NBP informuje, że pod koniec czerwca 2024 roku na polskim rynku istniało 46,1 mln kart płatniczych, którymi w II kwartale 2024 roku przeprowadzono ponad 2,7 mld transakcji. Według polskich banków w tym okresie przestępcy dokonali prawie 104 tys. nielegalnych operacji z wykorzystaniem kart płatniczych. Łączna kwota oszustw przekraczała 24,8 mln zł. Chociaż odsetek oszustw wydaje się niewielki, zagrożenie jest jak najbardziej realne – zarówno dla osób prywatnych, jak i firm.

Do oszustw przestępcy wykorzystują skradzione numery kart, kody CVV/CVC, daty ważności czy personalne informacje o ich właścicielach. Metoda pozyskiwania danych kart płatniczych to właśnie skimming. Polega na nielegalnym pozyskaniu danych zapisanych na pasku magnetycznym karty za pomocą specjalnego urządzenia, czyli skimmera, który może zostać zainstalowany np. na bankomacie lub terminalu płatniczym. Dodatkowo przestępcy wykorzystują także ukryte kamery pozwalające im przechwytywać numery PIN.

Alternatywną metodą skimmingu jest przechwytywanie danych kart kredytowych w internecie. Cyberprzestępcy wykorzystują do tego głównie ataki phishingowe lub malware.

Przechwycone dane mogą zostać wykorzystane do klonowania kart kredytowych lub nielegalnych płatności online. Są też sprzedawane m.in. w darknecie. Ich cena zaczyna się od kilkudziesięciu dolarów i zmienia się zależnie od środków na koncie i oraz od regionu.

W sieci można znaleźć generatory „testowych” danych kart płatniczych. Choć nie są one powiązane z żadnymi kontami, można ich użyć np. przy zakładaniu darmowego konta próbnego w serwisie streamingowym, z którego użytkownik nie ma zamiaru korzystać po zakończeniu okresu promocyjnego. Przestępcy natomiast mogą wykorzystywać je do oszustw.

Dane kart zbliżeniowych, które stanowią aż 98,5% wszystkich kart płatniczych w Polsce, są trudniejsze do przechwycenia w tradycyjny sposób. Nie oznacza to jednak, że są całkowicie bezpieczne – przestępcy mogą próbować odczytać je za pomocą czytników RFID, takich jak np. Flipper Zero. Koszt takiego urządzenia to około tysiąc złotych.

Przestępcy mogą obrać za cel systemy firmowe służące do płatności online. W wyniku udanego ataku są w stanie przekierować ruch z firmowej witryny na fałszywą stronę płatności i przechwycić dane kart kredytowych podawane przez klientów.

Łupem przestępców mogą paść także karty kredytowe używane do realizacji transakcji firmowych. Dotyczy to zwłaszcza mniejszych firm, w których w ten sposób realizowane są np. płatności abonamentowe za wykorzystywane narzędzia lub usługi. Utrata danych, np. w wyniku ich wyłudzenia poprzez phishing, może prowadzić do wyprowadzenia pieniędzy z firmowego konta, problemów finansowych, a nawet do utraty płynności.

Ujawnienie, że firma padła ofiarą ataku skimmingowego, może mieć bardzo negatywny wpływ na jej reputację – zwłaszcza w branży e-commerce. Klienci będą obawiali się płacenia online w sklepie, z którego poprzednio wyciekły dane kart kredytowych. Taka sytuacja może się skończyć nawet upadkiem firmy.

Dane kart płatniczych, które umożliwiają identyfikację osoby fizycznej, są objęte Rozporządzeniem o Ochronie Danych Osobowych (RODO). Dopuszczenie do ich wycieku może skutkować nałożeniem na firmę kar finansowych i odpowiedzialnością cywilną.

Lokalna sieć amerykańskich restauracji Food City musiała zmierzyć się z kryzysem wizerunkowym spowodowanym odkryciem w trzech jej lokalach urządzeń do skimmingu kart kredytowych. Według komunikatu firmy przestępcom udało się przechwycić dane dotyczące 146 transakcji. W konsekwencji ataku sieć musiała podjąć wiele działań PR-owych, żeby poradzić sobie z kryzysem zaufania.

Wbrew pozorom, ofiarami skimmingu mogą paść nie tylko klienci mniejszych lokali i sklepów. 17 lipca 2024 roku w kasie samoobsługowej jednego z amerykańskich marketów Walmart znaleziono skimmer kart kredytowych, który, jak się okazało, został zainstalowany trzy tygodnie wcześniej. Nie był to odosobniony przypadek – skimmery znaleziono także w innych marketach na terenie kilku stanów, a za ich umieszczenie odpowiadali prawdopodobnie ci sami przestępcy. Po ujawnieniu ataku firma wydała oświadczenie i uruchomiła specjalną linię telefoniczną dla klientów, żeby uniknąć utraty zaufania konsumentów.

Jednym z najgłośniejszych przypadków skimmingu, do którego doszło przez internet, jest atak na linie lotnicze British Airways. Oszuści przeprowadzili iniekcję złośliwego kodu JavaScript, który pozwalał na przechwytywanie informacji o płatnościach w czasie rzeczywistym. Wykorzystano do tego lukę w zabezpieczeniach systemu płatności. Przez ponad 2 tygodnie przestępcom udało się naruszyć dane około 380 tys. klientów, zanim firma zorientowała się w sytuacji. W konsekwencji British Airways zapłaciło grzywnę w wysokości 20 milionów funtów i musiało mierzyć się z poważnym kryzysem wizerunkowym.

Według raportu Narodowego Banku Polskiego w 2024 roku w wyniku oszustw związanych z bankomatami – w tym skimmingu za pomocą nakładek – przestępcy ukradli blisko 25 milionów złotych. Komenda Główna Policji z kolei podaje, że w 2024 roku odnotowano ponad 500 przypadków skimmingu. To o 15% więcej niż w roku poprzednim. Przestępcy za cel wybierają przede wszystkim bankomaty w małych miejscowościach i poza dużymi instytucjami.

Transakcje z wykorzystaniem kart płatniczych powinny być przetwarzane zgodnie z wymaganiami PCI DSS – standardu bezpieczeństwa opracowanego z myślą właśnie o nich. W jego ramach konieczne jest m.in. wdrożenie zapory sieciowej – takiej jak Netia Cloud Firewall, a także stosowanie silnych i niestandardowych haseł, szyfrowanie transmisji danych, regularne monitorowanie i testowanie sieci oraz wdrożenie i utrzymanie polityki bezpieczeństwa. Niezbędne jest również wprowadzenie innych rozwiązań z zakresu cyberbezpieczeństwa, które umożliwią ochronę przed złośliwym oprogramowaniem i zarządzanie dostępami. W przypadku transakcji realizowanych online dla zapewnienia bezpieczeństwa niezbędny jest również certyfikat SSL.

Istotnym elementem zgodności z wymaganiami PCI DSS jest także bezpieczna infrastruktura. Netia dysponuje centrami danych i chmurą obliczeniową certyfikowanymi pod kątem PCI DSS – firmy mogą w nich przechowywać i przetwarzać dane zgodnie z wymogami tego standardu.

Specjaliści z Security Operations Center mogą pomóc we wprowadzeniu niezbędnych rozwiązań technicznych zgodnych ze standardem PCI DSS, opracowaniu i aktualizacji polityki bezpieczeństwa oraz zapewnieniu regularnego monitoringu sieci.

W ramach usługi Cyber Threat Intelligence specjaliści ds. cyberbezpieczeństwa monitorują darknet pod kątem udostępnionych i wystawionych na sprzedaż baz danych kart kredytowych określonych banków. Wiedząc, że ich dane wyciekły, zanim zostaną wykorzystane, firma może uchronić się przed utratą pieniędzy.

Oprócz zabezpieczeń technicznych warto też zadbać o zwiększenie świadomości wśród pracowników (tzw. security awareness) – to właśnie oni mogą dostrzec, że na terminalach płatniczych zainstalowano skimmery, dlatego powinni wiedzieć, co to skimming i jak go rozpoznawać.