Friday, 29-March-2024, 20:43:33
Welcome Guest
Main | | Registration | Login
Site menu

Section categories
HACKER [10]
Disini kita membahas tentang Hacking pada Kartu Kredit, yang disadur dari Jawa Pos.

Tag Board
500

Our poll
Rate my site
Total of answers: 4

Statistics

Total online: 1
Guests: 1
Users: 0

Login form

Main » 2011 » January » 30 » HACKING TUTORIAL - 4
10:44:49
HACKING TUTORIAL - 4

SOCIAL ENGINEERING

        Tentunya Anda sudah tahu dan sering mendengar kata-kata Social Engineering. Berikut ini langsung saya berikan sebuah contoh berupa percakapan seorang operator telepon card center ataupun customer service bank. Teknik ini pulalah yang sering ditiru oleh para carder. Selain dari bank banyak pula yang mengaku dari petugas bank bagian/departemen lainnya, konsultan keuangan, pihak penjamin kartu kredit, bagian asuransi kartu kredit, atau yang sejenis dengan itu. Biar gampang, terlebih dahulu saya buatkan sebuah ilustrasi sederhana.


        Katakanlah sang korban bernama Victim. Dia menerima sebuah telepon dari seseorang yang bersuara ramah, dan mengaku sebagai customer service tempat bank kartu kredit milik si Victim. Biasanya sih, mereka bersuara wanita dengan nada yang halus dan ramah serta beralasan untuk melakukan survei. Selanjutnya saya menyebut Customer Service itu sebagai Fiktif CS. Terjadilah percakapan diantara mereka.

Fiktif CS: "Halo, selamat siang. Bisa bicara dengan Bapak Victim?"
Victim: "Iya, saya sendiri. Ada yang bisa saya bantu?"
Fiktif CS: "Bapak Victim, kami dari Card Center, Bank Antah Berantah, ingin melakukan survei mengenai kartu kredit Bapak. Sebab kami akan melakukan kenaikan limit untuk kartu kredit yang Bapak miliki saat ini."

Time Out: "Bentuk modus operandi lainnya bisa beragam seperti: Perubahan sistem pada bank, menawarkan bonus/hadiah, mendata ulang customer, memastikan transaksi yang dilakukan sebelumnya, mengupgrade kartu menjadi Gold/Platinum, atau modus lainnya yang dibuat oleh para carder. Selain itu metode seperti ini sering dilakukan dengan metode tembak langsung seperti contoh di atas."

Victim: "O, iya silahkan."
Fiktif CS: "Tagihan Bapak Victim dialamatkan kemana?"
Victim: "Jl. Kesasar, Gang Buntu No. 001, Jakarta."
Fiktif CS: "Alamat tinggal Bapak Victim saat ini dimana?"
Victim: "Jl. Sumber Rejeki 111, Depok."
Fiktif CS: "Tanggal lahir Bapak?"
Victim: "10 November 1970."
Fiktif CS: "Maaf Pak, nama ibu kandungnya?"
Victim: "Mak Nyak."
Fiktif CS: "Tolong sebutkan 16 digit nomor kartu kredit Bapak?"
Victim: "Tunggu sebentar ya, saya ambil dulu dari dompet."
Fiktif CS: "Silahkan."
Victim: "Halo, ini nomornya 1234 5678 9000 0009."
Fiktif CS: ""Tolong sebutkan 3 angka terakhir yang terdapat di belakang kartu."
Victim: "Kalo yang dibelakang, nomornya 321."
Fiktif CS: "Kartu kredit Bapak berlaku sampai kapan?"
Victim: "Desember 2010."
Fiktif CS: "Baik, Pak Victim. Data Anda sudah cukup. Kartu kredit Bapak akan segera kami proses. Terima kasih atas waktunya."
Victim: "Iya, sama-sama."

         Sepertinya, percakapan di atas terlihat biasa-biasa saja. Dan tidak ada yang mencurigakan. Tapi itulah teknik Social Engineering untuk melakukan Fraud atau penyalahgunaan kartu kredit. Akibatnya, data-data kartu kredit Pak Victim telah dimiliki oleh orang lain.

          Saat bilang tagihan datang pada bulan berikutnya, terjadi transaksi yang besar. Padahal Pak Victim tidak pernah melakukan transaksi tersebut. Dari percakapan telepon, limit Pak Victim juga tidak naik. Barulah Pak Victim sadar akan kelalaiannya.

         Dari penjelasan di atas, ternyata melakukan aktivitas carding bisa dilakukan tanpa tools. Cukup bermodalkan nekad, dengan teknik Social Engineering.
Intinya, social engineering adalah untuk mendapatkan informasi dengan cara melakukan penipuan dengan memanfaatkan kelemahan manusia. Apalagi orang-orang yang gampang percaya pada orang lain.

         Kegiatan carding dengan memanfaatkan social engineering juga sering terjadi pada saat kegiatan chatting. Misalnya, seseorang yang sudah merasa akrab karena sudah sering berhubungan baik melalui chatting dan email, namun belum pernah bertemu secara fisik. Kemudian salah satu pihak, mulai membuka jurusnya dengan berpura-pura minta dibelikan sesuatu pada situs tertentu. Berhubung mereka sudah terlanjur "akrab" dan ingin mencoba membantu, lalu membelikan barang melalui situs tertentu yang bisa saja situs palsu untuk mencuri data.

Satu lagi...
Pengertian dan konsep dasar Social Engineering.
Social engineering adalah sebuah perform psikologis untuk mempengaruhi dan mencoba mengidentifikasi sebuah masalah atau dalam hal ini lawan. Ini adalah seni didalam dunia elektron. Bagaimana hal ini bisa diterapkan didalam hacking?

       Mengendus dengan mencari informasi dan data data yang berhubungan dengan target kita. Kamu harus berpikir dan menggunakan insting pikiran kamu untuk mendapatkan kode pemecahan dari sebuah masalah. Mungkin pembaca bingung dalam mengartikan masalah ini. Tapi dihadapkan dengan realitas keadaan hal ini akan menjadi sebuah kemungkinan.
Didalam server kita hanya bisa berkata "bagaimana ini bisa terjadi, dan langkah apa yang sebaiknya aku lakukan didalam server ilegal ini?"

        Pertanyaan untuk memulai social engineering. Pertama kita mencoba berselancar didalam server ilegal tentunya. Membaca email dan mencoba mencari history history yang mendukung ke arah social engineering. Contoh ambil mysql history.
Biasanya kebiasaan buruk dari orang orang barat adalah "password yang sama untuk setiap email dan link server" Kenapa saya bisa menyimpulkan demikian?
walaupun tidak semua sysadmin bertindak seperti ini, namun hal ini bisa terjadi. Contoh yang terjadi adalah ketika saya membuka dan membaca mysql history semua password sama persis.
         Kemudian apa yang kita lakukan? OK tidak ada salahnya kita mencoba mem-finger root dan user satu persatu ternyata root pernah login, dan login dengan menggunakan password yang sama dengan mysql history. Satu langkah kita menuju keberhasilan sebuah psikologis hacking.
Kemudian tidak ada salahnya kita mencoba melihat dari mana dan dimana dia membeli koneksi/hosting? coba melihat di www.domainwhitepages.com, semua terlihat jelas disana, email administration samapi pop3 email terlihat jelas. Kita bisa coba masuk email dengan menggunakan password yang sama dengan mysql history.
          
           Duh ternyata kali ini salah. So what? apa yang akan kita lakukan? terus menebak? Yes thats rights. Kita coba berselancar didalam server baru yang menjadi batu loncatan kedua. Kita lihat file dan document didalam server. mulai dari bash_history mysql_history dan semua kita lihat satu persatu. Ingat social engineering adalah sebuah kebetulan dan sebuah magic.
Butuh waktu bejam jam bahkan berhari hari untuk memecahkan sebuah masalah.

             Kasus ini berhenti didalam kebuntuan. Semua password yang ada tidak ada yang accept untuk login ke sebuah email, coba query ke Dns IP server. OK ketemu dan ternyata menunjukkan link ke sebuah site. Kita mencoba mencoba menelusuri layaknya sebuah detective cyber :)
Apa yang kita dapatkan disana? Sebuah link baru menuju email sang admin yang berbeda dengan alamat email sebelumnya. Ok sampai saat ini kita kembali menuju teori lama. Last but no last. Kita mencoba login menggunakan password yang ada didalam log log server pertama dan kedua. Lama kita menunggu ternyata apa yang terjadi? Tidak ada kecocokan sama sekali! Jadi apa yang hendak kita lakukan?

          Gunakan insting kamu. Baca semua home page pribadi. Lihat semua informasi yang berkaitan dengan sang admin. Jangan sia siakan kesempatan ketika kamu berada didalam sever, selalu catat dan perhatikan perubahan yang ada.
          Ternyata ada seorang yang sering login kedalam server, tapi tidak mempunyai otoritas sys-admin. Siapa dia? Seorang wanita bernama beth. Siapa beth? ok
kita telusuri kembali jejak beth menggunakan finger dan lastlog didalam sebuah server (newbies seriss) Lihat aktivitas apa saja yang dia lakukan.
OK ternyata beth mempunyai kebiasaan untuk lompat lompat (pindah server antar server). Hal ini menguntungkan kita untuk memasang sniffer.

          Login beth aku dapatkan dari server www.rrrroar.com menuju ke www.tera-byte.com. Misalnya saja Si A mencoba masuk dari server dimana beth pertama kali login. Beth ternyata hanya sebuah user biasa yang tidak punya previllege sebagai root Aktivitas berhenti sampai disini.
Satu minggu kemudian dia (Si A) mulai bosan dengan angan angan untuk mencoba teori ini. Namun apa yang terjadi? secara kebetulan beth login ke www.tera-byte.com menggunakan akses root, jangan menunggu panjang segera buka log di sniffer yang sudah terpasang. Apa yang akan kita lakukan untuk langkah final?! Jangan tunggu kedatangan seorang dewa penolong! Segera siapkan sniffer anda, pasang dan ingat! jangan pernah merubah file/sebuah proses yang ada didalam box anda.

           Sekian sebuah pengantar psikologis. Mungkin sedikit dongeng diatas bisa anda jadikan sebagai pola pikir praktis didalam langkah menuju social engineering (expert edition). Kalau sudah berhasil, ingat Anda hanya boleh melihat-lihat (DILIHAT BOLEH DIPEGANG JANGAN!) dan jangan sampai tergoda untuk menyalahgunakan, OK? Ini hanyalah latihan untuk menambah ilmu mengenai network security, jadi hanya untuk pembelajaran demi keilmuwan, tidak untuk disalahgunakan!!


SECURITY
TIPS

         Untuk menghindari tindakan seperti ini, pastikan bahwa yang menelepon Anda saat itu adalah benar-benar dari pihak bank. Biar lebih yakin, hubungilah pihak Call Center dari bank tersebut. Selanjutnya jangan mudah memberikan nomor kartu kredit maupun nomor telepon Anda kepada pihak lain SIAPAPUN yang tidak jelas. Apalagi disertai dengan 3 angka terakhir di belakang kartu.

          Biasanya bank, hanya akan meminta data customer pada saat melakukan verifikasi untuk menyetujui sebuah kartu kredit. Bank juga tidak pernah meminta data customer dikarenakan perubahan sistem. Sistem perbankan jauh lebih modern ketimbang menelepon setiap nasabahnya untuk melakukan perubahan data.

          Jangan percaya kepada pihak lain, selain bank tempat Anda mendaftar kartu kredit. Misalnya dari asuransi, saham dan sebagainya. Walaupun ada dari bank yang sama misalnya dari bank AAA, tapi yang bagian Asuransi Kredit, ketahuilah mereka tidak akan meminta data Anda. Jika mereka melakukannya berhati-hatilah dan patut dicurigai. Bahkan karyawan bank pun bisa jadi tergoda untuk mencoba-coba menipu Anda sekedar untuk mengorek data finansial Anda, jadi jangan pernah mengungkapkan data finansial Anda terutama hanya lewat pembicaraan telepon ataupun email.

          Biasanya bank akan meminta data seperti di atas apabila Anda yang menelepon kepada pihak Bank untuk memastikan bahwa itu benar customer yang asli. Bukannya pihak Bank yang menelepon customer.
Sebisa mungkin Anda tolak dengan cara halus. Biasanya bank akan memahami jika ada customer yang keberatan untuk menyebutkan nomor kartu kreditnya. Saya juga pernah melihat pesan berikut pada sebuah kartu kredit.
----------------------------------------------------------------------------------------
Demi keamanan kartu kredit Anda, jangan pernah menyerahkan kartu kredit Anda kepada pihak yang mengaku MEWAKILI pihak bank atau badan keuangan lain, dengan alasan apapun.
----------------------------------------------------------------------------------------

PHISING


     
  Saya yakin, Anda membaca dan membuka-buka artikel dalam situs ini karena ingin mendapatkan teknik melakukan carding melalui internet, ya, kan? Ayo ngaku aja, he...he...he...
Padahal saya menulis artikel ini agar semua orang tahu bagaimana sepak terjang para carder dalam mencari uang melalui jalan haram. Saya ingin semua orang tahu agar mereka semua tidak mudah ditipu oleh orang-orang macam kalian. (Jangan marah ya! Seperti semua ilmu pengetahuan di dunia ini, semuanya kembali kepada orang yang bersangkutan, mau dipakai apa ilmu yang didapatnya apakah untuk kebaikan atau justru akan disalahgunakan untuk kejahatan!).

         Saya memang sengaja mengulur-ulur waktu supaya Anda tambah penasaran.
Kasus phising yang paling terkenal adalah kasus situs BCA dan update data email Ebay beberapa tahun yang lalu, dimana sang pelaku memanfaatkan kesalahan manusia yang kalau-kalau salah ketik. Misalnya, nama situs asli bank BCA adalah www.klikbca.com , yang kemudian sang korban salah ketik menjadi www.kilkbca.com , atau www.clickbca.com atau juga www.klikbca.co.id dan masih banyak lagi kemungkinan variasi lainnya.

        Salah ketik satu huruf saja akibatnya bisa berabe. Efek dari phising tersebut bukan cuma bisa tahu nomor kartu kredit, malahan lebih dari itu. Sebab banyak yang menyimpan nomor kartu kredit seseorang di dalamnya, jika account user berhasil diambil oleh pelaku phising. Belum lagi kalau dia mentransfer sejumlah uang. Untung BCA sekarang sudah menggunakan Key BCA yang boleh dibilang "lebih aman", jadi orang tidak bisa sembarangan melakukan transaksi. Bank lainnya yang menggunakan key yang saya tahu adalah BNI. Dalam hal ini kita ngomongin yang ada di Indonesia saja.

         Dari tadi kita sudah berpanjang lebar cerita kasus phising, tapi saya lupa ngasih tahu artinya. Phising adalah singkatan dari Password Harvesting Fishing. Artinya tindakan penipuan dengan menggunakan email palsu atau situs palsu yang bertujuan untuk mengelabui user sehingga pelaku bisa mendapatkan data user tersebut.

        Tindakan penipuan berupa sebuah email yang seolah-olah berasal dari sebuah perusahaan resmi. Misalnya sebuah bank fiktif untuk mendapatkan data-data pribadi seseorang, baik berupa PIN, nomor rekening, nomor kartu kredit dan sebagainya. Yang paling sering adalah para penjahat yang berpura-pura mengaku-ngaku sebagai karyawan Customer Service dari CitiBank. Dapat diduga para pelakunya adalah orang-orang Amerika, Jerman, Eropa Timur ataupun Afrika, karena email tersebut biasanya berbahasa Inggris.

         Pelaku Phising ini dikenal dengan sebutan Phiser. Katakanlah seorang phiser mengirimkan email kepada 1000 orang korban dengan dalih update informasi data konsumen. Dan jika hanya 5% saja yang merespon maka phiser telah berhasil mendapatkan data dari 50 orang. Mengapa ini bisa terjadi, karena Phiser juga berdalih, apabila tidak dilakukan perubahan data maka account user akan dihapus sehingga tidak bisa digunakan lagi. Tentunya akan ada user yang merasa takut, lalu mengikuti saran yang disampaikan. Sebab dalam kebanyakan kasus phising teknik yang digunakan adalah perubahan data, termasuk di dalamnya, password, dan nomor kartu kredit. Jadi berhati-hatilah. Boleh dibilang tindakan ini mirip dengan social engineering.


Attachments: Image 1
Category: HACKER | Views: 999 | Added by: Pendekar | Tags: | Rating: /
Total comments: 0
Only registered users can add comments.
[ Registration | Login ]
Search

Calendar
«  January 2011  »
SuMoTuWeThFrSa
      1
2345678
9101112131415
16171819202122
23242526272829
3031

Entries archive

Site friends
  • Create a free website

  • Copyright Busi Nekat,corp © 2024