Kejahatan Kartu Kredit via Internet: Hantu E-Commerce? Berbelanja lewat Internet menggunakan kartu kredit memang menjadi trend. Tapi apakah aman mengirimkan nomor kartu kredit Anda melalui Internet? Benarkah berbahaya? Langkah-langkah apa yang bisa Anda lakukan untuk mencegah keamanan kartu kredit Anda?
Apa yang sebenarnya terjadi saat melakukan transaksi kartu kredit ‘normal’. Sehari-hari
Dalam dunia kartu kredit, ada beberapa pihak yang berperan dalam transaksi. Anda sebagai pemegang kartu kredit, disebut dengan istilah cardholder. Kartu kredit Anda itu biasanya diterbitkan oleh sebuah bank, yang disebut sebagai issuer. Nama dan logo bank issuer biasanya tercantum pada kartu kredit tersebut. Bank-bank itu melisensi merek (brand) kartu kredit dari institusi kartu kredit seperti Visa atau MasterCard. Pedagang (merchant) yang dapat menerima kartu kredit, juga memiliki hubungan dengan sebuah bank, yang dikenal dengan istilah acquirer. Pada acquirer inilah merchant memiliki account yang akan ‘menampung’ uang dari cardholder. Perhatikan meskipun issuer dan acquirer kedua-duanya bank, tetapi tidak harus bank yang sama. Ada beberapa langkah yang dilakukan saat melakukan sebuah transaksi kartu kredit dengan sebuah terminal POS (point of sale) elektronik milik merchant: Saat transaksi:
Merchant mengkalkulasi jumlah harga pembelian, dan meminta cardholder untuk menyerahkan kartu kreditnya. Saat inilah merchant ‘menggesek’ kartu kredit tersebut pada terminal POS elektronik. Informasi mengenai pembelian beserta informasi dari pita magnetik kartu tersebut dikirim ke acquirer untuk diotorisasi. Acquirer selanjutnya akan melakukan otorisasi ke issuer, melalui jaringan kartu kredit. Setelah memeriksa validitas informasi kartu kredit itu, lantas issuer akan mengirimkan ‘kode otorisasi’ kembali ke acquirer. Acquirer selanjutnya mengirimkan ‘kode otorisasi’ itu kepada merchant, yang akan mengesahkan transaksi tersebut. Merchant juga meminta cardholder untuk menandatangani slip (sale draft) yang tercetak.
Proses Payment Capture:
Pada malam harinya, merchant mengirimkan seluruh transaksi kartu kredit yang sudah diotorisasi pada hari itu kepada acquirer, agar accountnya dikredit. Kemudian acquirer melakukan apa yang disebut ‘interchange’ dengan issuer. Proses ini mirip dengan proses kliring antar bank. Issuer akan mentransfer dananya sebesar nilai sale draft kepada acquirer. Acquirer akan dikenakan biaya yang disebut interchange fee. Acquirer akan mendepositkan uang sebesar nilai dari sale draft pada account milik merchant, setelah dikurangi biaya (tanggungan merchant) yang disebut discount fee.
Penagihan:
Setiap bulannya, issuer akan menagih transaksi-transaksi yang dilakukan cardholder.
Selain menggunakan terminal POS elektronik, ada juga merchant yang menggunakan alat gesek manual. Saat kartu digesek, huruf timbul pada kartu akan mencetak pada kertas slip yang berkarbon. Slip berkarbon inilah yang akan dikirim oleh merchant saat proses capture. Meskipun merchant tidak melakukan otorisasi on-line, terkadang merchant memeriksa keaslian (keotentikan) kartu tersebut dengan menelpon issuer, atau memeriksa kartu tersebut apakah masuk dalam kartu blacklist dari daftar yang dikeluarkan oleh perusahaan kartu kredit secara periodik. Pada kasus yang lebih ekstrim, cardholder bahkan tidak perlu memperlihatkan kartu kreditnya sama sekali (card not present transaction). Transaksi ini sering dilakukan saat cardholder melakukan transaksi melalui surat (mail order) atau telepon, karena itu disebut juga transaksi MOTO (mail order/telephone order). Cardholder cukup memberikan nomor kartu kredit dan expiry date-nya kepada pedagang. Pada transaksi MOTO, otorisasi ke acquirer biasanya tidak dilakukan secara on-line, melainkan secara periodik. Setelah itu barulah barang yang dipesan dikirim ke cardholder. Perhatikan pada semua transaksi di atas, merchant mendapatkan seluruh informasi kartu kredit cardholder yang terlihat secara visual, kecuali informasi rahasia pada pita magnetik kartu tersebut, yakni CVV (card verification value) atau CVC (card validation code). Informasi visual ini cukup untuk melakukan transaksi MOTO, sehingga kejujuran pedagang amatlah penting. Cardholder juga harus hati-hati menjaga kerahasiaan kartu kreditnya, karena pada transaksi MOTO ini, barang dapat dikirim ke alamat yang berbeda dari alamat cardholder. Merchant dan aqcuirer/issuer tidak menanggung resiko ‘salah kirim’ ke orang lain yang tahu informasi kartu kredit cardholder. Karena itu guna melindungi cardholder, ada pula merchant yang menanyakan alamat cardholder yang sesuai dengan data di issuer. Patut dicatat pula bahwa skenario-skenario transaksi kartu kredit di atas sering kali bervariasi, seperti misalnya kini pencatatan payment capture
sering dilakukan otomatis setelah setiap otorisasi, sehingga merchant tidak perlu sibuk di malam hari.
Internet Commerce
Website sebuah toko elektronik generasi pertama sebenarnya merupakan bentuk lain dari transaksi MOTO. Dalam skenario ini, segera setelah cardholder memilih belanjaannya, akan memasukkan informasi kartu kreditnya pada form yang disediakan pada website merchant. Merchant akan menyimpan dan selanjutnya memprosesnya sebagaimana halnya transaksi MOTO. Ada dua kelemahan pada skenario ini. Pertama, tentu merchant mendapatkan infomasi kartu kredit cardholder. Kedua, protokol yang dipergunakan, yakni HTTP, bukanlah protokol yang aman. Serangan man-in-the-middle seperti web spoofing, dimana ada pihak ketiga yang menyadap dan mengubah-ubah informasi yang mengalir dua arah antara browser cardholder dengan website merchant, amatlah berbahaya. Belum lagi penyadapan pasif yang berusaha mencuri informasi kartu kredit yang menuju ke website pedagang.
Kekhawatiran adanya penyadapan inilah yang membuat merchant kemudian lebih senang menggunakan teknik pembayaran off-line, jadi tidak melalui Internet. Ada merchant yang meminta informasi kartu kredit dikirim lewat fax atau memberitahukannya melalui telepon. Ada pula yang hanya menerima dengan uang kontan, wesel atau transfer. Secure Socket Layer
Ketidakamanan protokol HTTP inilah yang mendorong munculnya protokol seperti SHTTP (Secure HTTP) dan SSL (Secure Socket Layer), meskipun akhirnya hanya protokol SSL yang dipakai secara luas. Sebenarnya SSL tidak dipergunakan sendiri, melainkan dipergunakan bersama-sama protokol lain, seperti dalam kasus ini HTTP. Pada dasarnya, yang dilakukan oleh protokol SSL ini adalah membuat sebuah pipa antara browser cardholder dengan website sang merchant, sehingga attacker (penyerang) tidak dapat menyadap informasi apapun yang mengalir pada pipa tersebut. Guna melakukan pengamanan, SSL memanfaatkan teknologi kunci publik (RSA). Pada website yang telah menjalankan SSL, address pada browser cardholder tidak menampilkan http://…, melainkan https://….
SSL bukan tanpa kelemahan. Sebuah website merchant dengan fasilitas SSL, jika tidak menggunakan sertifikat digital, masih rentan terhadap web-spoofing, artinya penyerang masih bisa menyadap bahkan
mengubah-ubah informasi pada pipa tersebut. Hal ini dilakukan penyerang dengan cara mempertukarkan kunci publik cardholder dengan kunci publik penyerang, serta menukarkan pula kunci merchant dengan kunci publik penyerang. Penyerang akhirnya berkuasa penuh pada saluran SSL tersebut, sehingga informasi kartu kredit bisa tercuri. Guna meningkatkan pengamanan, maka pihak-pihak yang menggunakan SSL (atau salah satunya saja, biasanya website merchant) membungkus kunci publik mereka ke dalam sertifikat digital. Cara ini jauh lebih aman, karena sekarang man-in-the-middleattack tidak bisa dilakukan lagi. Aturlah agar setting pada browser memeriksa secara otomatis sertifikat digital dari website pedagang. Protokol SSL selain menggunakan kunci publik, juga menggunakan kunci simetrik untuk membungkus data sesungguhnya (dalam hal ini data kartu kredit). Kunci publik hanya dipergunakan untuk membungkus kunci simetrik. Nah, kunci simetrik yang dipergunakan browser umumnya adalah RC4 atau DES. Dahulu, ada peraturan pemerintah Amerika Serikat, bahwa panjang kunci simetrik yang boleh diekspor (baca: yang ada dalam browser yang bisa download keluar dari AS), tidak boleh lebih dari 40-bit. Penulis memperkirakan dengan bantuan 15 komputer Pentium III, data kartu kredit yang dienkripsi dengan RC4 40-bit itu dapat dijebol dalam waktu kurang lebih 8 hari. Namun kini pemerintah Amerika Serikat telah mencabut larangan eksport teknologi enkripsi berkekuatan tinggi (strong encryption), sehingga kita dapat menggunakan kunci RSA 1024-bit dan RC4/DES 128-bit pada browser Microsoft Internet Explorer dan Netscape Communicator. Pastikan browser Saudara sudah dilengkapi dengan strong encryption.
Three Party Payment System
Patut dicatat bahwa pada semua skenario di atas, merchant tetap mendapatkan seluruh informasi kartu kredit cardholder. Kalau cardholder sering menggunakan kartu kreditnya di Internet, rasanya tidak aman kalau membiarkan informasi kartu kredit miliknya
diketahui semua merchant-merchant yang pernah didatanginya. Oleh karena itu, pada perkembangan berikutnya di Internet muncul skenario pembayaran "three-party". Dalam skenario ini ada pihak ketiga yang dipercaya menjadi payment gateway (gerbang pembayaran), seolah-olah menjadi ‘kasir’ atau POS virtual. Tergantung pada merek dagangnya, kadang-kadang disebut pula sebagai payment server, commerce service provider, atau authentication server. Institusi yang menjadi payment gateway harus merupakan pihak yang dipercaya, dan sering kali acquirer bertindak sebagai payment gateway. Cardholder memang memberikan informasi kartu kreditnya kepada payment gateway, tetapi merchant tidak akan pernah tahu informasi kartu kredit tersebut. Jadi pembayarannya malah lebih aman ketimbang dari pada transaksi kartu kredit yang tidak dilakukan di Internet. Payment gatewaylah yang akan berhubungan dengan jaringan kartu kredit untuk melakukan proses otorisasi on-line. Merchant akan menyerahkan barang dagangannya kepada cardholder, kalau informasi kartu kredit cardholder sudah berhasil diotorisasi oleh payment gateway. Contoh skenario transaksi yang ‘three-party’ ini antara lain CyberCash, Open Market dan Visa/Mastercard Secure Electronic Transaction (SET).
Secure Electronic Transaction
Pada skenario SET, pihak-pihak yang bertransaksi via Internet, menggunakan sertifikat digital yang dibuat oleh certificate authority (CA). Masing-masing akan memberikan informasi jati dirinya kepada CA yang akan memeriksa keaslian jati diri mereka, sebelum mengesahkan sertifikat digital. Sebagai contoh, CA akan mengecek ke issuer, apakah nama, nomor kartu kredit, expiry date, dan alamat cardholder yang memohon dibuatkan sertifikat digital itu absah (authentic). CA kemudian membuatkan sertifikat digital yang berisi informasi jati diri dan kunci publik cardholder, berikut informasi nomor kartu kredit yang ‘disembunyikan’. Dengan memiliki sertifikat digital, seolah-olah mereka memiliki ‘KTP’ digital yang tidak bisa disalahgunakan. Saat cardholder hendak membayar belanjaannya di website merchant, cardholder akan memasukkan ‘surat perintah pembayaran’ dan informasi kartu kreditnya ke dalam sebuah amplop digital yang hanya
bisa dibuka oleh payment gateway. Amplop itu beserta ‘surat pemesanan barang’, dikirim ke merchant. Merchant akan memproses ‘surat pemesanan barang’, serta mengirimkan amplop digital itu kepada payment gateway yang akan melakukan otorisasi. Payment gateway kemudian membuka amplop itu, melakukan otorisasi dan jika disetujui akan mengirimkan kode otorisasi kepada merchant. Merchant kemudian akan mengirimkan barangnya kepada cardholder. Pada akhir hari, merchant akan melakukan proses capture melalui acquirer. Seluruh pihak-pihak yang melakukan pertukaran informasi via Internet melakukan pengamanan transaksi dengan menggunakan teknologi kriptografi (penyandian) kunci publik, kunci simetrik dan fungsi hash. Hampir semua pesan yang dipertukarkan juga menggunakan tanda tangan digital. Penggunaan teknologi kriptografi yang sangat ekstensif ini menyebabkan transaksi SET sangat aman. Namun kenyataannya, beberapa pilot project SET (seperti di Jepang) tidak diteruskan. Hal ini disebabkan karena biaya pengembangan infrastruktur SET relatif sangat mahal dibandingkan implementasi skenario lainnya. Kemudian, cardholder juga harus mendownload program wallet untuk bisa menggunakan SET, sehingga pemakaiannya tidak sesederhana seperti SSL. Akhirnya, banyak pedagang yang hanya menggunakan SSL saja. Realitas sekarang Apa yang sebenarnya kini banyak dilakukan oleh pedagang? Sebagian besar kini menggunakan SSL untuk mengamankan pengiriman informasi kartu kredit cardholder ke website pedagang. Informasi kartu kredit dari transaksi-transaksi yang terjadi pada satu hari dikumpulkan oleh pedagang, dan kemudian dikirimkan kepada acquirer. Hal ini bahkan bisa dilakukan dengan tanpa komputer. Proses selanjutnya sama persis dengan pemrosesan otorisasi kartu kredit konvensional MOTO. Cardholder harus berhati-hati di sini, kalau saja pedagang tersebut 'nakal', maka pedagang tersebut bisa menyalahgunakan informasi kartu kredit dari cardholder.
Selain itu, masih ada masalah dimana seorang konsumen sebenarnya menggunakan nomor kartu kredit orang lain yang ia dapatkan dari tumpukan receipt di kasir restoran, misalnya. Oleh karena itu, sebaiknya kita tidak menyerahkan kartu kredit kita kepada orang lain, dan sebaiknya dirahasiakan. Saat makan di restoran, bayarlah sendiri ke kasir dan jangan mempercayakannya kepada pelayan. Setidaknya tindakan preventif ini meminimalisir tercurinya informasi kartu kredit Anda. Nah, untuk mencegah penyalahgunaan semacam ini, ada beberapa website pedagang yang memaksa cardholder untuk mendaftarkan dirinya sebelum berbelanja. Pendaftaran itu merekam nama, informasi kartu kredit, alamat dan nomor telepon cardholder. Cardholder akan diberikan semacam identitas untuk login dan berbelanja di website itu. Cardholder tidak perlu memasukkan nomor kartu kreditnya untuk kedua kalinya. Seorang yang hendak menyalahgunakan kartu kredit orang lain, kalau 'terlambat' mendaftarkan, tidak bisa melakukan apa-apa. Kalaupun orang itu berhasil mendaftar, jati dirinya relatif lebih mudah dilacak oleh issuer dan acquirer, karena dia terpaksa memasukkan alamatnya saat pendaftaran. Menyadari maraknya penyalahgunaan informasi kartu kredit di Internet oleh orang yang tidak berhak, beberapa issuer kartu kredit terkemuka kini akan melakukan pengecekan ulang setiap kali cardholder melakukan transaksi MOTO/card not present, termasuk transaksi di Internet. Biasanya issuer akan melakukan konfirmasi transaksi tersebut kepada cardholder dengan menggunakan telepon. Tanyakanlah kepada issuer kartu kredit Anda, apakah mereka memiliki policy ini. Sejak 'kegagalan' SET, ada juga beberapa vendor yang mengkombinasikan three party payment system dengan teknologi SSL. Sampai saat ini, jenis transaksi ini adalah yang relatif paling aman dan praktis untuk diimplementasikan. Jadi skenarionya mirip sekali dengan skenario SET, hanya saja cardholder tidak perlu memiliki sertifikat digital dan tidak perlu mendownload aplikasi wallet untuk melakukan pembayaran. Dalam skenario ini, cardholder tetap memilih barang-barang yang dibelinya dari website pedagang. Setelah terkumpul semua, pedagang
membuatkan 'slip pembelian'. Kemudian, pedagang meneruskan 'slip pembelian' dengan teknik enkripsi sederhana ke payment gateway yang bertindak sebagai kasir. Nah, saat masuk ke payment gateway inilah, dibuat saluran komunikasi aman SSL antara payment gateway dengan cardholder. Cardholder akan memberikan informasi kartu kreditnya kepada payment gateway dalam 'slip pembayaran'. Payment gatewaylah yang kemudian akan memberitahukan kepada pedagang apakah suatu transaksi sudah berhasil diotorisasi atau belum. Jadi pedagang tidak penah membaca informasi nomor kartu kredit cardholder. Salah satu ciri skenario perdagangan ini yang nampak pada browser yang dipakai cardholder adalah, URL yang dipergunakan oleh payment gateway (saat memasukkan informasi kartu kredit) berbeda dengan URL website pedagang. Ada juga vendor yang menyediakan 'mesin gesek' (hardware) yang terpasang pada website pedagang. Jadi, informasi kartu kredit yang telah dikirim melalui SSL, langsung dikirim pedagang melalui otorisasi MOTO/card not present on-line ke acquirer. Hanya saja, secara teoritis, pedagang masih bisa 'mencuri' nomor kartu kredit cardholder. Penutup Diluar Internet, sebenarnya banyak kasus kejahatan kartu kredit. Kalaupun kartu kredit Anda sudah menggunakan smartcard (yang menyimpan kunci privat cardholder), namun kalau permukaan smartcard tersebut masih menampilkan nomor kartu kredit/expiry date dan tetap memiliki pita magnetik, maka keamanannya tidak jauh berbeda dengan kartu kredit biasa. Jadi penyerang mungkin tidak akan menyerang chip smartcardnya, tapi ia akan tetap mencuri informasi kartu secara visual maupun dari pita magnetiknya. Dan juga, kini di Internet beredar program yang bisa digunakan untuk menghasilkan nomor kartu kredit beserta expiry datenya yang valid! Patut dicatat bahwa berbagai macam modus operandi kejahatan kartu kredit di Internet tersebut bukanlah untuk menakut-nakuti pedagang dan cardholder untuk tidak bertransaksi di Internet. Dengan mengetahui seluk-beluk kejahatan kartu kredit di Internet, diharapkan pedagang dan cardholder bisa meminimalisir penyalahgunaan kartu kredit.
Anda mungkin berpikir, mengapa kejahatan kartu kredit sudah berlangsung puluhan tahun, tetap saja kartu kredit diminati. Banyak alasannya, antara lain karena kartu kredit memberikan fleksibilitas, akseptibilitas global dan kenyamanan cashless. ---- [] ----
