Twoja karta płatnicza może zostać skradziona, nawet gdy jej nie gubisz
Współczesne oszustwa kartowe sąpodstępne i niemal niewidzialne. Pieniądze znikają z konta, choć fizyczna karta leży bezpiecznie w portfelu. Przestępcy nie muszą już stać przy bankomacie z nakładką – dziś atakują przez internet, wykradając dane prosto z formularzy płatności. Wystarczy jedno niedokładne kliknięcie, by twoje dane trafiły w niepowołane ręce.
Najważniejsze informacje:
- Skimming to nakładka na bankomacie z czytnikiem i kamerą przechwytująca dane karty i PIN
- Shimming to ultracienka płytka wewnątrz czytnika kart, niewidoczna dla użytkownika
- E-skimming to złośliwy kod wstrzykiwany na strony sklepów internetowych
- Grupy Magecart infekująsetki tysięcy sklepów przez zewnętrzne skrypty
- Płatność zbliżeniowa i wirtualne karty jednorazowe skutecznie chronią przed kradzieżą
- PCI DSS 4.0 wymaga od sklepów monitorowania wszystkich skryptów na stronie płatności
- Oszustwa kartowe są skalowalne – raz przygotowane narzędzia można użyć wielokrotnie
Coraz sprytniejsze oszustwa kartowe sprawiają, że pieniądze znikają z konta, choć plastik cały czas leży w portfelu.
Ataki, które kiedyś kojarzyły się z podejrzanym bankomatem na stacji benzynowej, dziś przenoszą się do internetu i stają się niemal niewidoczne. Przestępcy nie potrzebują już twojej fizycznej karty – wystarczy, że raz wpiszesz jej dane w nieodpowiednim miejscu.
Od przerobionego bankomatu do mikrourządzenia grubości kartki papieru
Klasyczne skimming kojarzy się głównie z bankomatami i terminalami na stacjach paliw. Oszuści montują na urządzeniu dodatkowy czytnik, który „przechwytuje” dane z paska magnetycznego karty. Do tego dochodzi miniaturowa kamera nad klawiaturą albo nakładka udająca klawisze PIN, która zapisuje wprowadzany kod.
Część zestawów ma wbudowany moduł Bluetooth. Złodziej podjeżdża w pobliże, łączy się telefonem i pobiera dane, nawet nie dotykając bankomatu. Sam sprzęt może zostać na miejscu przez wiele dni, produkując kolejne „kopie” kart.
Shimming – niewidzialny atak na karty z chipem
Karty z chipem EMV miały ograniczyć takie praktyki. Chip generuje unikalny kod dla każdej transakcji, co utrudnia zwykłe skopiowanie danych. Przestępcy opracowali jednak nową metodę: shimming.
Shimmer to ultracienka płytka wsuwana do wnętrza czytnika kart. Znajduje się między samą kartą a stykami w urządzeniu i przechwytuje informacje wymieniane z chipem. Z zewnątrz bankomat wygląda zupełnie normalnie, a użytkownik nie zauważa nic podejrzanego.
Shimmera nie zobaczysz gołym okiem – działa wewnątrz czytnika, a karta wchodzi do bankomatu tak jak zawsze.
Dlaczego złodzieje wciąż polują na pasek magnetyczny
Skopiowanie samego chipa jest nadal skrajnie trudne, więc przestępcy wykorzystują przechwycone dane inaczej. Tworzą karty z paskiem magnetycznym i płacą nimi lub wypłacają gotówkę w krajach, w których terminale wciąż akceptują ten przestarzały tryb płatności.
Przykłady z Europy pokazują, że wystarczy jedna przerobiona stacja paliw, aby dane setek kart „wyjechały” za granicę. Wypłaty pojawiają się później w miastach turystycznych, z dala od prawdziwych właścicieli kart.
Gdy skimming przenosi się do internetu: e-skimming
Coraz więcej transakcji odbywa się online, więc oszuści przesuwają się tam, gdzie jest najwięcej pieniędzy – do sklepów internetowych. E-skimming działa na tej samej zasadzie co fizyczny skimming, tylko zamiast nakładki na bankomacie wykorzystuje złośliwy kod na stronie płatności.
Cyberprzestępcy wstrzykują na stronę kilka linijek JavaScriptu. Skrypt włącza się, gdy wpisujesz numer karty, datę ważności i kod z odwrotu. Dane trafiają równocześnie w dwa miejsca: do operatora płatności (transakcja przechodzi normalnie) i na serwer należący do atakujących.
Kupujesz buty w legalnym sklepie, płatność się udaje, paczka dochodzi na czas – a twoje dane kartowe równolegle lądują w rękach przestępców.
Grupy Magecart – atak na tysiące sklepów za jednym zamachem
Za wieloma takimi akcjami stoją grupy określane zbiorczo mianem Magecart. Zaczynały od sklepów na platformie Magento, lecz szybko przerzuciły się na ataki na dostawców zewnętrznych usług. Chodzi o narzędzia statystyczne, systemy reklamowe czy wtyczki do płatności, które są wpięte w setki lub tysiące sklepów jednocześnie.
Gdy przestępcy przejmą taki zewnętrzny skrypt, automatycznie infekują wszystkie strony, które go ładują. Jedna luka w popularnej platformie e-commerce potrafi w ten sposób ujawnić miliony numerów kart. Skradzione dane trafiają później na fora w dark necie, gdzie można kupić całe „pakiety” kart z różnych krajów.
Ukryty kod w ikonach, analityce i stronach błędu
Złośliwy kod nie zawsze jest widoczny w głównym pliku strony. Badacze bezpieczeństwa znajdowali już skrypty ukryte w:
- plikach ikon (favicons), widocznych tylko jako mała grafika w zakładce przeglądarki,
- fałszywych wersjach narzędzi analitycznych, podszywających się pod znane usługi,
- stronach błędu 404, które zwykle nie są objęte rygorystycznym monitoringiem.
W jednym z opisanych scenariuszy klient widział komunikat o rzekomym wygaśnięciu sesji po wpisaniu danych karty. Strona prosiła o ponowienie płatności, a użytkownik uznawał to za zwykły błąd. Tymczasem dane już dawno trafiły na zewnętrzny serwer.
Jak płacić kartą przy bankomacie i na stacji bez stresu
Przy terminalach stacjonarnych możesz ograniczyć ryzyko kilkoma prostymi nawykami.
| Sytuacja | Bezpieczniejszy sposób działania |
|---|---|
| Bankomat na ulicy | Wybieraj te wewnątrz placówek bankowych, oglądaj czytnik i klawiaturę |
| Płatność na stacji paliw | Korzystaj z dystrybutorów najbliżej budynku stacji |
| Wprowadzanie PIN | Zasłaniaj klawiaturę dłonią, nawet gdy nikt nie stoi za tobą |
| Możliwa nakładka na czytnik | Jeżeli coś się rusza, widać klej lub odstające elementy – zrezygnuj z transakcji |
Bardzo skutecznym zabezpieczeniem jest płatność zbliżeniowa. Karta nie wchodzi wtedy do czytnika, więc shimmer nie ma gdzie się „wcisnąć”. Podobnie działa płatność telefonem lub zegarkiem – terminal widzi bezpieczny token, nie pełny numer twojej karty.
Bezpieczne zakupy online: proste zasady, które naprawdę działają
W sieci nie zobaczysz fizycznych oznak manipulacji, dlatego kluczowe stają się limity, powiadomienia i zdrowy rozsądek przy wyborze sklepów.
Osobna karta do internetu i niskie limity
Dobrym nawykiem jest trzymanie osobnej karty tylko do płatności online. Ustal na niej niskie dzienne i miesięczne limity oraz wyłącz gotówkę z bankomatu. Jeśli dane wyciekną, potencjalna strata będzie ograniczona.
Coraz więcej banków oferuje wirtualne karty jednorazowe. System generuje unikalny numer dla pojedynczego zakupu. Po sfinalizowaniu transakcji numer przestaje działać, więc nawet jeśli ktoś go przechwyci, nie wykorzysta go ponownie.
Alerty transakcyjne i czujność wobec „dziwnych” sklepów
Aktywuj powiadomienia push lub SMS o każdej płatności kartą. Dzięki temu podejrzany wydatek zauważysz w ciągu minut, a nie po miesiącu, gdy dotrze papierowy wyciąg. Szybka reakcja ułatwia zablokowanie karty i złożenie reklamacji.
Zwracaj uwagę na zachowanie strony w momencie płatności. Podejrzanie wyglądające okienka wyskakujące, niespójne językowo komunikaty, błędy w adresie strony czy ostrzeżenia z przeglądarki to sygnały, że lepiej odpuścić zakupy. Nie zapisuj też danych karty w przeglądarce, zwłaszcza korzystając z publicznych sieci Wi‑Fi lub współdzielonych komputerów.
Nowe obowiązki sklepów internetowych: mniej wymówek, gdy dojdzie do wycieku
E-commerce nie może już udawać, że nic się nie da zrobić. Aktualne standardy bezpieczeństwa kart płatniczych (PCI DSS 4.0) wymagają od sprzedawców szczegółowej kontroli nad tym, co dokładnie ładuje się na stronie płatności.
Sklep musi:
- znać wszystkie skrypty działające na stronie z formularzem płatności,
- monitorować ich zmiany i dodawanie nowych elementów,
- mieć system alarmujący przy nieautoryzowanej modyfikacji kodu.
Dzięki temu trudniej jest „dopieścić” na stronę zewnętrzny skrypt bez wzbudzania sygnału ostrzegawczego. Regulacje nie zlikwidują e-skimmingu całkowicie, ale sprawiają, że sklepy nie mogą już zasłaniać się niewiedzą.
Dlaczego to wciąż rośnie i co może zrobić zwykły użytkownik
Przestępczość kartowa opłaca się, bo jest zautomatyzowana i skalowalna. Raz przygotowany zestaw narzędzi można wykorzystać w wielu miejscach, a kradzione numery kart sprzedają się hurtowo na forach. Do tego dochodzi fakt, że wielu użytkowników nadal traktuje dane karty jak coś, co można bezrefleksyjnie wpisać w dowolny formularz.
Środki bezpieczeństwa po stronie banków i sklepów stają się coraz bardziej zaawansowane, ale zawsze pozostanie element, na który wpływ masz tylko ty: wybór miejsca płatności, ustawione limity oraz to, jak często zaglądasz na historię operacji. Połączenie tych prostych działań z technicznymi zabezpieczeniami po stronie instytucji finansowych znacząco utrudnia życie oszustom.
Warto też wyjaśnić domownikom, zwłaszcza starszym osobom i nastolatkom, jak działają takie ataki. Jedno zaufanie do „promocyjnego sklepu” z linku z mediów społecznościowych potrafi być drogie dla całej rodziny, jeśli zakupy robi się z karty wspólnej. Edukacja i kilka zdrowych nawyków przy płaceniu kartą w praktyce kosztują mniej niż jedna nieautoryzowana transakcja.
Najczęściej zadawane pytania
Czy karta z chipem jest bezpieczna?
Chip EMV utrudnia kopiowanie, ale przestępcy opracowali shimming – cienką płytkę wewnątrz czytnika. Pomimo to karty z chipem są bezpieczniejsze niż starsze karty z samym paskiem magnetycznym.
Jak się chronić przy bankomacie?
Wybieraj bankomaty wewnątrz placówek, oglądaj czytnik i klawiaturę przed użyciem, zasłaniaj PIN dłonią, korzystaj z płatności zbliżeniowej zamiast wkładania karty.
Czy mogę bezpiecznie płacić kartą w internecie?
Tak, używaj wirtualnych kart jednorazowych, aktywuj powiadomienia o transakcjach, sprawdzaj czy strona ma certyfikat SSL i nie zapisuj danych karty w przeglądarce.
Czy mogę rozpoznać e-skimming na stronie sklepu?
Trudno to zauważyć, ale zwracaj uwagę na dziwne wyskakujące okienka, błędy językowe, zmiany w wyglądzie strony przy płatności oraz ostrzeżenia przeglądarki.
Co robić, gdy dane karty wyciekną?
Natychmiast zablokuj kartę przez aplikację banku, złóż reklamację w banku, a najlepiej – ustaw niskie limity na karcie używanej online, by zminimalizować potencjalną stratę.
Wnioski
Ochrona przed oszustwami kartowymi to połączenie technologii i zdrowego rozsądnku. Banki oferują coraz lepsze zabezpieczenia – wirtualne karty, powiadomienia, limity – ale najważniejszy element pozostaje w twoich rękach: świadomy wybór miejsca płatności i regularne sprawdzanie historii operacji. Edukuj rodzinę, zwłaszcza osoby starsze i młodzież, bo jeden nieprzemyślany zakup w „promocyjnym” sklepie z linku może kosztować wiele rodzin wiele tysięcy złotych.
Podsumowanie
Oszustwa kartowe ewoluowały od przerobionych bankomatów do niewidzialnych ataków internetowych. Przestępcy nie potrzebują fizycznie ukraść karty – wystarczy, że raz wpiszesz jej dane w złośliwym formularzu. Dowiedz się, jak działają nowe metody kradzieży i jak się przed nimi chronić.
