Niewidzialny atak na kartę płatniczą. Jak nie stracić całego konta

Współcześni przestępcy dbają o dyskrecję – zamiast agresywnych napadów na banki, wolą działać w cieniu, przechwytując dane twojej karty, gdy robisz zakupy lub wypłacasz gotówkę. Skimming i jego cyfrowe odmiany stały się jednym z najbardziej dochodowych źródeł dochodu dla grup przestępczych, a ofiara często dowiaduje się o kradzieży dopiero wtedy, gdy na koncie pojawiają się obciążenia z odległych zakątków świata. Zanim jednak wpadniesz w panikę, musisz wiedzieć, że świadomość zagrożeń i kilka prostych nawyków mogą skutecznie zmniejszyć ryzyko utraty środków z konta.

Kilka sekund przy bankomacie czy na stronie sklepu wystarczy, żeby ktoś obcy przejął dane twojej karty i opróżnił rachunek.

Przestępcy coraz rzadziej stosują widowiskowe napady, a coraz częściej działają po cichu – manipulują terminalami, wpinają się w strony płatności i zbierają dane kart hurtowo. Często klient nie widzi żadnego podejrzanego objawu, aż do momentu, gdy na telefonie pojawia się powiadomienie o wypłacie z bankomatu w innym kraju.

Jak działa skimming przy bankomacie i w sklepie

Skimming to technika polegająca na skopiowaniu danych z karty płatniczej bez wiedzy właściciela. Przez lata kojarzył się głównie z bankomatami i terminalami na stacjach paliw. Tam oszuści montują dodatkowe elementy na oryginalnym urządzeniu.

Na szczelinę, do której wsuwa się kartę, nakładany jest cienki czytnik. Wygląda jak część bankomatu, ale w rzeczywistości kopiuje informacje z paska magnetycznego. Do tego dochodzi minisprzęt do przechwycenia PIN-u:

• kamerka ukryta nad klawiaturą, rejestrująca wprowadzany kod,
• nakładka udająca oryginalną klawiaturę, która zapisuje naciskane cyfry,
• przesył danych przez Bluetooth – złodziej nie musi wracać po urządzenie.

Cała operacja może trwać kilka sekund: klient wypłaca pieniądze jak zwykle, a w tle sprzęt przestępców kopiuje dane karty i PIN.

Tak zdobyte informacje pozwalają stworzyć kopię karty i wypłacać środki w innych miejscach, często za granicą, gdzie terminale nadal dopuszczają pasek magnetyczny.

Shimming – cienka płytka, która podsłuchuje twoją kartę

Wprowadzenie kart z mikroprocesorem znacząco utrudniło życie przestępcom. Każda transakcja chipem EMV generuje unikalny kod, więc tradycyjne kopiowanie paska przestało wystarczać. Przestępcze grupy wymyśliły więc shimming.

Bardziej zaawansowana wersja skimmingu

Shimmer to bardzo cienka płytka, grubości kartki papieru, wsuwana do wnętrza czytnika kart. Nie wystaje na zewnątrz, więc użytkownik widzi normalny bankomat czy terminal. Urządzenie po prostu „podsłuchuje” komunikację między chipem karty a czytnikiem.

Choć pełne sklonowanie chipu pozostaje trudne, przestępcy wykorzystują przechwycone dane inaczej. Tworzą karty z paskiem magnetycznym, które działają w trybie awaryjnym – tam, gdzie system terminala dopuszcza tzw. fallback, czyli powrót do starszej technologii, gdy chip rzekomo nie działa.

Osoba korzystająca z karty w Polsce może niczego nie zauważyć, a kilka dni później z jej rachunku znikają środki wypłacone w innym kraju, na innym kontynencie.

Choć straty z tytułu shimmingu w statystykach banków są jeszcze relatywnie niewielkie, specjalne akcje policji pokazują, że ta metoda szybko się rozprzestrzenia. Skoro coś działa i jest trudne do wykrycia, grupy przestępcze inwestują w to czas i pieniądze.

E-skimming: gdy zamiast bankomatu atakuje strona sklepu

Ogromna część zakupów przeniosła się do internetu, więc przestępcy poszli tym śladem. E-skimming to przeniesienie logiki skimmingu na grunt e‑commerce. Zamiast nakładki na bankomat pojawia się złośliwy kod na stronie płatności.

Mechanizm jest prosty. Cyberprzestępcy wstrzykują do kodu strony kilka linijek JavaScriptu. Gdy klient wypełnia formularz i podaje numer karty, datę ważności oraz trzycyfrowy kod, skrypt kopiuje wprowadzone dane i przesyła je na serwer kontrolowany przez grupę przestępczą. Transakcja zwykle i tak przechodzi poprawnie, więc ani klient, ani sklep nie zauważają nic nietypowego.

Ataki na dostawców zewnętrznych usług

W sieci funkcjonują grupy określane zbiorczo mianem Magecart. Zamiast atakować jeden sklep po drugim, coraz częściej biorą na cel narzędzia używane przez tysiące witryn jednocześnie: wtyczki reklamowe, moduły analityczne czy gotowe silniki sklepowe.

Wystarczy podatność w popularnej platformie, żeby w krótkim czasie ucierpiały tysiące serwisów. Gdy przestępcy wgrają złośliwy skrypt do takiego komponentu, każdy sklep, który go wykorzystuje, automatycznie staje się pośrednikiem w kradzieży danych kart.

Jedna udana kampania e-skimmingu potrafi dostarczyć przestępcom setki milionów numerów kart, które trafiają później na fora i giełdy w ciemnej części internetu.

Ukryty kod: w ikonce, analityce, a nawet na stronie błędu

Żeby nie wzbudzać podejrzeń, atakujący coraz lepiej maskują swoje skrypty. Zdarzało się, że złośliwy kod znajdowano w plikach graficznych, na przykład w małych ikonkach wyświetlanych w zakładce przeglądarki. Bywa też, że podszywa się pod znane narzędzia, takie jak systemy do analityki ruchu czy piksele reklamowe.

Nowszy trik polega na modyfikowaniu stron błędu 404. To miejsce rzadziej kontrolowane przez administratorów, a w dodatku teoretycznie „drugorzędne”. Przestępcy umieszczali w nim własny skrypt, który aktywował się w trakcie płatności. Klient wpisywał dane, widział komunikat o rzekomym błędzie sesji i ładowanie strony od nowa. Tymczasem dane karty już wędrowały do przestępców.

Jak zmniejszyć ryzyko przy płatnościach kartą

Dobra wiadomość jest taka, że wiele ryzyk można ograniczyć kilkoma prostymi nawykami. Choć żadna metoda nie daje absolutnej gwarancji, suma drobnych zmian naprawdę robi różnicę.

Bezpieczniejsze wypłaty z bankomatu i płatności w terminalu

• Gdy tylko się da, korzystaj z płatności zbliżeniowych – bez wsuwania karty do czytnika trudniej przechwycić dane.
• Jeśli musisz włożyć kartę, zawsze zasłaniaj klawiaturę dłonią podczas wpisywania PIN-u.
• Preferuj bankomaty wewnątrz placówek banku lub centrów handlowych; urządzenia stojące na zewnątrz są częściej manipulowane.
• Na stacjach paliw wybieraj dystrybutory położone najbliżej budynku, lepiej monitorowane kamerami.
• Jeżeli coś w czytniku wygląda na doklejone, rusza się, widać ślady kleju lub naruszony plombowy naklejka – nie korzystaj z urządzenia i zgłoś to obsłudze albo bankowi.

Płatność zbliżeniowa z limitem transakcji, połączona z powiadomieniami w aplikacji bankowej, znacząco zmniejsza pole manewru dla klasycznego skimmingu.

Bezpieczne zakupy w internecie

W sieci warto założyć, że dane karty mogą zostać przechwycone na poziomie sklepu, nawet jeśli strona wygląda profesjonalnie. Da się jednak ograniczyć konsekwencje takiego wycieku.

• Rozważ osobną kartę tylko do zakupów online, z niskim limitem i minimalną kwotą środków.
• Włącz kartę wirtualną, jeśli oferuje ją bank – numer generowany na pojedynczą transakcję po użyciu przestaje mieć wartość.
• Aktywuj powiadomienia push lub SMS o każdej transakcji kartą, krajowej i zagranicznej.
• Zwracaj uwagę na komunikaty przeglądarki o niebezpiecznym połączeniu, dziwne wyskakujące okna lub konieczność kilkukrotnego wpisywania danych płatniczych.
• Nie zapisuj numeru karty w przeglądarce ani w aplikacjach sklepów, zwłaszcza gdy korzystasz z cudzej sieci Wi‑Fi.

Nowe obowiązki sklepów internetowych

Ciężar odpowiedzialności za bezpieczeństwo nie spoczywa wyłącznie na kliencie. W branży e-commerce funkcjonują normy, które mają ograniczyć pole działania przestępców. Najnowsza wersja standardu PCI DSS wymaga od sklepów między innymi prowadzenia ewidencji skryptów uruchamianych na stronie płatności.

W praktyce oznacza to konieczność monitorowania każdego fragmentu obcego kodu – od wtyczki reklamowej po licznik odwiedzin – i reagowania na każdą nieautoryzowaną zmianę. Dla mniejszych sklepów jest to spore wyzwanie organizacyjne i finansowe, ale presja rośnie, bo skala ataków idzie w górę z roku na rok.

Jeśli sklep nie kontroluje tego, jakie skrypty działają na stronie płatności, w praktyce nie ma kontroli nad tym, kto widzi dane kart jego klientów.

Co zrobić, gdy karta zostanie „zhakowana”

Nawet najbardziej ostrożna osoba może paść ofiarą skimmingu czy e‑skimmingu. Liczy się szybka reakcja. Gdy zauważysz obciążenie, którego nie rozpoznajesz:

Warto też przejrzeć aplikacje i serwisy, w których zapisałeś dane karty, i usunąć je wszędzie tam, gdzie nie są niezbędne. To dobry moment, by zmienić nawyki i przy kolejnych zakupach korzystać z kart wirtualnych lub pośredników płatności, którzy nie udostępniają sklepowi pełnych danych karty.

Dodatkowe ryzyka i dobre praktyki na przyszłość

Skimming i e‑skimming rzadko występują w próżni. Często łączą się z innymi formami oszustw, na przykład z phishingiem. Fałszywy e‑mail od „banku” może zachęcić do kliknięcia w podrobioną stronę logowania czy płatności, gdzie zainstalowano złośliwy kod. Zdarza się też, że przestępcy łączą dane kart z informacjami z mediów społecznościowych, co ułatwia im przejście przez niektóre zabezpieczenia.

Dlatego warto patrzeć szerzej: aktualizować oprogramowanie na komputerze i w telefonie, używać silnych, unikalnych haseł z menedżerem haseł, a w bankowości internetowej włączać logowanie dwuetapowe. Im trudniej przejąć dostęp do całego cyfrowego życia, tym mniejsza szansa, że jedna kradzież danych z karty pociągnie za sobą kolejne problemy.