Lakon Buntung Pemain Burung

Ruang kerja Ajun Komisaris Besar Herry Heryawan sebulan terakhir ini tampak hiruk-pikuk. Hampir tiap pekan, Kepala Sub-Direktorat Bangunan dan Tanah Reserse Mobil Kepolisian Metro Jaya ini menggelar rapat dengan anak buahnya beserta tim dari Asosiasi Kartu Kredit Indonesia. Tim Herry memang baru saja menangkap penjahat spesialis pembobol kartu kredit. Tapi jalan untuk menelisik sindikat ini hingga ke pelaku utama dan jaringan lainnya bisa jadi masih panjang. "Kami masih memperkirakan ada tersangka lain," kata Herry kepada Tempo, Kamis pekan lalu.

Menangkap para pembobol ini jelas bukan perkara mudah. Ini lantaran identitas mereka saat membobol mesin kartu kredit sulit terdeteksi. Mereka memakai identitas palsu atau milik orang lain. Aksi yang mereka lakukan pun rapi jali. Ini, misalnya, dibuktikan dengan bagaimana mereka berhasil membuat belasan rekening asli tapi memakai data diri palsu. "Dan kemudian mereka berhasil mengecoh bank," kata Herry.

Polisi baru membongkar sindikat ini pada 22 September lalu, setelah menangkap satu dari 17 pelaku yang kini sudah ditangkap. Itu pun dari lapis jaringan yang paling bawah, yaitu R. Firmansyah, yang bertugas sebagai kurir KTP palsu dalam jaringan ini. Dari Firman, kemudian muncul nama-nama tersangka lain yang membuat rekening di bank dengan identitas palsu. Beberapa hari kemudian, polisi menangkap anggota yang lain: Ranand Paskal Lolong, Raden Adi Dewanto, Budi Hadiyono Putro, Yudi Dwilianto, Andi Rubian, Kusnandar, Franky Umboh, dan tersangka lain.

Komplotan ini diduga telah mencuri uang bank dengan cara merekayasa transaksi fiktif. Tak tanggung-tanggung, jumlahnya sekitar Rp 81 miliar, yang mereka gangsir dari berbagai bank lewat modus ini sejak tahun lalu. Caranya, memanipulasi mesin electronic data capture (EDC), perangkat yang biasa digunakan menggesek kartu kredit, yang oleh mereka "diolah" dengan menggunakan data kartu kredit curian. Menurut Koordinator Asosiasi Kartu Kredit Indonesia Wilayah DKI Jakarta, W. Max Charles Taulo, modus semacam ini terhitung baru dan canggih. Soalnya, selama ini yang dikenal hanya pembobolan kartu kredit dengan menggunakan kartu kredit palsu. "Jadi, ini benar-benar kejahatan extraordinary," kata Max kepada Tempo.

Pola pembobolan yang dilakukan ada dua. Pertama adalah refund, yaitu dengan mengambil keuntungan dari rekayasa pengembalian barang yang telah dibeli. Kedua, merekayasa transaksi offline (fraud offline), yang biasa dilakukan di gerai yang beromzet besar. Dalam kasus fraud offline yang ditangani tim Herry, mesin EDC yang digarap komplotan Ranand itu milik sebuah stasiun pengisian bahan bakar umum (SPBU) yang terletak di Jalan Kebayoran Baru, Jakarta Selatan. Adapun dalam kasus refund, yang diakali adalah milik Carrefour.

Tiga pria berpakaian necis memasuki kantor SPBU di Jalan Kebayoran Baru, Jakarta Selatan, pertengahan Juli lalu. Mereka mengaku petugas dari Bank Danamon yang hendak memeriksa mesin EDC yang menurut mereka telah rusak. Pemilik SPBU tak curiga. Apalagi ketiganya menunjukkan identitas dari Bank Danamon, bank tempat asal mesin itu. Tak hanya itu. Tiga orang tersebut juga membawa blangko untuk pengambilan mesin dan blangko penarikan kartu ATM beserta PIN-nya yang berhubungan dengan mesin tersebut. Tiap mesin EDC memiliki satu rekening penampungan klaim di bank.

Belakangan terungkap bahwa tiga orang tersebut anggota sindikat Ranand. Semua identitas dan blangko yang disodorkan ke pemilik SPBU itu palsu. "Blangko itu dicetak di kawasan Jalan Pramuka," kata Herry, menyebut lokasi di kawasan Jakarta Timur yang dikenal sebagai salah satu pusat cetak-mencetak di Ibu Kota.

Nah, bermacam data hasil colongan itulah yang kemudian diolah. Data di mesin EDC diklon. Menurut Herry, yang mempunyai keahlian mengklon data ini Andi Rubian. Belakangan, dari penyidikan, diketahui Andi-lah yang mencetuskan ide mengambil mesin EDC di SPBU tersebut.

Andi ini pula yang memantau SPBU itu sejak beberapa bulan sebelumnya dan menghafal jadwal kedatangan petugas Bank Danamon. Untuk aksinya ini, ia mengajak kawan lamanya, Ranand, yang dikenal sebagai "pemain burung". Di dunia kejahatan seperti ini, istilah pemain burung menunjuk mereka yang ahli dalam membobol atawa memalsukan kartu kredit. "Istilah ini diambil dari gambar hologram burung yang biasanya ada di kartu kredit," kata Max.

Para pemain burung itu—kini mendekam di tahanan Polda Metro Jaya—kemudian berkumpul. Masing-masing melakukan peran sesuai dengan keahliannya. Menurut Herry, status mereka semua sejajar, tak punya bos. "Hasilnya pun dibagi rata," katanya. Kepada Ananda Badudu dari Tempo, misalnya, Ranand mengaku uang yang diperolehnya dari menjebol kartu kredit itu dipakai untuk foya-foya. Ia menolak menyebut berapa yang ia dapat. "Sebagian saya belikan barang bermerek di Singapura," katanya.

Dengan menggunakan puluhan data kartu kredit palsu, mereka merekayasa transaksi dengan menggunakan mesin EDC kloning. Pada 2 Agustus lalu, misalnya, mereka merekayasa transaksi virtual berjumlah Rp 354,2 juta. Bank Danamon, yang tak curiga, kemudian mentransfer uang ini ke rekening milik SPBU yang mereka pegang. Hari pertama mereka sukses besar. Uang itu mereka kirim ke sembilan rekening, yang kemudian dari sini dibagi-bagi ke tersangka lain.

Hari kedua, mereka mengulanginya. Kali ini dengan jumlah lebih besar, yaitu Rp 464,6 juta. Dan berhasil. Kali ini bank mulai curiga. Menurut sumber Tempo, pengawas transaksi internal kartu kredit Bank Danamon mulai mencium ada yang tidak beres. Soalnya, menurut data di Bank Danamon, mesin EDC milik SPBU itu selama ini tak pernah dua hari berturut-turut bertransaksi sampai ratusan juta rupiah. Pengawas kemudian memverifikasi transaksi itu, termasuk mengkaji ulang kartu kredit yang digesekkan ke mesin EDC yang tercatat di server bank. Hasilnya tak cocok. "Beberapa pemilik kartu kredit yang dikonfirmasi mengaku tak kenal SPBU itu," kata sumber itu.

Pada hari ketiga transaksi terjadi lagi. Kali ini bank tak mau kecolongan. Mereka enggan membayar klaim yang ditagih mesin EDC yang dipegang komplotan pembobol. Pengawas bank melaporkan kecurigaan ini ke polisi. Dari sini Asosiasi Kartu Kredit Indonesia mulai terlibat. Rupanya, sebagai "polisi" kartu kredit, organisasi ini sudah mengendus aksi kelompok ini sejak Juni lalu. "Kali ini mereka buntung karena rakus," kata sumber itu.

Asosiasi kartu kredit sedunia pada awal 2010 sudah sepakat mengubah sistem pengamanan internal mereka. Sebelumnya, kartu kredit menggunakan pelat magnetik yang ditanam ke dalam kartu. Teknologi ini dianggap usang, bahkan merugikan pemilik kartu. Pasalnya, para bandit dengan mudah meniru kartu kredit palsu dengan model ini. Sejak itulah kartu kredit menggunakan chip yang ditanam ke dalam kartu. Dengan model ini, semua data kartu kredit dari seluruh dunia tersimpan di dalam satu server yang berintegrasi dengan bank di seluruh dunia. "Dengan demikian kartu kredit nasabah semakin aman," kata Max.

Tapi para pemain burung tak mudah menyerah. Mereka memutar otak agar mampu membobol bank. Lalu muncullah modus yang dilakukan Ranand cs. Meskipun sudah lama terendus, tetap saja Asosiasi Kartu Kredit Indonesia tersentak. Sebab, sistem kartu kredit yang dimiliki bank saat ini dipandang dari sisi keamanan sangat kuat. Menurut Max, untuk mencari kelemahan supaya bisa membobol kartu, diperlukan bantuan. "Yaitu memanfaatkan orang dalam bank," katanya.

Seketat apa pun sistem bank, kata Max, bila dibantu orang dalam akan sangat ringkih. "Jaringan Ranand"—demikian polisi menyebut komplotan ini—memang beranggotakan dua orang eks karyawan bank. Bahkan salah satunya bekas pengawas kartu kredit yang paham betul jeroan mesin EDC (lihat "Transaksi Palsu Pencuri Kartu Kredit"). Dengan cara inilah mereka dengan mudah memperoleh mesin EDC. Padahal mesin itu, menurut Max, tak mudah diperoleh. "Semua mesin EDC tercatat resmi, harus lewat bank," kata Max.

Polisi menduga komplotan Ranand memperoleh EDC dari pasar gelap. Tapi, dari penelusuran Tempo, ternyata mesin EDC mudah diperoleh, misalnya dengan mencarinya di situs-situs lokal. Harganya berkisar Rp 6 juta. Bisa pula disewa Rp 800 ribu.

Sumber Tempo menyebut, banyaknya negara yang memberi perhatian khusus kepada komplotan ini karena warga negara mereka juga menjadi korban. Mereka memperoleh data kartu kredit itu dengan meretas situs jual-beli. Ada pula data yang dibeli dari orang dalam yang bekerja di perusahaan jasa pengiriman uang internasional. "Semua kartu kredit yang digunakan komplotan ini memang milik warga negara asing," kata sumber itu.

Max menyebut, sebenarnya bukan pemilik kartu kredit yang paling dirugikan. Kerugian terbesar justru diderita bank. Selain pemilik kartu tak akan mengakui transaksi itu, kepercayaan bank sebagai pengelola kartu kredit akan tergerus.

Mustafa Silalahi

Transaksi Palsu Pencuri Kartu Kredit

PULUHAN miliar rupiah disedot para maling bank lewat pembobolan mesin electronic data capture (EDC) milik bank. Modus operandinya canggih sehingga bisa mengecoh sistem pengawasan bank. Inilah modus mereka:

I. Kejahatan Transaksi Palsu Refund (Online)
Transaksi refund terjadi ketika toko/bank mengembalikan uang pembeli karena mengembalikan barang yang ia beli karena dianggap rusak/cacat. Pelaku mengambil keuntungan dari selisih nilai nominal pengembalian uang.

1. Mencuri data terminal identity (TID), merchant identity (MID), network international identifier (NII), dan network access control (NEC) dari EDC yang dimiliki kasir di gerai besar semacam Carrefour.
2. Dari empat item itu, pelaku membangun ghost terminal EDC sebagai kloning dari terminal EDC Carrefour. Terminal ini biasa digunakan gerai besar yang memiliki banyak kasir mesin EDC.
3. Membuat transaksi palsu dengan menggunakan identitas kartu kredit curian lewat komputer yang sudah terhubung dengan ghost terminal.
4. Bank asal kartu kredit mengesahkan refund, kemudian mengembalikan uang yang sebelumnya seolah-olah terpotong dari kartu kredit yang digunakan saat bertransaksi palsu, ke nomor rekening bank yang ditunjuk pelaku.
5. Pelaku mencairkan uang refund dari mesin EDC ke rekening mereka.

II. Kejahatan Transaksi Offline
Modus: ”mengklon” mesin EDC milik gerai. Lebih berisiko tapi menguntungkan karena bisa merekayasa transaksi dengan jumlah besar tanpa dicurigai bank. Ini, antara lain, terjadi di SPBU di Jakarta Selatan

1. Tiga pelaku menyamar menjadi petugas Bank Danamon yang rutin mendatangi SPBU di Jalan Kebayoran Baru, Jakarta Selatan.
2. Bermodalkan kartu pengenal dan blangko bank palsu, pelaku mengambil mesin EDC berikut kartu ATM Bank Danamon yang dimiliki SPBU, dengan alasan mesin itu rusak.
3. Pelaku mengklon data TID, NID, NII, dan NEC dari mesin EDC milik SPBU ke mesin EDC lain yang sudah mereka siapkan.
4. Komplotan lalu membuat transaksi palsu dengan bermodalkan mesin EDC kloning, identitas kartu kredit curian, dan seperangkat komputer.
5. Bank yang terkecoh mentransfer uang ke rekening untuk mesin EDC, sesuai dengan nilai nominal yang diklaim.
6. Pelaku yang memegang kartu ATM asli SPBU mentransfer ke 19 rekening asli tapi palsu. Kemudian dicairkan para pelaku.

Mereka yang Tercokok
Para Otak Pelaku:

1. Ranand Paskal Lolong, 32 tahun
Peran: