Skimming - wszystko co trzeba wiedzie
ofin.plOszustwaSkimming – kopiowanie danych kart płatniczych. Metody ochrony

Skimming – kopiowanie danych kart płatniczych. Metody ochrony

Skimming to metoda przestępcza polegająca na nielegalnym kopiowaniu danych z paska magnetycznego karty płatniczej przy użyciu specjalnego urządzenia elektronicznego zwanego skimmerem. Celem tego działania jest stworzenie klona karty lub pozyskanie danych umożliwiających dokonywanie nieautoryzowanych transakcji finansowych na koszt prawowitego właściciela karty. Ataki skimmingowe najczęściej mają miejsce przy bankomatach oraz terminalach płatniczych (POS) w punktach handlowo-usługowych, gdzie oszuści instalują urządzenia kopiujące lub wykorzystują nieuczciwy personel. Zrozumienie technik stosowanych przez skimmerów, umiejętność rozpoznawania zmodyfikowanych urządzeń oraz stosowanie zasad bezpiecznego korzystania z kart płatniczych są kluczowe dla ochrony przed tym zagrożeniem.

Emil Marecki
Emil Marecki, 08.05.2025 r

Definicja i istota skimmingu

Skimming to rodzaj oszustwa polegający na bezprawnym skopiowaniu danych zapisanych na pasku magnetycznym karty płatniczej (takich jak numer karty, data ważności, dane identyfikacyjne) bez wiedzy i zgody jej właściciela. Do kopiowania tych informacji wykorzystywane jest specjalne urządzenie elektroniczne – skimmer – które odczytuje dane podczas standardowego użycia karty, np. przy wkładaniu jej do bankomatu lub terminala płatniczego.

Celem skimmingu jest pozyskanie danych niezbędnych do stworzenia fałszywej kopii karty (tzw. klona) lub do wykorzystania ich w transakcjach zdalnych (typu CNP - Card Not Present), które nie zawsze wymagają fizycznej obecności karty. Chociaż nowoczesne karty z chipem (EMV) oferują znacznie wyższy poziom bezpieczeństwa dla samej transakcji, wiele z nich nadal posiada pasek magnetyczny, który może paść ofiarą skimmingu, a pozyskane z niego dane, w połączeniu np. ze skradzionym kodem PIN, mogą wciąż zostać wykorzystane przez przestępców.

Mechanizm działania skimmingu i typowe scenariusze

Przestępcy stosują dwie główne metody przeprowadzania ataków skimmingowych, w zależności od miejsca i okoliczności użycia karty przez ofiarę:

Skimming przy terminalach płatniczych (POS)

Ten scenariusz ma miejsce najczęściej w punktach handlowo-usługowych (sklepy, restauracje, stacje benzynowe). Może polegać na:

  • Użyciu przenośnego skimmera przez nieuczciwego pracownika – Osoba przyjmująca płatność, otrzymując kartę od klienta, przeciąga ją nie tylko przez legalny terminal płatniczy, ale również dyskretnie przez małe, ukryte urządzenie skimmingowe, kopiując dane z paska. Czasem może próbować zabrać kartę na chwilę poza zasięg wzroku klienta (np. "na zaplecze").
  • Instalacji skimmera na legalnym terminalu – Bardziej zaawansowana technicznie metoda polega na fizycznej modyfikacji terminala POS poprzez nałożenie na niego specjalnej nakładki z czytnikiem lub podmianie całego urządzenia na fałszywe, które oprócz przetwarzania płatności, kopiuje dane karty.

Skimming bankomatowy (ATM Skimming)

Jest to powszechna forma ataku, wymierzona w użytkowników bankomatów. Oszuści instalują na urządzeniu dodatkowe elementy:

  • Nakładkę na czytnik kart (skimmer) – Urządzenie idealnie dopasowane do oryginalnego czytnika, które kopiuje dane z paska magnetycznego podczas wkładania karty do bankomatu.
  • Urządzenie do przechwytywania kodu PIN – Może to być:
    • Ukryta mikrokamera (np. w listwie nad klawiaturą, w pojemniku na ulotki) skierowana na klawiaturę.
    • Fałszywa nakładka na klawiaturę (keypad overlay), która rejestruje wciskane klawisze.

Połączenie skopiowanych danych z paska magnetycznego i przechwyconego kodu PIN pozwala przestępcom na tworzenie w pełni funkcjonalnych klonów kart lub dokonywanie nieautoryzowanych wypłat gotówki.

Rozpoznawanie i zapobieganie skimmingowi

Chociaż skimmery są projektowane tak, aby były trudne do zauważenia, zachowanie ostrożności i zwracanie uwagi na pewne szczegóły może pomóc w rozpoznaniu zagrożenia i zapobieganiu skimmingowi.

Rozpoznawanie potencjalnych zagrożeń:

  • Nietypowy wygląd bankomatu/terminala POS – Wszelkie luźne, odstające, niedopasowane elementy, różnice w kolorze lub materiale, ślady kleju, widoczne kable – zwłaszcza w okolicy czytnika kart i klawiatury – powinny wzbudzić podejrzenia.
  • Trudności z włożeniem/wyjęciem karty – Opór lub nietypowe zachowanie czytnika kart może świadczyć o zainstalowanej nakładce skimmingowej.
  • Podejrzane elementy w otoczeniu bankomatu – Małe, nietypowe otwory (mogące kryć kamerę), dodatkowe listwy lub pojemniki w pobliżu klawiatury.
  • Nietypowe zachowanie pracownika przy płatności kartą – Próba zabrania karty poza zasięg wzroku klienta, przeciąganie karty przez dodatkowe, nieznane urządzenie.

Metody zapobiegania:

  • Inspekcja wizualna i fizyczna urządzeń – Przed użyciem bankomatu lub terminala płatniczego warto delikatnie poruszyć czytnikiem kart i klawiaturą – luźne elementy mogą wskazywać na nakładkę. Rozejrzeć się w poszukiwaniu ukrytych kamer.
  • Zakrywanie klawiatury podczas wpisywania PIN – Zawsze należy zasłaniać klawiaturę drugą dłonią lub portfelem, aby uniemożliwić podejrzenie lub nagranie wprowadzanego kodu PIN.
  • Utrzymywanie karty w zasięgu wzroku – Podczas płatności w punktach handlowo-usługowych nie należy tracić karty z oczu ani pozwalać pracownikowi na oddalenie się z nią.
  • Korzystanie z bezpieczniejszych metod płatności – Preferowanie płatności chipowych (włożenie karty do czytnika) lub zbliżeniowych (NFC, np. płatności mobilne telefonem), które są znacznie trudniejsze do skopiowania niż dane z paska magnetycznego.
  • Wybór bezpiecznych lokalizacji bankomatów – Unikanie bankomatów w miejscach odosobnionych, słabo oświetlonych lub wyglądających na zaniedbane. Bezpieczniejsze są zazwyczaj urządzenia znajdujące się wewnątrz placówek bankowych.
  • Regularne monitorowanie historii transakcji – Częste sprawdzanie wyciągów bankowych i historii operacji kartą pozwala na szybkie wykrycie wszelkich nieautoryzowanych transakcji.
  • Zgłaszanie podejrzeń – Wszelkie zauważone nieprawidłowości dotyczące bankomatu lub terminala należy zgłaszać obsłudze banku lub punktu usługowego.

Postępowanie w przypadku podejrzenia lub stwierdzenia skimmingu

Najczęściej o padnięciu ofiarą skimmingu dowiadujemy się dopiero po zauważeniu nieautoryzowanych transakcji na wyciągu bankowym lub historii karty. W takiej sytuacji kluczowa jest szybka reakcja:

  1. Natychmiastowe zastrzeżenie karty – Skontaktować się z bankiem (poprzez infolinię, aplikację mobilną lub bankowość internetową) i niezwłocznie zastrzec kartę, której dane mogły zostać skopiowane. Zapobiegnie to dalszym nieautoryzowanym transakcjom.
  2. Zgłoszenie reklamacji do banku – Złożyć w banku formalną reklamację dotyczącą wszystkich nieautoryzowanych transakcji. Zgodnie z Ustawą o usługach płatniczych, należy to zrobić niezwłocznie po stwierdzeniu takiej transakcji, nie później jednak niż w terminie 13 miesięcy od dnia obciążenia rachunku. Szybkie zgłoszenie zwiększa szanse na pozytywne rozpatrzenie i odzyskanie środków (np. w ramach procedury chargeback dla transakcji kartowych).
  3. Zawiadomienie policji – Skimming i nieuprawnione użycie karty płatniczej to przestępstwa. Należy złożyć formalne zawiadomienie na policji, co może być również wymagane przez bank w procesie reklamacyjnym.
  4. Monitorowanie konta – Po zastrzeżeniu karty nadal należy uważnie obserwować historię rachunku bankowego.

Rola banków i instytucji płatniczych w ochronie przed skimmingiem

Instytucje finansowe i operatorzy systemów płatniczych odgrywają kluczową rolę w walce ze skimmingiem, zarówno poprzez działania prewencyjne, jak i reaktywne. Zgodnie z ustawą o elektronicznych instrumentach płatniczych, podmioty te ponoszą odpowiedzialność za bezpieczeństwo udostępnianych systemów i transakcji, w tym tych realizowanych w bankomatach.

Do działań mających na celu zapobieganie skimmingowi należą m.in.:

  • Wdrażanie technologii anty-skimmingowych – Wyposażanie bankomatów w specjalne czytniki kart utrudniające kopiowanie paska magnetycznego (np. technologia jitter – wprawiająca kartę w drgania) oraz systemy wykrywające próby instalacji obcych urządzeń.
  • Promowanie bezpieczniejszych technologii – Zachęcanie do korzystania z kart chipowych (EMV) i płatności zbliżeniowych (NFC), które są znacznie odporniejsze na skimming niż tradycyjny pasek magnetyczny.
  • Monitoring transakcji – Zaawansowane systemy antyfraudowe analizują wzorce transakcji i mogą blokować operacje uznane za podejrzane (np. nietypowa lokalizacja, szybkie, kolejne transakcje).
  • Regularne inspekcje urządzeń – Kontrole bankomatów i terminali pod kątem obecności urządzeń skimmingowych.
  • Współpraca z organami ścigania – Przekazywanie informacji o wykrytych próbach oszustw i współpraca w dochodzeniach.

W przypadku zaistnienia nieautoryzowanych transakcji, banki są zobowiązane do rozpatrywania reklamacji klientów i, w uzasadnionych przypadkach (gdy klient nie ponosi winy za transakcję), do zwrotu utraconych środków.

Skimming – kluczowe aspekty i podsumowanie

Skimming pozostaje realnym zagrożeniem dla użytkowników kart płatniczych, polegającym na kradzieży danych z paska magnetycznego za pomocą specjalnych urządzeń (skimmerów), najczęściej instalowanych na bankomatach lub terminalach POS. Celem przestępców jest stworzenie klonów kart lub wykorzystanie danych do nieautoryzowanych transakcji. Chociaż karty z chipem znacząco podniosły bezpieczeństwo samych transakcji, obecność paska magnetycznego na wielu kartach nadal stwarza ryzyko skimmingu.

Kluczowe metody ochrony obejmują wzmożoną czujność przy korzystaniu z bankomatów i terminali (inspekcja wizualna urządzenia, zakrywanie klawiatury przy wpisywaniu PIN), nie tracenie karty z oczu podczas płatności w punktach usługowych oraz preferowanie bezpieczniejszych metod płatności, takich jak transakcje chipowe i zbliżeniowe. Równie ważne jest regularne monitorowanie historii transakcji na koncie. W przypadku podejrzenia skimmingu lub wykrycia nieautoryzowanych operacji, niezbędna jest natychmiastowa reakcja: zastrzeżenie karty, zgłoszenie reklamacji w banku oraz powiadomienie policji.

Często zadawane pytania

Czy płatności zbliżeniowe (NFC) są narażone na skimming?
Klasyczny skimming polega na kopiowaniu danych z paska magnetycznego lub chipa poprzez fizyczny kontakt z czytnikiem skimmera. Płatności zbliżeniowe (NFC) wykorzystują inną technologię (komunikacja radiowa na bardzo krótką odległość) i są generalnie uważane za odporne na tradycyjny skimming. Teoretycznie istnieją możliwości przechwycenia sygnału NFC na odległość (tzw. e-skimming), ale wymaga to specjalistycznego sprzętu i bliskiej odległości, a dodatkowo przesyłane dane są często dynamiczne lub tokenizowane, co utrudnia ich ponowne wykorzystanie. Ryzyko przy płatnościach zbliżeniowych jest uznawane za znacznie niższe niż przy użyciu paska magnetycznego.
Jak dokładnie mogą wyglądać urządzenia skimmingowe instalowane na bankomatach?
Skimmery bankomatowe są projektowane tak, aby jak najwierniej imitować oryginalne części urządzenia. Nakładka na czytnik kart jest zazwyczaj cienka, wykonana z plastiku w kolorze i kształcie pasującym do bankomatu, przyklejona lub nałożona na oryginalną szczelinę. Fałszywa klawiatura (keypad overlay) to cienka nakładka umieszczana na oryginalnych przyciskach, która rejestruje wprowadzany PIN. Ukryte kamery mogą być zamontowane w miniaturowych otworach w elementach obudowy nad klawiaturą, w bocznych panelach, a nawet w pojemnikach na ulotki umieszczonych obok bankomatu.
Czy bank zawsze zwraca pieniądze skradzione w wyniku skimmingu?
Zgodnie z Ustawą o usługach płatniczych, bank co do zasady ponosi odpowiedzialność za nieautoryzowane transakcje płatnicze i powinien zwrócić klientowi utraconą kwotę. Istnieje jednak limit odpowiedzialności klienta (zwykle do równowartości 50 euro) za transakcje dokonane przed zgłoszeniem utraty/kradzieży karty, chyba że klient działał umyślnie lub dopuścił się rażącego niedbalstwa w przestrzeganiu obowiązków (np. zapisanie PIN-u na karcie). Jeśli bank udowodni rażące niedbalstwo klienta, może odmówić zwrotu środków. Kluczowe jest jak najszybsze zgłoszenie nieautoryzowanych transakcji do banku.
Co to jest "shimming" i czym różni się od skimmingu?
Shimming to bardziej zaawansowana technika ataku niż skimming, wymierzona w karty z chipem (EMV). Polega na umieszczeniu bardzo cienkiego urządzenia (tzw. shim) wewnątrz czytnika kart chipowych. Shim ten ma na celu przechwycenie danych wymienianych między kartą a terminalem/bankomatem podczas transakcji chipowej. Pozyskane w ten sposób dane mogą potencjalnie posłużyć do stworzenia klona karty (choć jest to trudniejsze niż przy pasku magnetycznym) lub do przeprowadzenia innych oszustw. Shimming jest trudniejszy do wykrycia niż tradycyjne nakładki skimmingowe.
Czy skimming jest nadal dużym zagrożeniem w dobie kart chipowych?
Tak, skimming nadal stanowi zagrożenie, chociaż wprowadzenie technologii chipowej (EMV) znacząco je ograniczyło. Problem polega na tym, że wiele kart płatniczych na świecie wciąż posiada pasek magnetyczny (dla zapewnienia kompatybilności ze starszymi terminalami). Przestępcy nadal mogą kopiować dane z tego paska za pomocą skimmerów. Chociaż wykorzystanie tak skopiowanych danych do stworzenia w pełni funkcjonalnego klona jest trudniejsze (ze względu na zabezpieczenia transakcji chipowych), to w połączeniu ze skradzionym kodem PIN dane te mogą być nadal użyte do niektórych typów oszustw, np. do tworzenia fałszywych kart używanych w krajach o niższym poziomie wdrożenia EMV lub do niektórych transakcji online (choć tu częściej wymagany jest kod CVV). Dlatego ostrożność przy korzystaniu z bankomatów i terminali nadal jest wskazana.

Komentarze

Empty comments
Zostaw swój komentarz!
Nie znaleźliśmy żadnej opinii o tym produkcie. Pomóż innym klientom. Podziel się swoją opinią jako pierwszy.
Dodaj komentarz
Twoja ocena
5
Dodaj komentarz
Twoja ocena
5