C A R D I N G

1.  DEFINISI CARDING

          Carding adalah kejahatan dengan menggunakan teknologi komputer untuk melakukan transaksi dengan menggunakan kartu kredit orang lain sehingga dapat merugikan orang tersebut baik materil maupun non-materil. Carder adalah sebutan yang digunakan untuk menamakan para pelaku kejahatan Carding.

Adapun beberapa definisi lain menurut para ahli :

• Menurut Doctor Crash dalam bulletin para hacker menyatakan pengertian dari Carding adalah “Sebuah cara untuk mendapatkan barang-barang yang diperlukan tanpa membayar mereka”.
• Menurut IFFC (Internet Fraud Complaint Centre) salah satu unit dari FBI, Carding adalah “Penggunaan yang tidak sah dari kartu kredit atau kartu debit Fraudlently untuk memperoleh uang atau properti dimana kartu kredit atau nomor kartu debit dapat dicuri dari situs web yang tidak aman atau dapat diperoleh dalam pencurian identitas scheme.

    

     2. LANGKAH – LANGKAH CARDING

         Ada beberapa tahapan yang umumnya dilakukan para carder dalam melakukan aksi kejahatannya:

A. Mendapatkan nomor kartu kredit yang bisa dilakukan dengan berbagai cara antara lain, yaitu:

• Phising adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan instan. Contohnya adalah membuat situs palsu seperti dalam kasus situs klik BCA.
   
• Hacking menurut Zackary dalam white paper-nya yang berjudul “Basic of Hacking” yang dimuat di Sans, hacking adalah aktivitas penyusupan ke dalam sebuah sistem komputer ataupun jaringan dengan tujuan untuk menyalahgunakan ataupun merusak sistem yang ada.
   
• Sniffing adalah penyadapan terhadap lalu lintas data pada suatu jaringan komputer.
   
• Keylogging adalah suatu program (walaupun jarang, tapi juga ada keylogger berbentuk hardware) yang dirancang khusus untuk mencatat segala aktifitas keyboard dan menyimpan hasilnya kedalam sebuah log atau catatan teks.
   
• Chatting dengan merayu dan tanpa sadar memberikan nomor kartu kredit secara sukarela, berbagi informasi antara carder, mengunjungi situs yang memang spesial menyediakan nomor-nomor kartu kredit buat carding dan lain-lain yang pada intinya adalah untuk memperolah nomor kartu kredit.

B. Mengunjungi situs-situs online yang banyak tersedia di internet seperti Ebay, Amazon untuk kemudian carder mencoba-coba nomor yang dimilikinya untuk mengetahui apakah kartu tersebut masih valid atau limitnya mencukupi.


C. Melakukan transaksi secara online untuk membeli barang seolah-olah carder adalah pemilik asli dari kartu tersebut.Menentukan alamat tujuan atau pengiriman, sebagaimana kita ketahui bahwa Indonesia dengan tingkat penetrasi pengguna internet di bawah 10%, namun menurut survei AC Nielsen tahun 2001 menduduki peringkat keenam dunia dan keempat di Asia untuk sumber para pelaku kejahatan carding. Hingga akhirnya Indonesia di-blacklist oleh banyak situs-situs online sebagai negara tujuan pengiriman. Oleh karena itu, para carder asal Indonesia yang banyak tersebar di Jogja, Bali, Bandung dan Jakarta umumnya menggunakan alamat di Singapura atau Malaysia sebagai alamat antara dimana di negara tersebut mereka sudah mempunyai rekanan.


D. Pengambilan barang oleh carder.



     3. CONTOH KASUS CARDING Aparat subdit Sumber Daya dan Lingkungan (Sumdaling) Direktorat Reserse Kriminal Khusu Polda Metro Jaya menagkap sindikat pembobolan kartu ini ditangkap di Medan dan Sidoarjo.

Keempat tersangka yang ditangkap yakni seorang perempuan SA alias A (36) ditangkap di Medan bersama suaminya TK alias Acuan (37), seorang lelaki berinisial FA (36) di Sidoarjo, Jawa Tengah. Kepala Bidang Humas Polda metro Jaya Komisaris Besar Polisi Rikwanto mengatakan, keempat tersangka ditangkap setelah adanya laporan pencurian data kartu kredit dan kartu debit di 7 merchant BodyShop di jakarta beberapa waktu lalu.

“Menindaklanjuti laporan tersebut, tim penyidik berhasil melacak identitas dan keberadaan pelaku yang disinyalir berdomisili di Medan, Sumatera Utara “Kata Rikwanto kepada wartawan di Mapolda Metro Jaya, Jakarta, Kamis (30/5/2013).

Rikwanto menjelaskan, para tersangka melakuakn data kartu kredit dan debit sejumlah nasabah pada sejumlah Bank. Pencurian data tersebut dilakukan di merchant BodyShop yakni Lotte Mall, Bintaro, Pasaraya Blok M, Kota Kasablanca , Mall Taman Anggrek, Mall Kelapa gading, Kelapa Gading 3 dan Pondok Indah Mall.

Senin, 6 Mei 2013, tim penyidik yang dipimpin oleh Kasubdit III Sumbaling AKBD Nazli Harahap, berhasil mengakap SA. SA tertangkap setelah melakukan transaki di Toko Wijaya, Medan pada 12 maret menggunakan data nasabah Bukopin atas nama Syarifah Fairudin yang pernah berbelanja di BodyShop LotteMart Bintaro, Jakarta Selatan.

“Tersangka juga menggunakan data kartu Bank Mandiri milik korban Dewi Indriasari yang pernah berbelanja di counter BodyShopy LotteMart, Bintaro pasda tanggal 21 Maret 2013” kata Rikwanto.
Setelah itu, polisi menangkap TK alias A yang merupakan suami SA. Dari keduanya polisi menyita barang bukti berupa 3 buah laptop, 1 alat encoder kartu, 40 kartu kredit palsu, 3 buah printer, 1 alat EDC (Elescrtonic Digital Capture) serta beberapa lembar plastik press kartu.

Penyidik kemudian mengembangkan penyidikan terhadap jaringan pelaku SA dan TK yang berada di Sidoarjo, Jawa Timur. Di sana, polisi menangkap tersangka FA di Jl Raya Wonokoyo, Kecamatan Gedangan , Sidoarjo.“FA yang saat ditangkap berada di dalam mobil ditemukan sedang online dan mengisi data kartu kredit curian ke dalam kartu kredit palsu” kata dia.

Tim kemudian menyita barang bukti berupa 1 buah laptop, 1 buat alat encoder dan 31 buah kartu palsu. Selang sehari kemudian, polisi menangkap tersangka KN di Sidoarjo dengan barang bukti 1 buah laptop, modem internet, dan beberapa buah kartu kredit atas nama orang lain.

Atas perbuatannya, para tersangka dijerat dengan pasal 363 KUHP dan atau Pasal 31 UU No 11 Tahun 2008 tentang ITE dan atau Pasal 3 dan Pasal 6 UU No 8 Tahun 2010 tentang pencegahan dan pemberantasan tindak pidana pencucian uang dengan ancaman hukuman maksimal 6 tahun penjara.



     4. KRONOLOGI KASUS PENCURIAN DATA KARTU KREDIT DI BODY SHOP

Kasus pencurian data nasabah kembali terulang. Kali ini kejahatan di bidang keuangan (fraud) ini diduga dilakukan di merchant perusahaan produk kecantikan Body Shop. Meski belum diketahui nilai pencurian yang dialami, Bank Indonesia (BI) menduga aksi kejahatan ini terjadi di dua mall di Jakarta.

Dari hasil penelitian yang dilakukan BI bersama institusi terkait, aksi pencurian data nasabah ternyata tak hanya terjadi di dua mall di ibukota. BI menduga pencurian data juga terjadi di satu kantor cabang BodyShop di Padang, Sumatera Barat.

Para pelaku pencurian data pertama kali terdeteksi lewat transaksi mencurigakan di Amerika Serikat dan Meksiko. Namun, aksi terus berlanjut sehingga BI menemukan kejanggalan serupa di beberapa negara seperti Filipina, Turki, Malaysia, Thailand, bahkan hingga ke India.

Berikut adalah kronologi dan perkembangan kasus pencurian data kartu kredit di BodyShop seperti diungkap dari keterangan tertulis BI, Senin (25/3/2013).

Selasa, 5 maret 2013

• Terdeteksi fraud counterfeit kartu debit di Amerika Serikat dan Meksiko. (Sebagai info di kedua negara tersebut untuk pembayaran di EDC mereka terdapat opsi untuk melakukan transaksi dengan debit ataupun kredit, dan fraud counterfeit ini hanya terjadi pada kartu kredit yang menggunakan swipe).

• Telah dilakukan analisa kesamaan data histori transaksi pengguna kartu - analisa Common Purchase Point (CPP).

• Telah dilakukan koordinasi antar penerbit.

Rabu, 6 maret 2013

• Dari hasil dan sharing antar bank diketahui dugaan awal tempat pencurian data adalah meerchant BodyShop di dua buah mall di Jakarta.

• Telah dilakukan koordinasi dengan pihak Visa International untuk pembuatan parameter Real Time Decline pada system VAA/VRM terhadap transaksi yang terjadi di US dan Meksiko untuk suspiciuos terminal.

Kamis, 7 maret 2013

• Diketahui tempat terjadinya fraud bertambah tidak hanya di US dan Meksiko, melainkan juga di Philipina, Turki, Malaysia, Tahiland, dan India.

• Dugaan adanya tempat pencurian data mulai berkembang ke cabang Body Shop yang lain.

Jumat, 8-10 Maret 2013

• Sejumlah bank telah melakukan pemblokiran kartu dan melanjutkan analisis Common Purchase Point (CPP).

• Hasil analisa CPP menyimpulkan dugaan tempat pencurian data berkembang ke cabang Body Shop yang lain, di beberapa toko di Jakarta dan satu di padang.

Senin, 11 Maret 2013

• Telah dilakukan koordinasi lanjutan dengan pihak Visa international untuk pembuatan parameter Real Time Decline pada system VAA/VRM untuk transaksi swipe di US, Meksiko, Turki, Malaysia, Philipina, Thailand, dan India.

Pengembangan Investigasi

Kamis, 14 Maret 2013

• Telah dilakukan pertemuan antara pihak bank acquirer dengan pihak Body Shop, dengan agenda menginformasikan kasus fraud yang terjadi dengan dugaan sementara pencurian data di merchant Bodyshop di dua mall di Jakarta.

• Perwakilan Bank Acquirer bertemu dengan pihak Body Shop untuk meminta penjelasan prosedur atau flow cash register yang ada di masing-masing outlet sehingga tersimpan di server kantor pusat. (Shd)

Rabu, 20 Maret 2013

• Telah dilakukan kesepakatan antar anggota AKKI tanggal 20 Maret 2013. AKKI telah membuat laporan ke pihak kepolisian, melakukan uji forensik dan megghentikan praktik double swipe di merchant Body Shop.

     5. PENCEGAHAN KASUS CARDING

A. Pencegahan dengan hukum

Hukum cyber sangat identik dengan dunia maya, yaitu sesuatu yang tidak terlihat dan semua hal ini akan menimbulkan kesulitan bagi para penegak hukum terkait dengan pembuktian dan penegakan hukum atas kejahatan dunia maya. Selain itu obyek hukum siber adalah data elektronik yang sangat rentan untuk diubah, disadap, dipalsukan dan dikirim ke berbagai penjuru dunia dalam waktu hitungan detik. Oleh karena itu, kegiatan siber meskipun bersifat virtual dan maya dapat dikategorikan sebagai tindakan dan perbuatan hukum yang nyata.

Secara yuridis untuk ruang siber sudah tidak pada tempatnya lagi untuk mengkategorikan sesuatu dengan ukuran dan kualifikasi hukum konvensional untuk dapat dijadikan objek dan perbuatan, sebab jika cara ini yang ditempuh akan terlalu banyak kesulitan dan hal-hal yang lolos dari jerat hukum. Karena kegiatan ini berdampak sangat nyata meskipun alat buktinya bersifat elektronik. Dengan demikian subjek pelakunya harus dikualifikasikan pula sebagai orang yang telah melakukan perbuatan hukum secara nyata.

B. Pencegahan dengan teknologi

Handphone dapat dikatakan merupakan keamanan yang privacy bagi penggunanya. SMS bisa dijadikan sebagai otentikasi untuk mencegah para carding menggunakan kartu kredit ilegal. Untuk itu diperlukan suatu proses yang dapat memberikan pembuktian bahwa dengan cara otentikasi melalui SMS maka kejahatan carding dapat ditekan sekecil mungkin. Otentikasi sms dilakukan dengan menggunakan tanda tangan digital dan sertifikat.

C. Pencegahan dengan pengamanan web security

Penggunaan sistem keamanan web sebaiknya menggunakan keamanan SSL. Untuk data yang disimpan kedalam database sebaiknya menggunakan enkripsi dengan metode algoritma modern, sehingga cryptoanalysis tidak bisa mendekripsikanya.

D. Pengamanan pribadi

Pengamanan pribadi adalah pengamanan dari sisi pemakai kartu kredit. Pengamanan pribadi antara lain secara on-line dan off-line:

• Pengaman pribadi secara off-line

Anda harus memastikan kartu kredit yang anda miliki tersimpan pada tempat yang aman. Jika kehilangan kartu kredit dan kartu identitas kita, segeralah lapor ke pihak berwajib dan dan pihak bank serta segera lakukan pemblokiran pada saat itu juga. Jangan tunggu waktu hingga anda kebobolan karena digunakan oleh orang lain (baik untuk belanja secara fisik maupun secara online). Pastikan jika Anda melakukan fotocopy kartu kredit dan kartu identitas tidak sampai digandakan oleh petugas layanan (yang minta copy kartu kredit anda) atau pegawai foto copy serta tidak di catat CCV-nya. Tutup 3 digit angka terakhir CVV dengan kertas putih sebelum kartu kredit kita di foto copy. Hal ini untuk menghindari penyalahgunaan kartu kredit kita oleh pihak lain dengan tidak semestinya. Perlakukan pengamanan CVV anda sama dengan pengamanan PIN atau Password anda. Jangan asal atau sembarang menyuruh orang lain untuk memfoto copy kartu kredit dan kartu identitas. Waspadalah pada tempat kita berbelanja, pastikan pada tempat belanja/tempat shopping/counter/gerai/hotel, dan lain-lain yang benar–benar jelas kredibilitas-nya.

• Pengaman pribadi secara on-line.

Belanja di tempat (websites online shopping) yang aman, jangan asal belanja tapi tidak jelas pengelolanya atau mungkin anda baru pertama mengenalnya sehingga kredibilitasnya masih meragukan. Pastikan pengelola Websites Transaksi Online mengunakan SSL (Secure Sockets Layer) yang ditandai dengan HTTPS pada Web Login Transaksi online yang anda gunakan untuk berbelanja. Jangan sembarangan menyimpan File Scan kartu kredit Anda sembarangan, termasuk menyimpannya di flashdisk dan dalam email anda.

E. Undang-Undang Terkait

Dalam menangani kasus Carding para penyidik (Khususnya Polri) melakukan analogi atau perumpamaan dan persamaan terhadap pasal-pasal yang ada dalam KUHP, Pasal yang dapat dikenakan dalam KUHP pada Cybercrime sebelum lahirnya UU No.11 tentang Informasi dan Transaksi Elektronika (ITE), maka mau tidak mau Polri harus menggunakan pasal-pasal di dalam KUHP seperti pasal pencurian, pemalsuan dan penggelapan untuk menjerat para Carder, dan ini jelas menimbulkan berbagai kesulitan dalam pembuktiaannya karena mengingat karakteristik dari Cybercrime yang terjadi secara nonfisik dan lintas negara.

Kemudian setelah lahirnya UU ITE No.11 tentang Informasi dan Transaksi Elektronika (ITE), khusus kasus Carding dapat dijerat dengan menggunakan Pasal 31 ayat 1 dan 2 yang membahas tentang Hacking. Karena dalam salah satu langkah untuk mendapatkan nomor kartu kredit Carder sering melakukan Hacking ke situs-situs resmi lembaga penyedia kartu kredit untuk menembus sistem pengamannya dan mencuri nomor-nomor kartu tersebut.

Di Indonesia, carding dikategorikan sebagai kejahatan pencurian, yang dimana pengertian Pencurian menurut hukum beserta unsur-unsurnya dirumuskan dalam pasal 362 KHUP yaitu: "Barang siapa mengambil suatu benda yang seluruhnya atau sebagian milik orang lain, dengan maksud untuk dimiliki secara melawan hukum, diancam karena pencurian, dengan pidana penjara paling lama 5 tahun atau denda paling banyak sembilan ratus rupiah".

Bunyi pasal 31 yang menerangkan tentang perbuatan yang dianggap melawan hukum menurut hukum UU ITE berupa illegal access:

• Pasal 31 ayat 1

“Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan interepsi atau penyadapan atas informasi elektronika atau dokumen elektronik dalam suatu computer atau sistem elektronik secara tertentu milik orang lain”.

• Pasal 31 ayat 2

“Setiap orang dengan sengaja atau tanpa hak atau melawan hukum melakukan intersepsi atau transmisi elektronik dan dokumen elektronik yang tidak bersifat publik di dalam suatu komputer atau sistem eletronik tertentu milik orang lain, baik yang tidak menyebabkan perubahan, penghilangan atau penghentian informasi elektronik atau dokumen elektronik yang ditransmisikan”.

F. Ketentuan Pidana Terkait

Ketentuan Pidana dalam UU ITE mengenai tindak pidana Carding terdapat dalam UU ITE tahun 2008 BAB XI Pasal 47 yang berbunyi “Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 31 ayat (1) atau ayat (2) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/ atau denda paling banyak Rp.800.000.000,00 (delapan ratus juta rupiah)”