Skip to main content

Pencegahan Penipuan

12 Maret 2024

 

Menguji 1, 2, 3... sen? Mengapa Anda tidak boleh mengabaikan biaya-biaya kecil itu

Sindikat kriminal menggunakan layanan pengujian kartu untuk memeriksa apakah kredensial pembayaran yang dicuri masih berfungsi. Transaksi-transaksi kecil ini merupakan pendahulu dari penipuan yang lebih besar.

Melanie Gersten

Vice President, Product Management,

Cyber & Intelligence Solutions, Mastercard

Seorang kolega saya masuk ke aplikasi perbankannya dan melihat beberapa transaksi yang tidak biasa - beberapa sen yang dibayarkan ke berbagai bisnis di negara bagian lain, termasuk tagihan sebesar satu sen ke sebuah restoran di Minnesota, yang belum pernah dia kunjungi.

Karena latar belakangnya di industri pembayaran, dia segera mengenali tuduhan tersebut sebagai apa adanya: hasil kerja sindikat penguji kartu.

Selama bertahun-tahun, pembobolan data telah berdampak pada ratusan juta kartu pembayaran, dengan para peretas menjual informasi kartu tersebut di pasar kriminal di internet yang dapat diakses publik maupun dark web. Pelanggan mereka - para penipu - mengharapkan kartu-kartu ini berfungsi, sehingga para peretas menggunakan layanan pengujian kartu untuk memastikan kartu-kartu tersebut masih valid dan aktif. (Layanan pelanggan yang baik adalah kuncinya, bahkan di antara para penjahat sekalipun).

Ketika transaksi pengujian kartu berhasil, hal ini dapat mengakibatkan sengketa pembelian, sehingga menimbulkan masalah bagi pemegang kartu, merchant, dan bank. Upaya yang gagal - ketika kartu ditolak - masih menjadi masalah bagi pedagang, karena tingkat penolakan yang lebih tinggi dapat membuat bisnis ini tampak berisiko bagi bank pengakuisisinya. Bank mungkin akan lebih cenderung menolak pembelian, sehingga merugikan pedagang. Dan yang paling mengkhawatirkan, pengujian kartu adalah pendahulu dari penipuan yang sebenarnya - pada dasarnya merupakan latihan bagi para penjahat.

Keekonomisan pengujian kartu

Di dunia teknologi, model bisnis "sebagai layanan" berkembang pesat, dan sindikat kriminal pun mengikutinya, dengan ransomware sebagai layanan dan malware sebagai layanan di antara penawaran mereka. Perusahaan pengujian kartu juga tidak berbeda. Mereka melayani penjahat dunia maya yang membeli nomor kartu kredit curian dari web gelap, menjual Access ke perangkat lunak otomatis untuk menguji kartu yang disusupi masih valid dan memiliki dana yang tersedia.

Dalam satu kasus baru-baru ini yang diungkap oleh Departemen Kehakiman AS, layanan pengujian kartu Try2Check - yang digambarkan sebagai "standar emas" dari platform verifikasi kartu kredit ilegal - menawarkan menu transaksi pengujian yang berbeda. Layanan ini kemudian akan menjalankan jutaan upaya pra-otorisasi pada kartu yang dicuri, yang kecil kemungkinannya untuk memicu aturan penipuan atau diketahui oleh pemegang kartu yang sah. Persetujuan mengonfirmasi bahwa kartu tersebut valid. Setelah data kartu yang disusupi dijual, "pemilik" barunya dapat menggunakan informasi kartu tersebut untuk melakukan penipuan.

Pada bulan Mei, Departemen Kehakiman mengidentifikasi dugaan dalang di belakang Try2check, menuduhnya dengan penipuan perangkat Access, intrusi komputer dan pencucian uang. Platform ini melakukan puluhan juta cek setiap tahun, menghasilkan setidaknya $18 juta dalam bentuk bitcoin bagi terdakwa - yang masih buron -.

Bahkan dengan adanya dakwaan dan penghapusan layanan pengujian besar seperti Try2Check, aktivitas pengujian tetap menjadi pilar yang tak terelakkan dan penting dalam siklus hidup penipuan siber kartu pembayaran. Jutaan transaksi pengujian dilakukan setiap tahun, dan para penjahat terus mengadaptasi teknik mereka seiring dengan perkembangan ekosistem pembayaran.

Memutus siklus hidup penipuan siber

Memahami pola dan deteksi cepat adalah kunci untuk menghentikan siklus pengujian kartu.

Di Mastercard, tim Cyber & Intelligence memantau kerentanan dan ancaman dan dapat mendeteksi aktivitas pengujian ini secara real time — seperti masuknya permintaan otorisasi besar untuk nilai dolar rendah dalam waktu singkat. Tim memberi tahu bank penerbit jika kartu mereka tampaknya terlibat dalam skema pengujian, dan Mastercard Safety Net, yang memantau transaksi di tingkat jaringan global, dapat mendeteksi serangan pengujian skala besar segera dan menolak transaksi.

Tim ini juga menjangkau bank-bank pedagang, yang dapat memberi tahu pelanggan mereka bahwa bisnis mereka sedang digunakan untuk pengujian. Dan seiring kemajuan teknologi dan penjahat mengembangkan taktik mereka, tim di Mastercard mendorong pemikiran baru dan terus memperluas kemampuannya untuk mendeteksi dan mencegah penipuan.

Bagi pemegang kartu, kewaspadaan adalah kuncinya. Anda mungkin sudah meninjau laporan bulanan Anda, tetapi nasabah mobile banking dapat memeriksa rekening mereka dengan satu sentuhan tombol. Hubungi bank Anda jika Anda melihat tagihan yang tidak Anda kenali, sekecil apa pun - atau dalam kasus ini, terutama jika tagihannya kecil.