini > di kartu Visa: > > > <http://photos1.blogger.com/blogger/3625/376/1600/sample-tracks.jpg> > > Kelihatan nggak? Sekedar contoh aja: % di awal dan ? > di akhir di Track 1 > itu menunjukkan start code dan end-code. Huruf 'B' > menunjukkan > format-code, yaitu "Bank Card". 1111222233334444 > adalah nomor kartu. > LASTNAME/FIRSTNAME... self-explained. 9912 adalah > expiration-date, > 12/99. Sementara 101... dan seterusnya adalah > data-data khusus. So, > untuk kartu kredit ini, dengan skimmer seharga > handphone Nokia seri 9 > itu, si maling udah bisa belanja di Internet. ;-) > > Tapi tidak demikian halnya dengan kartu ATM: > > > <http://photos1.blogger.com/blogger/3625/376/1600/sample-tracks2.jpg> > > Mirip dengan kartu kredit ya? Bedanya, instead of > 101, kita punya 1201 > untuk data khusus milik bank. Dan 4 digit 'xxxx', > berbeda-beda untuk > setiap kartu. Lokasi encrypted PIN kah? Mungkin. > > Tapi rasanya bisa dipastikan, PIN nggak akan > disimpan plainly gitu aja > di kartu (kecuali banknya kuoooplooo buaanget). Kita > pernah baca bahwa > di jaman dulu (dan kayaknya sampai sekarang), > mesin-mesin IBM yang jadi > langganan perbankan kita menggunakan > <http://www.quadibloc.com/crypto/co0402.htm> DES > (atau > <http://en.wikipedia.org/wiki/3DES> 3DES) untuk > menentukan PIN. Yah, > either way, untuk meng-crack DES nggak akan bisa > straight-forward dan > perlu waktu lumayan lama. > > Lalu question remains, dari mana lagi mereka bisa > dapat PIN? > 1. Seminggu yang lalu, Visa > <http://news.zdnet.com/2100-1009_22-6051261.html?tag=zdfd.newsfeed> > ngasih warning bahwa third-party software yang > dipakai di POS (point of > sales) milik merchant bisa jadi menyimpan informasi > kartu. Nah, kalau > dia bisa store informasi kartu, mustinya bisa > logging juga PIN yang > dimasukkan pelanggan. Ya nggak sih? Kayaknya ini > yang paling mungkin. > Pertanyaannya: niat baik apa software POS itu > nge-log PIN kita? > 2. Alternatif kedua, MITM (man-in-the-middle) > attack? Kalau > teman-teman akrab dengan skema master-session atau > <http://engineers.ihs.com/abstracts/ansi-x924.jsp> > DUPKT yang banyak > dipakai di mesin card-processor semacam > <http://www.hypercom.com/> > Hypercom di toserba-toserba kita, rasanya sih rada > susah. Nggak bisa > langsung begitu aja wiretap seperti nguping > pembicaraan telpon. Tapi > tahu nggak, ada orang yang bisa bikin > <http://www.cl.cam.ac.uk/%7Emkb23/interceptor/> > prototype device yang > jadi man-in-the-middle di antara kartu dengan > terminal! > > > <http://photos1.blogger.com/blogger/3625/376/1600/interceptor.jpg> > > Once alat itu "duduk" di situ, ia bisa listening > PIN, nggak peduli > kartunya tipe smartcard yang pake chip (kayak > <http://www.kompas.com/kompas-cetak/0603/14/finansial/2504012.htm> > peraturan barunya BI yang bikin heboh bank-bank itu) > > Oke, frens, now you know how it works, mungkin kita > musti jaga jarak > sedikit kalau mau belanja pake kartu debit. > === message truncated === __________________________________________________ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com Gabung, Keluar, Mode Pengiriman: [EMAIL PROTECTED] Database Warga Wismamas: http://www.wismamas.tk JANGAN MENGELUH! dengan keadaan, temukan jawabannya di http://www.bsbplus.tk Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/wismamas/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/
