Скімер – апаратний пристрій для крадіжки інформації, що зберігається на платіжних картах, коли покупець здійснює транзакцію в банкоматі або в платіжному терміналі. Однак за останні роки значення цього терміна було значно розширено, і під скімером став матися на увазі будь-який шкідливий додаток або код, спрямований на крадіжку інформації платіжної картки, в тому числі під час покупок в інтернет-магазинах та навіть при використанні безконтактних платежів.
Незалежно від типу скімера (апаратного або програмного) зловмисники переслідують схожі цілі, а конкретно – обман покупця, коли отримана інформація використовується для клонування фізичних платіжних карт або здійснення підроблених транзакцій в Інтернеті.
Як працюють скімінгові пристрої?
Фізичні скімери проектуються під певні моделі банкоматів, каси самообслуговування і інші платіжні термінали. У кожному скімері завжди присутній компонент для зчитування карт, що складається з невеликої мікросхеми, яка живиться від батареї. Зазвичай скімер знаходиться всередині пластикової чи металевої оболонки, що імітує справжній кард-рідер цільового банкомату або іншого пристрою. Цей компонент дозволяє шахраєві скопіювати інформацію, закодовану на магнітній смузі карти, без блокування реальної транзакції, яку здійснює користувач.
Другий компонент скімера – невелика камера, прикріплена до банкомату або підроблена клавіатура для введення пін-коду, що знаходиться поверх справжньою клавіатури. Як неважко здогадатися, мета цього компонента – крадіжка пін-коду, який разом з даними, збереженими на магнітній смузі, використовується для клонування карти і виконання неправомірних транзакцій.
Оскільки стали широко використовуватися картки з чипами EMV, зловмисники також адаптували свої технології і стали виготовляти більш складні скімери. Деякі скімінгові пристрої настільки тонкі, що можуть вставлятися усередину слота карт-рідера. Ці пристрої називаються deep insert скімери чи скімери глибокого проникнення. Пристрої, які називаються “Шимери” вставляються в слот кард-рідера і спроектовані для зчитування даних з чипів на картах. Однак слід зазначити, що ця технологія може бути застосована тільки там, де некоректно реалізований стандарт EMV (Europay+MasterCard+VISA).
У 2024-2025 роках з’явився новий тип скімерів – Bluetooth та WiFi-скімери, які можуть передавати зібрані дані в режимі реального часу на смартфони зловмисників. Це означає, що шахраї більше не повинні повертатися до банкомату, щоб забрати пристрій із зібраними даними.
Скімери також можуть встановлюватися повністю всередині банкоматів, як правило, технічними фахівцями або за допомогою свердління або різання дірок в оболонці банкомату і заклеювання цих отворів стікерами, що виглядають як частина загальної конструкції.
На відео показано, як професіонал у сфері кібербезпеки виявляє скімер, прикріплений до банкомату на одній з вулиць у Відні.
Як захиститися від скімерів?
Внаслідок великої різноманітності скімінгових пристроїв універсального способу, як не стати жертвою зловмисників, не існує. Але є низка рекомендацій, які значно знизять ваші ризики.
- Уникайте банкоматів, встановлених поза будівлями або розташованих в місцях з поганим освітленням. Для встановлення скімерів зловмисники вибирають банкомати в малолюдних місцях, що знаходяться поза банками або магазинами. Крім того, як правило, скімери встановлюються у вихідні, коли навколо найменше цікавих очей. Тому намагайтеся знімати готівку в вихідні тільки в разі крайньої необхідності.
- Перед вставкою карти поворушіть або потягніть кард-рідер і клавіатуру для набору пін-коду і переконайтеся, що ці компоненти не від’єднуються і не рухаються. Як правило, зловмисники використовують низькоякісний клей для прикріплення скиммера, оскільки згодом цей пристрій потрібно буде вилучити.
- Звертайте увагу на дивні ознаки: отвори, шматки пластику або металу, які виглядають підозріло, компоненти, колір яких не збігається з іншою частиною банкомату і стікери, наклеєні нерівно. Якщо в банкоматі присутні пломби для службових замків, перевірте, чи немає в цих місцях пошкоджень.
- Під час набору пін-коду завжди закривайте клавіатуру руками, щоб набрані цифри не змогли потрапити на відео шкідливої камери. Цей метод не допоможе в разі накладної клавіатури, але в цілому скоротить ймовірність крадіжки пін-коду.
- Якщо на вашій карті є чип, завжди використовуйте кард-рідери терміналів з підтримкою чипів, замість “проведення” магнітної смуги. Ще краще – використовуйте безконтактні платежі, які є значно безпечнішими за традиційні методи. Apple Pay, Google Pay та Samsung Pay використовують токенізацію – технологію, при якій справжній номер вашої карти замінюється тимчасовим токеном, що робить неможливим використання перехоплених даних.
- Відстежуйте рахунки на предмет неправомірних транзакцій. Якщо у вашої карти передбачені повідомлення через додаток або СМС після кожної транзакції, обов’язково користуйтеся цими функціями. У 2025 році більшість українських банків надають можливість миттєвих push-сповіщень про всі операції.
- Якщо дозволяє функціонал, встановіть ліміт зняття готівки під час однієї транзакції або протягом однієї доби. Використовуйте дебетову карту, прикріплену до рахунку, де знаходиться невелика кількість грошових коштів, і поповнюйте цей рахунок у міру необхідності, замість використання карти, прикріпленої до основного рахунку, де знаходяться всі ваші гроші.
Програмні скімери
Програмні скімери націлені на програмні компоненти платіжних систем і платформ, будь то операційна система платіжного терміналу або сторінка оплати інтернет-магазину. Будь-який додаток, який обробляє незашифровану інформацію про платіжну картку, може стати шкідливим, заточеним під скімінг.
Шкідливі платіжні термінали використовувалися для здійснення найбільших крадіжок даних про кредитні картки, включаючи злами в 2013 і 2014 роках компаній Target і Home Depot. В результаті були скомпрометовані десятки мільйонів карт. У 2023-2024 роках подібні атаки торкнулися й українського ринку – кілька мереж супермаркетів та АЗС стали жертвами POS-шкідників.
У POS терміналів є спеціальні периферійні пристрої, наприклад, для зчитування карт, але в іншому відмінностей від звичайних комп’ютерів практично немає. У багатьох випадках термінали працюють на базі Windows у зв’язці з касовим додатком, який фіксує всі транзакції.
Хакери отримують доступ до подібних систем, використовуючи вкрадені облікові записи або експлуатуючи уразливості, а потім встановлюють шкідливі програми для сканування пам’яті на предмет патернів, які збігаються з інформацією про платіжні картки. Звідси і назва цих шкідників “RAM scraping“. Інформація про карту (за винятком пін-коду) зазвичай не шифрується під час локальної передачі від кард-рідера в додаток. Відповідно, не складає особливих труднощів скопіювати ці дані з пам’яті.
Веб-скімери
В останні роки виробники платіжних терміналів стали впроваджувати шифрування P2PE для посилення безпеки з’єднання між кард-ридером і платіжним процесором, внаслідок чого багато зловмисників звернули увагу на іншу слабку ланку: схему оплати в інтернет-магазинах і на інших сайтах, пов’язаних з електронною комерцією.
У сценаріях атак, пов’язаних із веб-скімінгом, використовуються ін’єкції шкідливого JavaScript-коду в сторінки інтернет-магазинів з метою перехоплення інформації про карту, коли користувач робить оплату. Як і у випадку з POS терміналами, незахищені дані перехоплюється під час транзакції перед відсиланням платіжному процесору через зашифрований канал або перед шифруванням і додаванням в базу даних сайту.
Веб-скімінгу вже піддалися сотні тисяч сайтів, в тому числі широко відомі бренди: British Airways, Macy’s, NewEgg і Ticketmaster. У 2024 році особливо активними стали групи Magecart, які спеціалізуються на атаках через supply chain – компрометації сторонніх скриптів та віджетів, що використовуються багатьма інтернет-магазинами одночасно.
Ще одним новим трендом стало використання підроблених QR-кодів для переадресації на шкідливі сайти, де крадуться дані карток. Такі атаки особливо поширилися в ресторанах та кафе, де QR-меню стали популярними після пандемії.
Як захиститися від програмних скімерів?
Ви, як користувач, навряд чи зможете щось зробити, щоб запобігти компрометації подібного роду, оскільки у вас немає контролю над додатком в платіжному терміналі або кодом на сторінках інтернет-магазину. Тут відповідальність за безпеку покупок повністю лежить на продавцях і розробниках технології. Однак ви, як покупець, можете вжити додаткових заходів для зниження ризику крадіжки карт або зниження впливу наслідків, якщо компрометація відбудеться.
Відстежуйте виписки своїх рахунків і ввімкніть повідомлення кожної транзакції, якщо дозволяє функціонал. Чим швидше ви виявите сторонні транзакції і заблокуєте карту, тим краще.
Якщо можливо, використовуйте двофакторну авторизацію під час онлайн-транзакцій. Директива платіжних сервісів PSD2 в Європі зобов’язує банки супроводжувати онлайн-транзакції двофакторною аутентифікацією через мобільні додатки. Багато європейських банків вже впровадили цей механізм безпеки. Українські банки також активно впроваджують 3D Secure 2.0 та інші методи додаткової авторизації.
Під час онлайн-шопінгу використовуйте номери віртуальних карт, якщо таку можливість надає банк, або платіть з мобільного телефону. Сервіси Google Pay і Apple Pay використовують токенізацію. При використанні цієї технології відбувається заміна справжнього номера карти на тимчасовий токен. В цьому випадку витоку номера вашої картки не відбудеться.
Намагайтеся оплачувати покупки за допомогою альтернативних платіжних систем, як, наприклад, PayPal, коли не потрібно вводити інформацію про карту на сторінці замовлення сайту, де ви робите покупки. Ви також можете здійснювати покупки на сайтах, де перед введенням інформації про карту відбувається перенаправлення на сторонній платіжний процесор, замість обробки цих даних самим магазином.
Оскільки під час веб-скімінгу використовується шкідливий JavaScript-код, програми безпеки кінцевих вузлів, що інспектують веб-трафік усередині браузера, технічно можуть виявити подібні атаки. Однак веб-шкідники часто піддаються обфускації і зловмисники безперервно вносять зміни в свої розробки. Хоча антивірус з останніми оновленнями може допомогти, він не в змозі детектувати всі атаки, пов’язані з веб-скімінгом.
Хоча деякі великі компанії і бренди стають жертвами веб-скіммінгу, за статистикою частіше компрометації піддаються невеликі онлайн-магазини через відсутність коштів на дорогі рішення в сфері безпеки на стороні сервера і аудити коду. З точки зору покупця під час покупок у великих магазинах ризик компрометації нижче.
Нові загрози 2024-2025 років
Окрім традиційних скімерів, у 2024-2025 роках з’явилися нові види загроз. NFC-скімери можуть перехоплювати дані безконтактних карт через спеціальні мобільні додатки, якщо користувач тримає картку занадто близько до зловмисного пристрою. Хоча радіус дії таких атак обмежений кількома сантиметрами, вони можливі в громадському транспорті або натовпі.
Також набули поширення Bluetooth-атаки на мобільні гаманці, коли зловмисники намагаються перехопити дані під час синхронізації пристроїв. Тому важливо регулярно оновлювати програмне забезпечення своїх мобільних пристроїв та використовувати тільки офіційні додатки банків.
Майбутнє платіжної безпеки пов’язане з впровадженням квантового шифрування, штучного інтелекту для виявлення аномальних транзакцій та біометричних карт зі вбудованими сенсорами відбитків пальців. Деякі банки вже тестують карти з динамічними CVV-кодами, що змінюються кожні кілька хвилин, роблячи неможливим використання вкрадених даних.
