Carding Adalah: Cara Kerja, Modus Terbaru, dan Cara Mencegahnya
Ringkasan: Carding adalah kejahatan siber yang melibatkan penggunaan data kartu kredit atau debit curian untuk melakukan transaksi tidak sah. Di Indonesia, carding sering berjalan beriringan dengan skimming dan phishing sebagai modus pengumpulan data awal. Bisnis e-commerce dan fintech paling rentan; wajib menerapkan verifikasi identitas berlapis untuk setiap transaksi bernilai tinggi.
Daftar Isi
- Apa Itu Carding? Definisi dan Cara Kerja Ekosistem Carding
- Jenis-Jenis Carding yang Paling Umum
- Bagaimana Pelaku Mendapatkan Data Kartu untuk Carding
- Dampak Carding bagi Bisnis E-Commerce dan Platform Digital Indonesia
- Regulasi dan Tanggung Jawab Hukum Terkait Carding di Indonesia
- 5 Cara Mencegah Carding untuk Platform Pembayaran dan E-Commerce
- Bagaimana Verihubs Membantu Platform Mencegah Carding
- FAQ: Carding Adalah
- Carding Hanya Bisa Dicegah di Dua Titik: Data Source dan Verifikasi Transaksi
Apa Itu Carding? Definisi dan Cara Kerja Ekosistem Carding
Pencegahan carding yang efektif menerapkan Kerangka Pertahanan Berlapis terhadap Card Fraud: setiap lapisan menutup celah yang berbeda dalam ekosistem carding, dari data source protection hingga real-time transaction verification.
Carding adalah bentuk penipuan keuangan di mana pelaku menggunakan data kartu kredit atau debit milik orang lain, yang diperoleh secara ilegal, untuk berbelanja, menarik dana, atau menjual kembali data tersebut di pasar gelap. Istilah “carding” mencakup seluruh ekosistem kejahatan, mulai dari pencurian data kartu hingga monetisasinya.
Yang membedakan carding dari penipuan kartu biasa adalah skalanya. Pelaku carding profesional tidak hanya mengincar satu kartu; mereka beroperasi dengan ribuan data kartu sekaligus, mengotomatiskan pengujian validitas kartu (card testing), dan mendistribusikan aktivitas transaksi ke berbagai merchant untuk menghindari deteksi. Carding bukan aksi kriminal individu; ini industri bawah tanah yang terorganisasi.
Dari Pencurian Data hingga Penjualan di Dark Web
Ekosistem carding bekerja seperti rantai pasokan kriminal. Pertama, data kartu dikumpulkan: bisa dari skimming fisik di ATM, data breach e-commerce, phishing, atau pembelian dari dump (database kartu curian) di dark web marketplace seperti BidenCash atau forum-forum carding underground.
Data yang terkumpul kemudian diverifikasi. Pelaku menggunakan teknik card testing: melakukan transaksi kecil, sering di situs donasi atau platform berlangganan rendah nilai, untuk mengecek apakah kartu masih aktif tanpa memicu alert fraud. Kartu yang lolos verifikasi dijual dengan harga lebih tinggi atau langsung digunakan untuk transaksi besar.
Perbedaan Carding, Skimming, dan Phishing
| Aspek | Carding | Skimming | Phishing |
|---|---|---|---|
| Definisi | Eksploitasi data kartu curian | Pencurian data kartu via perangkat fisik | Pencurian kredensial via halaman palsu |
| Metode | Transaksi tidak sah / jual beli data | Card reader palsu + kamera mini | Email/SMS palsu, fake website |
| Target | E-commerce, platform pembayaran | Pengguna ATM, mesin EDC | Pengguna perbankan digital |
| Hubungan | Sering menggunakan hasil skimming/phishing | Supplier data untuk carding | Supplier data untuk carding |
Jenis-Jenis Carding yang Paling Umum
| Jenis | Modus | Target Utama | Platform |
|---|---|---|---|
| Card-Not-Present (CNP) Fraud | Transaksi online tanpa kartu fisik | E-commerce, streaming, travel booking | Semua platform digital |
| Card-Present Fraud | Kartu fisik palsu dari data skimming | Merchant fisik, ATM | Toko ritel, minimarket |
| Account Takeover Carding | Ambil alih akun e-commerce, tambah kartu baru | Marketplace dengan saved payment | Tokopedia, Shopee, Lazada |
| Gift Card Carding | Beli gift card digital untuk monetisasi cepat | Platform gaming, retail | Steam, Apple Store, Indomaret |
Card-Not-Present (CNP) Fraud: Ancaman Terbesar E-Commerce
CNP fraud adalah varian carding yang paling dominan di era transaksi digital. Karena merchant online tidak bisa memverifikasi kartu secara fisik, pelaku cukup memiliki 16 digit nomor kartu, masa berlaku, dan CVV untuk menyelesaikan transaksi. Tanpa lapisan verifikasi tambahan, celah keamanan ini sangat mudah dieksploitasi.
Metode paling umum: pelaku menggunakan bot untuk melakukan ribuan percobaan transaksi kecil secara otomatis (card testing attack) hingga menemukan kombinasi yang valid, lalu menaikkan nilai transaksi. Platform yang tidak memiliki rate limiting dan anomaly detection akan sulit mendeteksi pola ini sebelum kerugian terjadi.
Card-Present Fraud: Pemalsuan Kartu Fisik
Meski lebih kompleks, penipuan kartu fisik masih terjadi, terutama dengan data yang diperoleh dari skimming. Pelaku memiliki perangkat untuk mencetak ulang data magnetic stripe ke kartu kosong. Kartu kloning tersebut kemudian digunakan di merchant yang belum migrasi penuh ke terminal chip EMV, atau di ATM dengan keamanan lebih rendah.
Carding via Marketplace dan Platform Pembayaran
Di Indonesia, modus yang semakin lazim adalah memanfaatkan fitur “saved payment” di platform e-commerce besar. Setelah berhasil mengambil alih akun korban, pelaku memanfaatkan kartu yang sudah tersimpan untuk berbelanja, tanpa perlu memasukkan ulang data kartu. Transaksi terlihat normal dari sisi platform karena dilakukan dari akun yang legitimate.
Bagaimana Pelaku Mendapatkan Data Kartu untuk Carding
Ada tiga jalur utama. Masing-masing memiliki karakteristik berbeda dan menghasilkan kualitas data yang berbeda pula di pasar gelap.
Skimming ATM sebagai Sumber Data Kartu
Skimming menghasilkan data magnetic stripe yang lengkap, cukup untuk membuat kartu kloning. Data hasil skimming biasanya dikemas sebagai “dump” dan diperdagangkan di forum underground. Harganya bervariasi: kartu dari bank Indonesia berkisar USD 5–20 per data, sedangkan kartu premium (Visa Platinum, Mastercard World) bisa mencapai USD 30–50.
Baca selengkapnya tentang cara kerja perangkat skimmer dan lokasi yang paling berisiko di artikel skimming adalah.
Data Breach dan Dark Web Marketplace
Setiap kali platform e-commerce, hotel, atau retailer mengalami kebocoran data, data kartu yang tersimpan menjadi target. Data ini muncul di dark web dalam bentuk “fullz” (data lengkap: nama, alamat, nomor kartu, CVV, tanggal lahir) yang memungkinkan pelaku melakukan tidak hanya carding, tetapi juga pencurian identitas penuh.
Marketplace seperti BidenCash dan Joker’s Stash (sudah ditutup, tapi model bisnisnya tetap beroperasi di platform lain) pernah mendistribusikan puluhan juta data kartu global, termasuk kartu-kartu yang diterbitkan bank Indonesia.
Phishing dan Fake Payment Page
Phishing sebagai sumber data kartu untuk carding bekerja dengan cara berbeda: korban secara aktif memasukkan data kartu mereka sendiri ke halaman pembayaran palsu. Modus yang paling sering adalah halaman checkout e-commerce tiruan yang muncul setelah korban mengklik link di email atau pesan WhatsApp. Pelaku mendapat data CVV secara langsung; sesuatu yang tidak bisa diperoleh dari skimming atau data breach kebanyakan.
Dampak Carding bagi Bisnis E-Commerce dan Platform Digital Indonesia
Carding bukan hanya merugikan konsumen. Bagi platform digital, dampaknya lebih sistemik dan sering kali tersembunyi sampai chargeback mulai berdatangan.
Kerugian Finansial Langsung dan Chargeback
Ketika transaksi carding berhasil di platform Anda, merchant menanggung kerugian dua kali. fraud keuangan digital berbasis carding yang mencakup carding di Indonesia menunjukkan pola kerugian yang konsisten: pertama, nilai barang yang sudah dikirim atau layanan yang sudah diberikan. Kedua, biaya chargeback dari penerbit kartu; di banyak skema bisa mencapai USD 20–100 per kasus, belum termasuk potensi penalti jika rasio chargeback melebihi threshold Visa/Mastercard (biasanya 1%).
Rasio chargeback yang tinggi bisa berujung pada terminasi kontrak pemrosesan pembayaran; artinya merchant tidak bisa lagi menerima pembayaran kartu kredit. Carding adalah risiko eksistensial untuk platform e-commerce.
Dampak Reputasi dan Kepercayaan Konsumen
Ketika konsumen menemukan transaksi tidak sah yang berasal dari platform Anda, meski platform bukan pihak yang dibobol; persepsi publik sering kali menyalahkan merchant. Ulasan negatif, komplain di media sosial, dan pemberitaan media dapat merusak kepercayaan yang butuh bertahun-tahun untuk dibangun. Di pasar Indonesia yang masih membangun budaya belanja online, ini berdampak langsung pada konversi dan retensi pelanggan.
Regulasi dan Tanggung Jawab Hukum Terkait Carding di Indonesia
Pasal Pidana UU ITE dan KUHP Baru untuk Carding
Pelaku carding di Indonesia dapat dijerat dengan beberapa instrumen hukum:
- Pasal 35 UU ITE No. 11/2008: manipulasi, pembuatan, atau pengubahan data elektronik secara tidak sah; ancaman 12 tahun penjara dan/atau denda Rp 12 miliar
- Pasal 362–363 KUHP: pencurian dengan pemberatan, relevan untuk penggunaan data kartu tanpa izin
- Pasal 85 UU No. 3/2011 tentang Transfer Dana: pemindahan dana secara tidak sah
- KUHP Baru (UU No. 1/2023): memperbarui ancaman pidana untuk kejahatan berbasis teknologi, dengan klausul yang lebih spesifik untuk penipuan digital
Kewajiban Merchant dalam PCI-DSS dan Regulasi BI
Merchant yang menerima pembayaran kartu diwajibkan mematuhi standar PCI-DSS. Menurut Verizon Data Breach Investigations Report 2024, card-not-present fraud menyumbang lebih dari 80% dari total kerugian fraud kartu secara global; e-commerce sebagai vektor utama. Payment Card Industry Data Security Standard (PCI-DSS). Standar ini menetapkan kontrol teknis dan operasional untuk melindungi data kartu: enkripsi transmisi, pembatasan penyimpanan data CVV, kontrol akses, dan audit keamanan berkala.
Bank Indonesia melalui regulasi sistem pembayaran juga mewajibkan penyelenggara jasa sistem pembayaran untuk memiliki manajemen risiko yang memadai, termasuk mekanisme deteksi dan respons fraud. Ketidakpatuhan dapat berujung pada pencabutan izin operasi.
5 Cara Mencegah Carding untuk Platform Pembayaran dan E-Commerce
3D Secure dan Tokenisasi Kartu
3D Secure (3DS2) menambahkan lapisan autentikasi antara pembeli, merchant, dan bank penerbit kartu. Setiap transaksi melewati challenge tambahan, biasanya OTP via SMS atau autentikasi biometrik di aplikasi mobile banking. Ini secara dramatis mengurangi CNP fraud karena pelaku tidak bisa menyelesaikan autentikasi meski memiliki data kartu lengkap.
Tokenisasi menggantikan data kartu aktual dengan token unik untuk setiap merchant. Bahkan jika database merchant dibobol, token yang dicuri tidak bisa digunakan di merchant lain; ini membatasi radius kerusakan secara nyata.
Verifikasi Identitas Real-Time untuk Transaksi Berisiko Tinggi
Untuk transaksi di atas threshold tertentu atau yang menunjukkan sinyal anomali (lokasi baru, device baru, nilai tidak biasa), platform dapat meminta verifikasi identitas tambahan secara real-time. Ini bisa berupa liveness detection untuk memastikan pemegang akun adalah orang yang hadir secara fisik, atau face matching terhadap foto identitas yang terdaftar.
Pendekatan ini berbeda dari OTP: OTP bisa diintersep melalui SIM swap, sementara verifikasi biometrik jauh lebih sulit dipalsukan. Card fraud sebagai bagian dari fraud keuangan digital yang lebih luas membutuhkan respons berlapis, bukan satu mekanisme tunggal.
Fraud Scoring dan Velocity Checking
Sistem fraud scoring menganalisis ratusan parameter transaksi secara real-time: jarak geografis antara transaksi berurutan, frekuensi percobaan transaksi dari IP yang sama, ketidakcocokan antara alamat billing dan pengiriman, dan pola waktu transaksi. Transaksi dengan skor risiko tinggi ditahan untuk review manual atau diblokir otomatis.
Rate Limiting dan CAPTCHA untuk Card Testing
Serangan card testing mengandalkan volume besar percobaan otomatis. Rate limiting pada endpoint pembayaran, yang membatasi jumlah percobaan dari IP atau device yang sama dalam jangka waktu tertentu; cara ini efektif memutus serangan. CAPTCHA yang adaptif menambah friction untuk bot tanpa mengganggu pengalaman pengguna legitimate.
Monitoring Chargeback dan Anomaly Detection
Pantau rasio chargeback secara real-time dan tetapkan alert threshold. Lonjakan chargeback dari kategori merchant, wilayah, atau segmen produk tertentu sering kali menjadi indikator paling awal bahwa platform sedang menjadi target carding, sebelum skala kerugian membesar.
Bagaimana Verihubs Membantu Platform Mencegah Carding
Carding paling efektif dihentikan di dua titik: saat onboarding (sebelum data kartu terdaftar di platform) dan saat transaksi bernilai tinggi dilakukan.
Solusi e-KYC platform ini bekerja di kedua titik kritis ini. Pada onboarding, e-KYC dengan liveness detection memverifikasi bahwa akun yang mendaftarkan kartu adalah milik orang nyata yang hadir secara fisik, bukan bot atau identitas palsu yang akan digunakan untuk card testing. Kartu yang didaftarkan oleh akun terverifikasi secara biometrik memiliki profil risiko yang jauh lebih rendah.
Untuk transaksi berisiko tinggi, solusi face matching real-time Verihubs dapat diintegrasikan sebagai step-up authentication: pemegang akun memverifikasi wajahnya sebelum transaksi di atas threshold diproses. Ini menghentikan account takeover carding bahkan ketika pelaku sudah memiliki password korban.
Platform e-commerce dan fintech yang ingin membangun lapisan fraud prevention berbasis identitas dapat berkonsultasi dengan tim kami untuk menyesuaikan arsitektur verifikasi dengan volume transaksi dan profil risiko masing-masing.
Lindungi Platform Pembayaran dari Ekosistem Carding
Pilih solusi verifikasi identitas yang sudah terbukti memenuhi standar POJK dan UU PDP. Diskusikan kebutuhan spesifik bisnis Anda dengan tim Verihubs untuk mendapatkan rekomendasi teknologi yang tepat.
FAQ: Carding Adalah
- Apa perbedaan carding dan skimming?
- Skimming adalah proses pengumpulan data kartu melalui perangkat fisik ilegal di ATM atau EDC. Carding adalah eksploitasi data hasil skimming (atau dari sumber lain) untuk melakukan transaksi tidak sah. Skimming adalah metode, carding adalah kejahatan yang memanfaatkan hasilnya; keduanya sering dilakukan oleh kelompok yang sama atau bekerja sama.
- Apakah carding termasuk tindak pidana di Indonesia?
- Ya. Carding dapat dijerat Pasal 35 UU ITE (ancaman 12 tahun penjara dan denda Rp 12 miliar), Pasal 362–363 KUHP tentang pencurian, serta Pasal 85 UU Transfer Dana. KUHP Baru yang berlaku mulai 2026 juga memperbarui klausul untuk kejahatan digital dengan ancaman yang lebih jelas.
- Bagaimana cara tahu kartu kita dipakai untuk carding?
- Tanda-tandanya: transaksi tidak dikenal di mutasi rekening, notifikasi transaksi dari merchant yang tidak pernah Anda gunakan, penurunan limit kartu secara tiba-tiba, atau OTP yang masuk untuk transaksi yang tidak Anda inisiasi. Aktifkan notifikasi real-time di aplikasi mobile banking untuk deteksi dini.
- Apakah bank mengganti kerugian akibat carding?
- Secara umum ya, terutama jika nasabah dapat membuktikan transaksi tidak dilakukan sendiri dan segera melapor. Proses dispute biasanya memakan waktu 14–45 hari kerja. Segera blokir kartu dan hubungi call center bank begitu menemukan transaksi mencurigakan; jangan tunda, karena ada batas waktu pengajuan dispute.
- Apa yang harus dilakukan jika menjadi korban carding?
- Lima langkah berurutan: (1) blokir kartu segera via aplikasi atau call center 24 jam, (2) dokumentasikan semua transaksi mencurigakan dengan screenshot, (3) ajukan dispute ke bank secara tertulis, (4) lapor ke Bareskrim Polri via patrolisiber.id untuk keperluan hukum, (5) ganti PIN dan password semua akun yang terhubung dengan kartu tersebut.
- Apa itu card testing attack dan bagaimana cara mendeteksinya?
- Card testing adalah serangan otomatis di mana bot melakukan ribuan transaksi kecil untuk memvalidasi data kartu curian. Tandanya: lonjakan transaksi bernilai sangat kecil dari banyak kartu berbeda dalam waktu singkat, banyak kegagalan transaksi dari IP yang sama, dan pola waktu tidak wajar. Rate limiting pada endpoint pembayaran dan CAPTCHA adaptif adalah penangkal paling efektif.
Carding Hanya Bisa Dicegah di Dua Titik: Data Source dan Verifikasi Transaksi
Setelah data kartu jatuh ke tangan pelaku, ruang gerak platform sangat terbatas. Inilah mengapa pencegahan carding harus dimulai jauh sebelum transaksi terjadi.
Titik pertama adalah proteksi data source: memastikan data kartu tidak bisa dicuri melalui skimming, phishing, atau breach. Enkripsi end-to-end, tokenisasi, PCI-DSS compliance, dan edukasi pengguna adalah komponen kunci di sini.
Titik kedua adalah verifikasi transaksi real-time: bahkan jika pelaku memiliki data kartu, mereka tidak bisa menyelesaikan transaksi tanpa melewati verifikasi identitas yang kuat. 3D Secure, liveness detection, dan fraud scoring bekerja di lapisan ini.
Platform yang hanya fokus di salah satu titik akan selalu menemukan celah. Pendekatan yang paling tahan lama menggabungkan keduanya, dengan verifikasi identitas yang kuat sebagai tulang punggungnya. Ekosistem carding berkembang karena menemukan platform yang lemah di salah satu dari dua titik ini. Tutup kedua celah itu, dan Anda memutus rantai kejahatan dari ujung ke ujung.