Apa perbedaan skimming dan carding?

Skimming adalah proses pencurian data kartu menggunakan perangkat fisik di ATM atau EDC. Carding adalah penggunaan data kartu yang sudah dicuri untuk melakukan transaksi tidak sah. Skimming adalah sumber data; carding adalah tahap eksploitasinya.

Bagaimana cara mengetahui ATM dipasangi skimmer?

Periksa card reader dengan cara menekan dan menggoyangkan. Skimmer overlay biasanya terasa goyang atau tidak rata dengan panel ATM asli. Perhatikan lubang kecil tidak wajar di panel atas atau samping ATM. Jika menemukan kejanggalan, jangan gunakan ATM tersebut dan segera laporkan ke bank atau polisi.

Apa yang harus dilakukan jika menjadi korban skimming?

Segera blokir kartu melalui aplikasi mobile banking atau hubungi call center bank. Kunjungi kantor bank terdekat untuk membuat laporan resmi. Buat laporan polisi. Klaim ganti rugi ke bank dengan melampirkan laporan polisi dan bukti transaksi fraud.

Apakah kartu chip kebal terhadap skimming?

Kartu chip EMV jauh lebih aman dari magnetic stripe, tapi bukan 100% kebal. Teknik shimming dapat membaca data chip dalam kondisi tertentu. Yang tidak bisa dilakukan shimming adalah membuat kartu kloning yang berfungsi penuh untuk transaksi offline, karena chip menghasilkan kode transaksi unik yang tidak bisa direplikasi.

Bagaimana bank mendeteksi transaksi hasil skimming?

Bank menggunakan sistem fraud detection berbasis AI yang menganalisis pola transaksi secara real-time. Transaksi yang memicu alert: lokasi yang tidak konsisten dengan pola historis nasabah, transaksi di dua tempat berbeda dalam waktu singkat, atau pola pengeluaran yang sangat berbeda dari kebiasaan nasabah.

Apakah chip EMV membuat kartu sepenuhnya aman dari skimming?

Chip EMV secara nyata mengurangi risiko skimming fisik karena setiap transaksi menghasilkan kode unik yang tidak bisa direplikasi. Namun chip EMV tidak melindungi dari card-not-present (CNP) fraud; transaksi online yang hanya membutuhkan nomor kartu, masa berlaku, dan CVV. Pelaku yang tidak bisa mengkloning kartu chip beralih ke skimming data untuk transaksi online. Verifikasi identitas real-time untuk transaksi online bernilai tinggi adalah lapisan pelengkap yang diperlukan.

13 min read • KYC • Published on June 19, 2026

Skimming Adalah: Modus ATM Fraud dan Pencegahan

Skimming adalah teknik pencurian data kartu debit atau kredit dengan memasang perangkat ilegal pada mesin ATM, EDC, atau terminal pembayaran. Data yang berhasil dicuri digunakan untuk membuat kartu palsu atau melakukan transaksi tidak sah. Lembaga keuangan dapat mengurangi risiko skimming dengan memperketat verifikasi transaksi, mengadopsi teknologi deteksi anomali berbasis AI, dan mempercepat migrasi ke standar kartu chip EMV yang lebih aman.

Daftar Isi

Apa Itu Skimming? Definisi dan Cara Kerja Perangkat Skimmer
Jenis-Jenis Skimming yang Aktif Terjadi di Indonesia
Kasus Skimming ATM di Indonesia dan Kerugian Finansialnya
Regulasi Perbankan Indonesia tentang Keamanan Transaksi Elektronik
6 Cara Mencegah Skimming untuk Individu dan Lembaga Keuangan
Bagaimana Verihubs Membantu Mencegah Penyalahgunaan Data Kartu
FAQ Skimming
Skimming Bertahan Bukan karena Teknologinya Canggih, Tapi karena Verifikasi yang Lemah

Apa Itu Skimming? Definisi dan Cara Kerja Perangkat Skimmer

Pencegahan skimming yang efektif menerapkan Kerangka Pertahanan 3-Lapis terhadap ATM Fraud: lapisan fisik (deteksi perangkat skimmer), lapisan digital (monitoring anomali transaksi), dan lapisan identitas (verifikasi biometrik untuk transaksi berisiko). Ketiga lapisan saling melengkapi dan tidak bisa digantikan satu sama lain.

Skimming adalah kejahatan perbankan yang melibatkan pencurian data magnetik dari kartu debit atau kredit menggunakan perangkat elektronik ilegal yang dipasang secara tersembunyi pada mesin ATM, terminal EDC, atau perangkat pembayaran lain. Saat korban menggesek atau memasukkan kartu, perangkat skimmer membaca dan menyimpan data dari magnetic stripe kartu secara diam-diam. Data magnetic stripe ini kemudian digunakan untuk membuat kartu kloning atau melakukan transaksi online.

Skimming bukan kejahatan baru, tapi ia terus beradaptasi. Yang berubah bukan konsepnya, melainkan miniaturisasi perangkat dan kecepatan eksfiltrasi data. Skimmer modern bisa mentransmisikan data curian secara nirkabel via Bluetooth atau GSM, artinya pelaku tidak perlu kembali ke lokasi untuk mengambil perangkat.

Komponen Perangkat Skimmer: Card Reader Palsu dan Kamera Mini

Satu set perangkat skimming umumnya terdiri dari dua komponen yang bekerja bersamaan. Pertama, card reader overlay yang dipasang di atas slot kartu ATM asli untuk membaca data magnetic stripe. Kedua, kamera mini tersembunyi (sering dipasang di brosur holder, lampu ATM, atau cermin palsu) untuk merekam saat korban memasukkan PIN. Tanpa PIN, data magnetic stripe saja tidak cukup untuk melakukan tarik tunai di ATM, tapi cukup untuk transaksi online yang tidak memerlukan PIN fisik.

Bagaimana Data Kartu Dicuri dan Dieksploitasi

Alur eksploitasi data skimming terjadi dalam beberapa tahap yang rapi. Data magnetic stripe dan PIN disimpan atau dikirim ke server pelaku. Proses ini adalah jalur langsung ke carding: pelaku meng-encode data tersebut ke kartu blank (kartu kloning) menggunakan perangkat writer yang tersedia di dark web seharga beberapa ratus dolar. Kartu kloning ini identik secara magnetik dengan kartu asli dan dapat digunakan di ATM atau mesin EDC yang belum migrasi ke chip EMV. Siklus ini, dari pemasangan skimmer hingga kartu kloning aktif digunakan, bisa selesai dalam waktu kurang dari 24 jam.

Jenis-Jenis Skimming yang Aktif Terjadi di Indonesia

Jenis Skimming	Lokasi Umum	Modus Utama	Tingkat Risiko
ATM Skimming	ATM standalone, ATM di minimarket	Overlay card reader + kamera PIN	Tinggi
Shimming	ATM dan EDC dengan slot chip	Shim tipis dimasukkan ke dalam slot kartu	Sedang-Tinggi
POS Skimming	Kasir, restoran, SPBU	Gesek kartu ke perangkat terpisah oleh kasir	Sedang
E-Skimming (Web Skimming)	Website e-commerce	Skrip malware di halaman checkout (Magecart)	Tinggi (skala besar)
Gas Pump Skimming	Pompa bensin self-service	Perangkat dipasang di dalam pompa	Sedang

ATM Skimming: Modus Klasik yang Masih Marak

ATM yang berdiri sendiri di lokasi sepi, seperti minimarket 24 jam atau area parkir mal, menjadi target favorit pelaku skimming. Alasannya sederhana: pengawasan kamera minimal, tidak ada staf bank yang memantau, dan arus nasabah cukup untuk mengumpulkan ratusan data kartu dalam beberapa hari sebelum perangkat ditemukan. Bank Indonesia dan Bareskrim Polri secara rutin merilis peringatan terkait lokasi ATM yang teridentifikasi dipasangi skimmer.

Shimming: Evolusi Skimming untuk Kartu Chip

Setelah industri perbankan Indonesia mewajibkan migrasi ke kartu chip EMV, pelaku skimming beradaptasi dengan teknik shimming. Shim adalah perangkat ultra-tipis (setebal kartu kredit) yang dimasukkan ke dalam slot kartu ATM. Skimmer ini dapat membaca data dari chip kartu saat transaksi berlangsung. Tapi ada batasannya: data yang dicuri melalui shimming lebih terbatas dibanding magnetic stripe dan tidak bisa langsung di-clone ke kartu fisik untuk transaksi offline.

Point-of-Sale (POS) Skimming: Ancaman di Kasir dan Restoran

POS skimming melibatkan kasir atau pelayan yang menggesekkan kartu nasabah ke perangkat skimmer genggam sebelum atau sesudah gesek ke mesin EDC resmi. Ini kejahatan “orang dalam” yang lebih sulit dideteksi secara teknis. Korban tidak akan melihat tanda mencurigakan apapun di mesin EDC resmi. Pola yang sering terulang adalah: data kartu dicuri di restoran atau minimarket, digunakan untuk transaksi online beberapa jam kemudian.

Kasus Skimming ATM di Indonesia dan Kerugian Finansialnya

Kasus skimming ATM bukan kejadian sporadis di Indonesia. Bareskrim Polri dan kepolisian daerah secara rutin mengungkap kasus skimming, dengan kluster yang berulang di kota-kota besar seperti Jakarta, Surabaya, Bali, dan Medan. Modus operandi pelaku sering melibatkan jaringan lintas negara, dengan perangkat skimmer yang dipasang oleh WNA yang masuk melalui jalur wisata.

Pola Kejahatan Skimming yang Paling Sering Terulang

Berdasarkan pola kasus yang dilaporkan, ada beberapa kesamaan yang mencolok. Pemasangan dilakukan di malam hari atau dini hari saat trafik ATM minimal. Pelaku biasanya bekerja dalam kelompok kecil. Perangkat dipasang selama 2-7 hari lalu diambil sebelum terdeteksi. Data dikirim ke server di luar negeri secara nirkabel. Kartu kloning digunakan di ATM yang berbeda kota atau negara untuk mempersulit pelacakan.

Regulasi Perbankan Indonesia tentang Keamanan Transaksi Elektronik

Bank Indonesia telah menetapkan sejumlah regulasi terkait keamanan ATM dan EDC, termasuk kewajiban infrastruktur Alat Pembayaran dengan Menggunakan Kartu (APMK) dan kebijakan migrasi standar kartu chip EMV untuk menggantikan magnetic stripe. Kerangka pengawasan sistem pembayaran nasional ini mewajibkan bank untuk menerapkan standar keamanan minimum, termasuk monitoring anomali transaksi real-time dan pelaporan insiden keamanan ke BI.

PBI (Peraturan Bank Indonesia) tentang Keamanan ATM dan EDC

Bank wajib melakukan pemeriksaan fisik perangkat ATM secara berkala untuk mendeteksi pemasangan skimmer. Bank juga wajib mengimplementasikan sistem deteksi transaksi anomali yang mampu menandai pola penggunaan kartu yang mencurigakan, seperti transaksi di dua kota berbeda dalam waktu singkat atau penggunaan di luar pola historis nasabah.

Tanggung Jawab Bank terhadap Korban Skimming

Berdasarkan POJK perlindungan konsumen dan Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen, bank bertanggung jawab mengganti kerugian nasabah yang terbukti menjadi korban skimming, dengan syarat nasabah tidak melakukan kelalaian (seperti membagikan PIN). Prosedur klaim: nasabah melaporkan ke bank, bank melakukan investigasi, dan jika terbukti bukan kesalahan nasabah, bank wajib mengembalikan dana dalam jangka waktu yang ditetapkan.

6 Cara Mencegah Skimming untuk Individu dan Lembaga Keuangan

Langkah Pencegahan di Level Nasabah

Pertahanan lini pertama tetap ada di tangan nasabah. Periksa fisik mesin ATM sebelum menggunakannya: card reader yang goyah, kamera palsu di panel atas, atau keypad yang terasa berbeda adalah tanda bahaya. Tutupi keypad saat memasukkan PIN, meskipun tidak ada orang di sekitar. Gunakan ATM di dalam kantor bank atau gedung dengan pengawasan kamera tinggi. Aktifkan notifikasi transaksi real-time di aplikasi mobile banking dan segera laporkan transaksi yang tidak dikenali.

Langkah Teknis untuk Bank dan Fintech: Verifikasi Transaksi Berlapis

Di level institusi, pencegahan skimming efektif membutuhkan pendekatan berlapis, serupa dengan kerangka pencegahan yang digunakan untuk social engineering dan kejahatan digital lainnya. Pertama, akselerasi migrasi nasabah ke kartu full-chip dan penghapusan magnetic stripe dari kartu debit/kredit. Kedua, implementasi sistem fraud detection berbasis machine learning yang mengenali anomali pola transaksi secara real-time. Ketiga, verifikasi identitas tambahan untuk transaksi berisiko tinggi, seperti tarik tunai di luar kota atau transaksi online pertama dengan merchant baru.

Menghubungkan card fraud sebagai bagian dari fraud keuangan digital yang lebih luas adalah langkah penting dalam membangun strategi pencegahan yang holistik. Skimming seringkali merupakan tahap awal dari rantai fraud yang berujung pada hubungan skimming dan carding dalam ekosistem fraud kartu yang lebih terorganisir.

Bagaimana Verihubs Membantu Mencegah Penyalahgunaan Data Kartu

Verihubs mendukung lembaga keuangan dalam menutup celah yang dieksploitasi pelaku skimming melalui dua pendekatan utama. Pertama, verifikasi identitas berlapis saat onboarding memastikan setiap akun yang dibuat terhubung ke identitas yang valid dan terverifikasi secara biometrik, sehingga kartu kloning tidak dapat digunakan untuk membuat akun baru atau melakukan transaksi online atas nama nasabah sah. Kedua, integrasi liveness detection di proses autentikasi high-risk transaction menambah lapisan verifikasi tambahan untuk transaksi yang memerlukan konfirmasi identitas di luar PIN.

FAQ Skimming

Apa perbedaan skimming dan carding?: Skimming adalah proses pencurian data kartu menggunakan perangkat fisik di ATM atau EDC. Carding adalah penggunaan data kartu yang sudah dicuri (bisa dari skimming, phishing, atau data breach) untuk melakukan transaksi tidak sah. Skimming adalah sumber data; carding adalah tahap eksploitasinya.
Bagaimana cara mengetahui ATM dipasangi skimmer?: Periksa card reader dengan cara menekan dan menggoyangkan. Skimmer overlay biasanya terasa goyang atau tidak rata dengan panel ATM asli. Perhatikan juga lubang kecil tidak wajar di panel atas atau samping ATM yang bisa menjadi tempat kamera tersembunyi. Jika menemukan kejanggalan, jangan gunakan ATM tersebut dan segera laporkan ke bank atau polisi.
Apa yang harus dilakukan jika menjadi korban skimming?: Segera blokir kartu melalui aplikasi mobile banking atau hubungi call center bank. Kunjungi kantor bank terdekat untuk membuat laporan resmi. Buat laporan polisi di Polres setempat. Simpan semua bukti transaksi yang mencurigakan. Klaim ganti rugi ke bank dengan melampirkan laporan polisi dan bukti transaksi fraud.
Apakah kartu chip kebal terhadap skimming?: Kartu chip EMV jauh lebih aman dari magnetic stripe, tapi bukan 100% kebal. Teknik shimming dapat membaca data chip dalam kondisi tertentu. Yang tidak bisa dilakukan shimming adalah membuat kartu kloning yang berfungsi penuh untuk transaksi offline, karena chip menghasilkan kode transaksi unik (cryptogram) yang tidak bisa direplikasi. Risiko terbesar kartu chip ada di transaksi online yang hanya memerlukan nomor kartu, masa berlaku, dan CVV.
Bagaimana bank mendeteksi transaksi hasil skimming?: Bank menggunakan sistem fraud detection berbasis AI yang menganalisis pola transaksi secara real-time. Transaksi yang memicu alert: lokasi yang tidak konsisten dengan pola historis nasabah, transaksi di dua tempat berbeda dalam waktu singkat yang tidak mungkin secara fisik, atau pola pengeluaran yang jauh berbeda dari kebiasaan nasabah. Sistem ini kemudian memblokir transaksi secara otomatis atau mengirim notifikasi konfirmasi ke nasabah.
Apakah chip EMV membuat kartu sepenuhnya aman dari skimming?: Chip EMV mengurangi skimming fisik karena setiap transaksi menghasilkan kode unik yang tidak bisa direplikasi untuk membuat kartu kloning. Namun EMV tidak melindungi dari card-not-present fraud; transaksi online yang hanya butuh nomor kartu, masa berlaku, dan CVV. Pelaku yang gagal mengkloning kartu chip beralih ke eksploitasi data untuk transaksi digital.

Skimming Bertahan Bukan karena Teknologinya Canggih, Tapi karena Verifikasi yang Lemah

Skimming adalah kejahatan yang eksistensinya bergantung pada satu kelemahan fundamental: sistem perbankan yang memverifikasi transaksi berdasarkan “apa yang dimiliki” (data kartu dan PIN), bukan “siapa yang melakukan transaksi” (identitas biometrik). Selama magnetic stripe masih digunakan dan PIN bisa direkam kamera, skimmer akan terus dipasang.

Transisi ke verifikasi berbasis identitas biometrik bukan hanya peningkatan keamanan. Pergeseran paradigma ini dari “kartu siapa yang digunakan” ke “siapa yang benar-benar melakukan transaksi ini.” Baca juga: modus pencurian data kartu di Indonesia terus berkembang dan apa yang bisa dilakukan bisnis keuangan untuk menutup celah tersebut.

Hentikan Eksploitasi Data Kartu dengan Verifikasi Identitas Real-Time

Pilih solusi verifikasi identitas yang sudah terbukti memenuhi standar POJK dan UU PDP. Diskusikan kebutuhan spesifik bisnis Anda dengan tim Verihubs untuk mendapatkan rekomendasi teknologi yang tepat.

Lihat Blog