Kopiowanie kart płatniczych to intratny przestępczy biznes. Europejska organizacja EAST, zajmująca się bezpieczeństwem bankomatów, odnotowała w zeszłym roku niemal 2 tysiące przypadków fizycznego ataku na bankowe maszyny. Większość z nich polegała na przerabianiu automatów tak, aby skopiować kartę i zdobyć PIN nieświadomej ofiary.
Większość Europejczyków korzysta dziś z kart z mikroprocesorem. Również Polacy od kilku lat noszą w portfelach plastiki z czipem. Na kartach wciąż jednak widnieje pasek magnetyczny, który może się przydać w dalszych podróżach. Na nowy standard nie przesiedli się bowiem mieszkańcy m.in. USA i Ameryki Łacińskiej.
 | » Przekupić klienta banku. Premia to za mało |
To właśnie pasek magnetyczny jest najsłabszym elementem karty płatniczej. Odczytanie jego zawartości pozwala stworzyć kopię, której można użyć do zakupów w sklepach i wypłat w bankomatach. Żeby mieć pełną swobodę w okradaniu ofiar, przestępcy muszą zdobyć także numer PIN. Dlatego przerabianie bankomatów to wysiłek, który przynosi oszustom namacalne profity – za jednym zamachem można zdobyć kopię danych karty i 4-cyfrowy kod.
Pomysłowe przeróbki
Typowy bankomatowy skimming, czyli proceder polegający na zdobyciu danych karty, opiera się na przymocowaniu dodatkowego urządzenia do miejsca, w które wkładamy kartę. Zanim nasz plastik wejdzie do bankomatu, przesuwa się przez skimmer, zapisujący obraz paska magnetycznego.
Źródło: European ATM Security Team.
Przestępcy montują skimmery tak, aby nie rzucały się w oczy. Często przypominają one część bankomatu, nie odróżniając się od niego tworzywem i kolorem. To z tego powodu producenci maszyn zaczęli stosować specjalne przezroczyste nakładki na szczelinę, w którą wkładamy kartę, a banki w wyświetlanych na ekranach komunikatach zachęcają nas do przyjrzenia się urządzeniu, z którego wypłacamy gotówkę.
Co bardziej pomysłowi przestępcy sami tworzą całą fasadę bankomatu. W blogu „Krebs on Security” opisano przypadek z Ameryki Łacińskiej, gdzie przerobiony bankomat miał nakładkę z własnym ekranem (wyświetlającym komunikat o błędzie po podaniu PIN-u) oraz dodatkową klawiaturę.
Źródło: Krebs on Security
Najczęściej jednak przeróbka nie jest aż tak wyrafinowana. Wystarczy, że skimmerowi zamontowanemu w miejscu na wprowadzenie karty towarzyszy kamera, wycelowana w klawiaturę, która nagrywa kody wpisywane przez klientów. Kamera może być umieszczona w listwie nad ekranem lub w dodatkowym elemencie przyczepionym przez oszustów do bankomatu.
Jesteś w ukrytej kamerze
Przed kradzieżą numeru PIN można się ochronić, zasłaniając ręką klawiaturę podczas wpisywania poufnego kodu. Dla przestępców może to stanowić spore utrudnienie, co widać na wideo nagranym przez oszustów w przerobionym bankomacie.
Skopiowana karta to problem, który może się ujawnić ze sporym opóźnieniem. Zeskanowane dane paska magnetycznego trafiają najczęściej do krajów, w których nie działa jeszcze standard kart czipowych. Z danych EAST wynika, że największymi odbiorcami sklonowanych kart są grupy w USA, Republice Dominikany, Brazylii i Meksyku. Ofiara, mimo że nadal ma swoją kartę w portfelu, po pewnym czasie zobaczy na wyciągu zagraniczne transakcje w miejscach, o których nawet nie słyszała.
Jak się chronić?
 | » Czeka nas kolejna fala podwyżek za usługi bankowe |
Jeśli mamy jakiekolwiek wątpliwości, czy bankomat nie został przerobiony, powinniśmy skontaktować się z bankiem lub firmą, do której należy maszyna. Najlepiej zrezygnować wówczas z wypłaty i skorzystać z innego urządzenia. Podczas każdej wypłaty, a właściwie w każdej sytuacji, gdy wpisujemy PIN, warto zasłonić się ręką lub portfelem. Zmniejszamy w ten sposób ryzyko, że ktoś lub coś podejrzy nasz kod.
Warto także systematycznie śledzić transakcje, które pojawiają się w historii rachunku. Jeśli zauważymy operację, której nie wykonaliśmy, powinniśmy zastrzec kartę i zareklamować operację w banku. W szybkim reagowaniu na takie niespodzianki mogą pomóc bankowość internetowa i alerty o transakcjach kartowych, wysyłane na maila lub SMS-em.
Michał Kisiel, analityk Bankier.pl
