W 2020 r. przestępcy skradli w ten sposób 38,5 mln zł, a w 2021 r. już o 57,6 mln zł. Przez trzy kwartały ubiegłego roku odnotowano aż 172 tysiące kradzieży. Te dane to sygnał, że przestępcy są nie tylko coraz bardziej skuteczni, ale i opracowują coraz więcej sposobów na to, by wzbogacić się, zyskując dostęp do cudzych kart płatniczych. Jedną z najczęściej stosowanych metod kradzieży jest kopiowanie danych wprost z paska magnetycznego karty, w celu stworzenia jej duplikatu. Posiadając te informacje, złodzieje mogą z łatwością dokonywać transakcji „sklonowaną” kartą bez wiedzy i zgody właściciela. Tak właśnie dochodzi do skimmingu, którego ofiarą można paść przy sklepowej kasie, korzystając z terminalu, ale też meldując się w hotelu lub używając bankomatu, w którym zainstalowano urządzenia umożliwiające w konsekwencji kradzież naszych pieniędzy. Skimming to bardzo „dyskretny” sposób na kradzież: dzięki technologicznym sztuczkom przestępców, momentu kopiowania danych można nawet nie zauważyć, dlatego zaatakowane osoby, często dowiadują się o tym dopiero, gdy odkrywają, że ktoś właśnie wyczyścił im konto. Co gorsza, gdy „łupem” przestępcy padnie karta kredytowa, na której ofiara ma otwarty limit, złodziej bez problemu może nie tylko pobrać bieżące środki, ale jeszcze zaciągać kredyt i obciążyć właściciela karty spłatą zobowiązań, na które nigdy się nie decydował.
Czytaj więcej
Cyberprzestępcy wciąż aktualizują swoje metody, by tylko dostać dane do logowania do cudzych kont. Robią to po to, by je oczyścić z gotówki. Okradziony klient ma znikome szanse na jej odzyskanie.
Kopia z paska
Skimming może mieć różne stopnie „zaawansowania”, w zależności od tego, jaki sposób ataku wykorzysta przestępca. Kopiowanie danych wprost z paska magnetycznego karty płatniczej, to definicja tzw. pośredniego skimmingu. W tym wypadku przestępca uzyskuje wszystkie dane karty, oprócz kodu PIN. Złodziej „sczytuje” je z oryginalnej karty, przykładając do niej inny elektroniczny nośnik (skimmer) i w ten sposób wchodzi w posiadanie takich informacji jak: numer karty, data jej ważności, imię i nazwisko właściciela i jej kod CVV/CVC. Ale aby dokonać skutecznego ataku, przestępca nie musi używać technologicznych sztuczek. Te same informacje może pozyskać, „odciskając” powierzchnię karty na matrycy, zwanej imprinterem: to specjalny blankiet, rodzaj papieru samokopiującego. Dociska się go bezpośrednio do wypukłych danych na karcie, a one odbijają się na kalce. Obojętnie, czy przestępca wejdzie w posiadanie danych, kopiując je fizycznie, czy elektronicznie, może potem dzięki nim wykonać fałszywą kartę (white plastic), która zachowuje się jak oryginał i pozwala złodziejowi realizować transakcje zarówno w trybie card present, czyli podczas fizycznego użycia karty płatniczej w terminalu, ale też może bez przeszkód używać danych podczas płatności w internecie (tryb card not present). Przy użyciu fałszywej karty może zapłacić za zakupy stacjonarnie albo - nawet bez tworzenia nowego „plastiku” - podać skradzione dane w bramce płatności w internecie.
Czytaj więcej
Cyberprzestępcy w pierwszej kolejności próbują włamać się do naszych głów. Bazując na emocjach, podszywają się pod instytucje, którym ufamy lub osoby potrzebujące pomocy i wyłudzają dane osobowe.
Groźne bankomaty
Skimming bankomatowy jest o tyle groźniejszy, że oprócz przejęcia danych z paska magnetycznego karty, od razu dochodzi także do przejęcia PIN-u. To tzw. skimming bezpośredni, który jest możliwy dzięki szeregowi urządzeń, które złodzieje potrafią zainstalować w bankomatach - mogą to być nakładki na otwór, do którego wsuwamy kartę, dodatkowa klawiatura naklejana na tę prawdziwą czy kamera nagrywająca moment wpisywania PIN-u. Przy czym, co ważne - karty wyposażone jedynie w pasek magnetyczny są pod tym względem mniej bezpieczne niż te, na których dane do transakcji są dodatkowo zabezpieczone chipem. Kiedy przestępcy w wyniku skimmingu bankomatowego stworzą duplikat karty, to będą mogli wypłacić pieniądze tylko w tych bankomatach, w których nie ma modułu EMV. Te sprawdzają bowiem, czy nośnik jest wyposażony w czip. Na szczęście w moduł EMV są wyposażone już prawie wszystkie bankomaty w naszym kraju. Ale i na to przestępcy znaleźli sposób: złodzieje tworzą międzynarodowe siatki przestępcze i zlecają wypłaty pieniędzy w bankomatach zagranicznych, gdzie standardem nadal pozostaje karta z paskiem, np. w USA.
Przestępcy potrafią zamontować w bankomacie również blokadę, która „ukrywa” wypłacone pieniądze. Transakcja przebiega wtedy normalnie aż do momentu, gdy banknoty powinny wysunąć się z podajnika - wówczas na ekranie pojawia się komunikat, że nastąpił błąd, a tak naprawdę gotówka trafia w tym momencie do zamontowanej w bankomacie skrytki. Klient najczęściej dzwoni na infolinię i zgłasza awarię. Dowiaduje się, że jej usunięcie potrwa kilka godzin, więc odchodzi. Wtedy złodziej wypłaca pieniądze, a fakt, że doszło do oszustwa wychodzi na jaw dopiero po przyjeździe serwisantów bankomatu.
Czytaj więcej
Pan Mateusz po finansowej katastrofie oszukanego brata zastanawia się, czy banki powinny blokować udzielanie kredytów w bankowości mobilnej.
Jak się bronić?
- Kiedy płacimy kartą, nie oddawajmy jej w ręce sprzedawcy. Sytuacje, gdy ktoś znika z naszą kartą na zapleczu sklepu, powołując się na przykład na brak zasięgu w terminalu, są niedopuszczalne. Wystarczy chwila, by sfotografować nośnik z obu stron lub odcisnąć go w imprinterze. Ostrożność zachowujmy też, odpowiednio przechowując karty płatnicze: warto zaopatrzyć się w portfel/etui, które blokuje sygnały NFC i RFID - zapobiegniemy utracie danych w razie, gdyby przestępca próbował je ściągnąć, przykładając urządzenie skimmujace do naszej torby lub plecaka. Bądźmy też rozważni, korzystając z mediów społecznościowych: zdarzają się niestety przypadki osób, które umieszczają tam zdjęcia swoich kart - podkreśla Katarzyna Kulka, ekspert Intrum.
- Zanim skorzystamy z bankomatu, warto mu się uważnie przyjrzeć, szczególnie tym, które są zlokalizowane poza placówkami banków. Jeśli zauważymy jakiekolwiek elementy urządzenia, które różnią się od innych, np. klawiatura wyraźnie wystaje, zrezygnujmy z wypłaty pieniędzy. Sprawdźmy też, czy czytnik kart jest stabilnie zamocowany. Jeśli jest obluzowany lub można go wyciągnąć, tak z pewnością nie powinno być i najpewniej urządzenie zostało zmodyfikowane przez przestępców, chcących przechwycić dane naszej karty - dodaje Katarzyna Kulka.
A oprócz tego warto upewnić się, że posługuje się kartą z czipem i dezaktywować w niej pasek magnetyczny. Można to zrobić to w aplikacji banku albo poprzez infolinię. Należy też ustalić limity dla kart: zarówno maksymalną ilość dziennych transakcji, jak też maksymalną jednorazowo wypłacaną kwotę - gdyby ktoś próbował opróżnić konto, jest szansa na reakcję i zablokowanie karty, a straty finansowe nie będą tak dotkliwe! Niektóre banki dają też możliwość ustawienia powiadomień SMS o każdej zmianie salda - warto je aktywować z tego samego powodu.