Начиная с 90-х годов, злоумышленники размещали в разъеме для ввода карты отдельное считывающее устройство. После этого данные становились доступны третьим лицам. Сегодня стать жертвой скимминга можно не только снимая наличные, но и оплачивая покупки в торговых точках. Рассказываем, что такое скимминг, разбираемся в терминах и как распознать скиммер и отличить от шиммера.
Что такое скимминг простыми словами
Скимминг — разновидность финансового мошенничества, при котором кража данных с банковской карты происходит посредством специальных технических устройств, называемых скиммерами (от англ. «to skim» — бегло просматривать, снимать, скользить).
Обычно скиммеры имеют вид специальной накладки, которая крепится напрямую к банкомату поверх приемного лотка. Но бывают и внутренние скиммеры, которые спрятаны внутри самого кардридера. В любом случае эти устройства подразумевают физическое взаимодействие с банковской картой жертвы, а их главная задача — считать данные с магнитной полосы и передать их на сервер мошенников.
Как это работает
Классический вариант скимминга — получение необходимой информации с помощью внешних ридеров, считывающих данные с магнитной полосы банковской карты. Распознать их рядовому пользователю практически невозможно, так как накладка незаметно встроена в банкомат и зачастую совпадает по цветовой гамме со всем устройством.
Арсений Косенко, генеральный директор LIFE PAY, описывает самую распространенную ситуацию, когда человек оказывается жертвой скимминга:
Находясь в незнакомом городе без наличных, турист может снять деньги в первом попавшемся банкомате. Спустя какое-то время ему придет СМС-оповещение о том, что он якобы перевел денежные средства на чужую карту. Так злоумышленники постепенно выводят деньги на собственный расчетный счет
Что происходит с данными
Совокупность информации, записанной на магнитную полосу кредитки, называют дампом. С ним у мошенника появляется все необходимое для самостоятельного снятия средств с чужого счета. Истинный же владелец карты в любой момент может получить сообщение о списании с неё большой суммы в банкомате из любой точки мира.
Но чаще всего полученные посредством скимминга дампы мошенники продают в «скрытом» интернете — даркнете. С помощью так называемого энкодера, скупщики дампов переписывают данные на пустые болванки («белый пластик»), а затем обналичивают полученные копии в банкоматах. Делают это, как правило, через подставных лиц (дропов), которые обналичивают карты за свой процент от выведенной суммы.
Виды скимминга
Различают два основных вида скимминга:
- физический — когда используется карта или ее дубликат;
- онлайн — с применением вредоносного ПО.
Расскажем про оба вида подробнее.
Физический скимминг
Физический скимминг может использоваться в банкоматах и платежных терминалах, и возможен, только если жертва самостоятельно проведет картой через считывающее устройство или же передаст карту третьим лицам. Например, официанту в ресторане.
Онлайн-скимминг
В последние годы все более распространен онлайн-скимминг. В таком виде накладку на картоприемник заменяет вредоносное программное обеспечение. Используя уязвимости сайтов, злоумышленники внедряют шпионский скрипт на серверы интернет-магазинов, где хранятся данные держателей карт.
Перехваченная информация отправляется на подконтрольный мошенникам сервер, а дальше используется по уже знакомой нам схеме: мошенники продают данные на черном рынке либо сами обналичивают пластик в банкоматах по всему миру.
Устройства для скимминга
В арсенале злоумышленников может быть несколько видов считывателей. Большинство из них имеют вид специальных фальш-накладок, имитирующих картридер и клавиатуру банкомата.
1. Считыватель магнитной ленты
Считыватель магнитной полосы, он же ридер — это небольшая схема с батарейками, заключенная в пластиковый корпус. Именно это миниатюрное устройство злоумышленники устанавливают поверх реального картридера в банкомате. Ридер позволяет мошенникам получить дампы без блокировки финансовой операции.
2. Скрытая видеокамера
Устанавливается на банкомате или рядом с ним. Нужна мошенникам, чтобы считать пин-код кардхолдера при вводе. Именно поэтому специалисты рекомендуют во время набора пин-кода прикрывать клавиатуру рукой, даже если рядом никого нет.
3. Накладная клавиатура
Но к сожалению, и это не панацея. Ведь установка видеокамер — не единственный способ украсть информацию о пин-коде: в арсенале мошенников может быть незаметная накладная клавиатура на PIN-пад, единственная цель которой — запоминать порядок вводимых цифр. И тут уж прикрывай клавиатуру рукой, не прикрывай — попадешься в сети злоумышленников.
4. Внутренние скиммеры
Скимминговые устройства могут быть внедрены и внутрь банкомата: мошенник проделывает аккуратное отверстие в корпусе, размещает устройство и заклеивает отверстия стикерами, поэтому их сложно распознать невооруженным взглядом. Такой вид скимминга называется шиммингом. Внутренние скиммеры, как правило, копируют данные с чипов на картах, а не с магнитных полос.
Актуальна ли проблема скимминга в России в 2024 году
Сейчас в России говорят о практически полной победе над скиммингом. Если в 2013 году только Сбербанк отчитался о предотвращении убытков от скимминга на сумму 5,6 миллиарда рублей, то уже к 2020 году Центробанк объявил, что количество зафиксированных жалоб на скиммеров приблизилось к нулевой отметке. Однако заметил, что россияне продолжают попадаться на этот способ мошенничества в заграничных путешествиях.
Среди стран, в которых использование банкоматов может обернуться для россиян неприятными последствиями, — Великобритания, Индия, Индонезия (любимый россиянами курорт Бали), Канада и США. Мошенники обращают внимание не только на отдельно стоящие банкоматы. Иногда преступники вступают в сговор с сотрудниками ресторанов и магазинов, устанавливая устройство для считывания данных прямо на терминале для оплаты.
Как не стать жертвой скиммеров
Вместе с экспертами собрали несколько несложных советов, которые помогут не попасться на уловки мошенников.
- Прежде чем вставлять в банкомат карту, следует его осмотреть. Картоприемник не должен контрастировать с остальной частью банкомата, например, отличаться от нее по цвету и материалу. Можно попробовать дернуть рукой картоприемник: если перед вами наложенная технология мошенников, она поддастся даже несильному воздействию и отвалится. «Родной» картоприемник сломать будет сложнее.
- Проверьте клавиатуру банкомата на предмет накладок, считывающих пин-код.
- При вводе пин-кода прикрывайте рукой экран: камера, устанавливаемая вместе со скиммером, обычно располагается над банкоматом. Если экран банкомата сенсорный и ввод происходил на нем, коснитесь ладонью всего экрана, чтобы оставить большое тепловое пятно на поверхности. Это действие не даст мошенникам считать пин-код по остаточному теплу.
Как распознать скиммера
Один из проверенных способов распознать скиммер в банкомате — слегка пошатать или потянуть картоприемник на себя (но не снимать полностью!) Как правило, скиммер не плотно прилегает к корпусу банкомата, шатается и выглядит ненадежно. Скиммер может крепиться к банкомату скотчем или клеем, что также несложно обнаружить.
Насторожить должна и нестандартного вида клавиатура. На ней не должно быть никаких неплотностей, проводов или следов скотча.
При обнаружении любых фальш-накладок следует незамедлительно позвонить в полицию и на горячую линию банка. На многих банкоматах расположены памятки по их безопасному использованию и телефон горячей линии, куда можно позвонить при возникновении проблем или опасений.
Пошаговая инструкция как выбрать банкомат
Сейчас в России установлено более 200 тысяч банкоматов, каждый из которых может использоваться мошенниками для кражи средств с карт других людей. Вот несколько советов, как обезопасить свои средства, не отказываясь от использования банкоматов.
- Банкоматы внутри отделений лучше охраняются, и рядом с ними часто стоит сотрудник банка. Поэтому лучше пользоваться банкоматом в помещении, а не на улице.
- Не используйте банкоматы неизвестных вам банков. Столкнуться с поддельным банкоматом сегодня можно абсолютно в любой стране. Чуть больший риск по статистике присутствует в странах Юго-Восточной Азии. Поэтому, отправляясь за границу, лучше заранее позаботится о наличных деньгах.
- При выборе банкомата обратите внимание на его освещение. Убедитесь, что устройство попадает под угол обзора наружной камеры наблюдения.
- Если банкомат стоит в отдельном помещении, доступ к которому осуществляется с улицы, а на входе используется специальный магнитный замок, банк никогда не будет просить ввести PIN. Специальная клавиатура «для ввода PIN-кода» — это устройство мошенников.
- Не вставляйте карту в банкомат, на экране которого написано «Вставьте карту». Мошенники могли активировать функцию перевода денег, и вставка карты с вводом пин-кода запустят механизм перевода. Вставляйте карту только тогда, когда на экране появилась заставка банка.
Что делать если попался скимминговый банкомат
При обнаружении любых скимминговых накладок ни в коем случае не снимайте их с банкомата самостоятельно и не проводите никаких операций. Уйдите в безопасное место, позвоните в банк и сообщите о своем подозрении. Если вы уже воспользовались банкоматом, и только после этого заподозрили неладное — также отойдите в безопасное место, заблокируйте карту и сообщите о случившемся в банк.
Как вернуть украденное
Если вы стали жертвой скимминга, незамедлительно обращайтесь в банк и пишите заявление в полицию, чтобы сообщить о несанкционированной операции. Во-первых, это позволит предотвратить дополнительные списания, а во-вторых — вовремя начать расследование и вернуть средства.
Громкие примеры скимминга
Несколько громких случаев, связанных со скиммингом, произошло в Америке в 2021 году: в первом случае преступники пытались похитить больше полутора миллионов долларов у тысячи клиентов банка, во втором деле банки сразу трех штатов потеряли 587 тысяч долларов.
По данным FICO, в 2022 году в одном только США было выявлено свыше 161 тыс. скомпрометированных карт, что примерно в пять раз больше, чем в 2021 году. Компрометация затронула почти 3 тыс. финансовых учреждений, что означает рост числа организаций-жертв на 79% в годовом сравнении. По данным FICO, показатели за январь 2023 года выросли почти на 1000% по сравнению с 2022 годом.
Вопросы и ответы
Собрали основные вопросы, которые возникают у читателей при поиске способ защиты от мошенников.
В чет отличия между скиммингом, фишингом и шиммингом?
Шимминг — одна из разновидностей скимминга. Но в отличие от скиммеров, которые имеют вид массивных и визуально заметных накладок, шиммы — более тонкие и незаметные устройства. Они устанавливаются прямо внутрь считывателей карт банкоматов и выглядят, как тонкая гибкая плата.
Фишинг — его главная особенность в том, что все необходимые данные злоумышленникам передает сам владелец. Для этого мошенники создают поддельные страницы сайтов, внешне неотличимые от настоящих, меняя в названии несколько букв или знаков.
В отличие от скимминга, фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности. Тогда как чтобы стать жертвой скимминга, достаточно просто пользоваться банковской картой.
Могут ли мошенники украсть данные другими способами?
Мошенники регулярно придумывают новые схемы обмана и модернизируют старые. Один из таких способов — кэш-трэппинг.
Определение можно перевести как «захват денег». Из названия можно понять всю суть этого метода. Существует множество видов кэш-трэппинга, но принцип у всех один — нарушить работу шаттера (это механизм, выдающий наличность).
Мошенники с помощью специальных приспособлений нарушают работу шаттера и ждут, когда кто-то воспользуется банкоматом для снятия денег. Терминал не может выдать наличность, так как она застревает, тогда операция отменяется.
Злоумышленнику остается только достать купюры из аппарата. Этот способ наносит ущерб только банку. Так как система банкомата отменяет операцию по выдаче наличных, но обратно в хранилище они не попадают. При этом деньги возвращаются на счет кардхолдера.
Что делают банки для защиты своих клиентов от скимминга?
Банки самостоятельно принимают меры по борьбе со скиммингом. С точки зрения техники, в банкоматах устанавливаются активные и пассивные антискиммеры. Внешне они выглядят как прозрачная пластиковая насадка на картоприемнике, либо могут быть размещены внутри устройства и незаметны снаружи. Иногда используются джиттеры — они заставляют карту вибрировать при введении, чтобы оборудование преступников не могло считать данные.
В последние годы банки перестали выпускать пластиковые карты, которые содержат лишь магнитную полосу — теперь они оснащены чипом.
Регулярный круглосуточный мониторинг банками подозрительных транзакций клиентов при помощи современных антифрод-систем, выявление аномалий в их транзакционной активности, возможность устанавливать лимиты по операциям, а также онлайн-информирование клиентов о совершаемых операциях — все это меры, помогающие бороться с мошенниками.
