Czym jest skimming i jak się przed nim uchronić?

To mogłyby być pierwsze sceny thrillera: podchodzisz do bankomatu, chcesz wypłacić pieniądze. Robisz to dość często, więc nie zauważasz, że coś jest nie tak. Tymczasem dane Twojej karty właśnie lądują w rękach oszustów. Jeśli nie chcesz, żeby napisami końcowymi tej historii był pełen podejrzanych transakcji wyciąg z Twojego konta, dowiedz się, jak rozpoznać zagrożenie i skutecznie chronić się przed skimmingiem.

Co to jest skimming?

Pojęcie skimmingu jest tak popularne, że można znaleźć je nawet w słowniku języka polskiego PWN. Jego definicja to „przestępstwo polegające na kopiowaniu pasków magnetycznych i podrabianiu kart płatniczych”. Etymologii tego słowa należy szukać w języku angielskim, gdzie czasownik „skim” oznacza „zbierać”, „przeglądać” albo „musnąć”. Od niego też pochodzi nazwa skimmer — urządzenia wykorzystywanego przez oszustów do nielegalnego pozyskiwania danych przez „muśnięcie” go kartą płatniczą.

Precyzyjnie wykonane skimmery są niewielkie i niewidoczne. Najczęściej przestępcy instalują je na bankomatach, rzadziej na terminalach płatniczych. Skimmer może być zamontowany na różnych elementach urządzenia: czytniku kart, klawiaturze, obudowie wokół ekranu, a w przypadku terminali także wpięty do kabli. Nie zawsze przestępca instalując go musi podmieniać części bankomatu. Zazwyczaj skimmery są projektowane tak, by były nakładkami pasującymi do oryginalnych elementów.

W zależności od tego, gdzie zainstalowany jest skimmer, oszust może nastawiać się na pozyskanie konkretnych danych:

• podmieniony czytnik kart przechwytuje dane z paska magnetycznego karty w momencie jej wkładania,
• fałszywa klawiatura zapisuje wprowadzony numer PIN,
• w zamienionej obudowie wokół ekranu lub klawiatury mogą znajdować się ukryte miniaturowe kamery, które rejestrują wpisywanie kodu PIN.

Skradzione dane — m.in. numer karty, data jej ważności, imię i nazwisko właściciela oraz kod CVV/CVC — pozwolą oszustowi wykonywać transakcje w Twoim imieniu.

Po co oszustom dane kart płatniczych?

Spektrum możliwości, jakie otwiera się przed przestępcami mającymi dane cudzych kart płatniczych, jest naprawdę szerokie. Przykładowo mogą oni:

• dokonywać nieautoryzowanych transakcji,
• tworzyć duplikaty kart (by np. wypłacać nimi pieniądze z bankomatów),
• sprzedawać informacje w darknecie,
• próbować włamać się na konto bankowe właściciela karty, aby zmienić dane logowania.

W zależności od tego, jaką strategię obiorą przestępcy, czasami wykrycie kradzieży danych jest trudne do zauważenia. Konto obciążane jest bowiem niewielkimi płatnościami, które mogą umknąć pomiędzy innymi, codziennymi transakcjami.

Po co złodzieje robią takie małe zakupy? Czasami służą one sprawdzeniu, czy dane karty są aktywne i działają poprawnie. Jeśli transakcje przechodzą bez problemu, oszuści mogą przejść do większych operacji. Czasami jednak to właśnie te drobne płatności są celem samym w sobie: pozwalają na kupno przedmiotów, które są odsprzedawane dalej.

Co grozi za skimming?

Skimming jest przestępstwem, za które grozi m.in. kara pozbawiania wolności do 25 lat. Wysokość kary zależy od tego, jak dane będą wykorzystane — czy tylko skradzione, czy też posłużą do podrobienia karty płatniczej, dokonania transakcji albo oszustw internetowych. Karalne jest też puszczenie w obieg sfałszowanej karty (art. 310 Kodeksu karnego).

Jak uchronić się przed skimmingiem?

Skimming nie jest nową metodą oszustwa — pierwsze przypadki zarejestrowano jeszcze w latach 80. ubiegłego wieku. W Polsce pojawił się w latach 90., gdy bankomaty i karty płatnicze zaczęły zdobywać popularność. Mimo długiej historii skimming wciąż uchodzi za jedną z najbardziej podstępnych i skutecznych metod wykradania danych finansowych. Nie oznacza to jednak, że nie można zabezpieczyć się przed nim. W tym celu warto wdrożyć kilka zasad:

1. zwracaj uwagę na nietypowe elementy bankomatu — luźne lub odstające nakładki na czytniku kart albo obudowie, niestandardowa klawiatura czy inne części, które wzbudzają podejrzenia, że ktoś przy nich majstrował;
2. podczas wpisywania PIN-u, zasłaniaj klawiaturę;
3. korzystaj z bankomatów w miejscach publicznych — otoczony kamerami bankomat w placówce banku, w centrum handlowym albo innym strzeżonym miejscu jest trudniejszy do zhakowania, niż ten na uboczy, poza wzrokiem kamer, ochrony i przechodniów;
4. ustaw limity transakcji (kwotowe i ilościowe) tak, aby dla Ciebie były wygodne, ale wyeliminowały ryzyko dużych strat w przypadku nieautoryzowanego użycia karty;
5. regularnie sprawdzaj historię transakcji na koncie;
6. włącz powiadomienia o transakcjach, aby alerty SMS lub w aplikacji mobilnej banku informowały Cię o każdej operacji na koncie;
7. niektóre banki umożliwiają blokowanie podejrzanych transakcji. Przykładowo, jeśli nie planujesz korzystać z karty za granicą, możesz zablokować płatności poza Polską;
8. korzystaj z kart z funkcją zbliżeniową, aby uniknąć wkładania karty do czytnika;
9. nigdy nie dawaj karty osobom trzecim i nie trać swojej karty z oczu (np. w restauracji).

Co zrobić, gdy padnie się ofiarą skimmingu?

Jeśli podejrzewasz, że dane Twojej karty zostały skradzione, przede wszystkim skontaktuj się z bankiem w celu zablokowania karty. Kolejną bardzo istotną czynnością jest zawiadomienie policji. Tylko na podstawie zgłoszenia policja może rozpocząć śledztwo w sprawie skimmingu. Gdy masz podejrzenia, w którym bankomacie albo terminalu płatniczym mogło dojść do oszustwa, poinformuj o tym również właściciela urządzenia.

Jeśli z Twojego konta zostały wykonane nieautoryzowane przez Ciebie transakcje, złóż reklamację w banku. Jest on zobowiązany do zbadania sprawy. Jeśli okaże się, że transakcje były wynikiem oszustwa, masz szansę otrzymać przynajmniej częściowy chargeback.

To, co jeszcze możesz zrobić to monitorowanie konta, zmiana PIN-u na nowej karcie i wprowadzenie dodatkowych zabezpieczeń z listy powyżej.