Saturday, April 01, 2006

Maling Debit Card

Ngikutin beritanya nggak? Kira-kira dua minggu lalu, terjadi ratusan kasus penarikan dana misterius dari berbagai ATM di seluruh dunia. Dan bank-bank di Kanada, Inggris dan Rusia santer mengindikasikan, bahwa produk debit cards mereka... kecolongan! Barangkali kalau kasusnya kartu kredit, ya kita semua sudah maklum. Tapi kartu debit?

Orang bilang, belanja via kartu debit (istilah kebanyakan kita: "kartu ATM") lebih aman karena -- nggak seperti kartu kredit -- ia memiliki satu level security tambahan: password a.k.a. nomor PIN.

Kartu kredit lebih gampang di-counterfeit, tapi eksekusinya perlu arrangement rada ruwet yang melibatkan banyak pihak. Sebaliknya, kartu debit, dengan adanya PIN itu, agak susah di-fraud. Tapi begitu dapat PIN, yah it's where the money is.

Cuman, melihat kasus ini, para bandit itu rupanya mulai bisa mengira-ngira untuk getting around dengan kendala PIN ini. Kalau kasusnya satu dua sih mungkin nggak masalah, anggap aksidental aja, misalnya ada orang di belakang antrian yang suka ngintip. Tapi ini ratusan, ribuan? Dari mana mereka memperoleh data nomor account sebanyak itu, dan yang paling bikin saya wondering: dari mana mereka bisa tahu semua nomor PIN-nya?

Oke, coba kita runut-runut, seperti apa sih cara kerjanya. Sambil mencoba mengira-ngira kemungkinan terjadinya di sini, di Indonesia. Again, ini soal kartu debit, bukan credit card.

Sayangnya... perangkat kriminalnya sama. ;-)


Alat di gambar itu namanya skimmer, atau istilah formalnya card reader/writer. Bisa membaca data-data di magnetic-stripe kartu, lalu menuliskannya di plastik kartu yang baru. Yes, buat para maling, alat itu fungsinya satu: menggandakan kartu. Bisa nyimpen data dalam jumlah besar, yang kemudian di-download di PC via serial. Harga sekitar $600-an, dan besarnya cuma segenggaman tangan aja. (Huh, kalau inget alat ini, saya suka ketar-ketir kalau bayar makan di restoran menggunakan kartu kredit. Mana pelayannya klimis dan sopan banget, membungkuk ke arah kartu, dengan senyum yang dingin...)

Jadi... mereka bisa duplikasi kartu. Dan malam-malam, sehabis kerja seharian di cashier, mereka bisa dump semua data-datanya ke laptop, tulis ke magnetic-stripe di kartu yang baru, lari ke anjungan terdekat, memasukkan kartu palsunya di mesin ATM, lalu... wait, mereka perlu nomor PIN.

Nah sekarang, data-data apa aja ya yang ada di magnetic-stripe itu?


Buat yang belum tahu, magnetic-stripe itu seperti tape kaset aja layaknya, material ferromagnetic yang dapat dipakai untuk menyimpan data (suara, gambar, atau bit-bit biner). Untuk kartu, ada 3 track data. (Kenapa tiga? Standar ANSI/ISO. Selebihnya, nggak tahu). Track 1 dan Track 2 aja yang biasanya dipakai. Track 3 tadinya diperuntukkan untuk extended service, cuma service-nya nggak muncul-muncul sehingga track ini ditinggalkan.

Berlaku hanya di kartu kredit dan ATM (bisa berbeda di "kartu absen" kantor misalnya). Kalau kita extract data-data itu, misalkan menggunakan skimmer tadi, kita bisa lihat informasi seperti ini di kartu Visa:


Kelihatan nggak? Sekedar contoh aja: % di awal dan ? di akhir di Track 1 itu menunjukkan start code dan end-code. Huruf 'B' menunjukkan format-code, yaitu "Bank Card". 1111222233334444 adalah nomor kartu. LASTNAME/FIRSTNAME... self-explained. 9912 adalah expiration-date, 12/99. Sementara 101... dan seterusnya adalah data-data khusus. So, untuk kartu kredit ini, dengan skimmer seharga handphone Nokia seri 9 itu, si maling udah bisa belanja di Internet. ;-)

Tapi tidak demikian halnya dengan kartu ATM:


Mirip dengan kartu kredit ya? Bedanya, instead of 101, kita punya 1201 untuk data khusus milik bank. Dan 4 digit 'xxxx', berbeda-beda untuk setiap kartu. Lokasi encrypted PIN kah? Mungkin.

Tapi rasanya bisa dipastikan, PIN nggak akan disimpan plainly gitu aja di kartu (kecuali banknya kuoooplooo buaanget). Kita pernah baca bahwa di jaman dulu (dan kayaknya sampai sekarang), mesin-mesin IBM yang jadi langganan perbankan kita menggunakan DES (atau 3DES) untuk menentukan PIN. Yah, either way, untuk meng-crack DES nggak akan bisa straight-forward dan perlu waktu lumayan lama.

Lalu question remains, dari mana lagi mereka bisa dapat PIN?
  1. Seminggu yang lalu, Visa ngasih warning bahwa third-party software yang dipakai di POS (point of sales) milik merchant bisa jadi menyimpan informasi kartu. Nah, kalau dia bisa store informasi kartu, mustinya bisa logging juga PIN yang dimasukkan pelanggan. Ya nggak sih? Kayaknya ini yang paling mungkin. Pertanyaannya: niat baik apa software POS itu nge-log PIN kita?

  2. Alternatif kedua, MITM (man-in-the-middle) attack? Kalau teman-teman akrab dengan skema master-session atau DUPKT yang banyak dipakai di mesin card-processor semacam Hypercom di toserba-toserba kita, rasanya sih rada susah. Nggak bisa langsung begitu aja wiretap seperti nguping pembicaraan telpon. Tapi tahu nggak, ada orang yang bisa bikin prototype device yang jadi man-in-the-middle di antara kartu dengan terminal!


    Once alat itu "duduk" di situ, ia bisa listening PIN, nggak peduli kartunya tipe smartcard yang pake chip (kayak peraturan barunya BI yang bikin heboh bank-bank itu)
Oke, prens, now you know how it works, mungkin kita musti jaga jarak sedikit kalau mau belanja pake kartu debit.

No comments: