Більшість з нас переконані, що навіть якщо котрийсь кишеньковий злодій і поцупить нашого гаманця з карткою, користі йому буде мало – без PIN-коду дзуськи він вкраде наші гроші. А якщо картка у вас у кишені, а вкрали саме PIN–код та параметри магнітної стрічки? Саме цим і заробляють на життя шахраї, які спеціалізуються на скімінгу (від англ. skim – знімати вершки).

Скімери – пристрої для перехоплення інформації з магнітної стрічки пластикових карток. Перша згадка про них надійшла з Британії в 2002 році. Проте про поняття скімінгу як виду злочинної діяльності по-справжньому заговорили в 2004 році, після того, як в Москві була затримана група людей, яким висунули обвинувачення в “незаконному перехопленні інформації з пластикових карток”. Це був перший офіційний випадок затримання шахраїв, які спеціалізувалися власне на скімінгу.

Отож, типовий скімер складається з двох частин. Перша – накладний симулятор приймача кредитки в банкоматі (кардрідер), призначений для зчитування інформації з магнітної смужки картки. Як правило, він прикріпляється до оригінального кардрідера і зовні майже не відрізняється від нього. Симулятор  містить зчитувач, маленьку мікросхему перетворювача інформації, контролер і накопичувач. Зчитувач дуже маленький – ширина його головки дорівнює ширині магнітної стрічки карти, товщина становить 2-2,5 мм. 

Скімери або накопичують інформацію про картки всередині, або відразу передають її на мобільник чи якийсь пристрій, захований поруч (скажімо, в припаркованій автівці) по бездротових каналах (найчастіше це Bluetooth або SMS-повідомлення). Злочинець нічим не ризикує, тому що не знаходиться поруч із банкоматом. Він крутиться поблизу, приймаючи сигнали, або час від часу з’являється на “точці”, щоб замінити наповнений інформацією накопичувач. 

Друга частина скімера – накладна клавіатура, призначена для знімання інформації про PIN-код, що містить ті самі мікросхеми, що і на оригінальних роз’ємах для введення картки. Плюс розібраний мобільний телефон, налаштований на постійну відправку SMS. Оскільки клавіатура банкомату металева, то і накладну доводиться виготовляти із такого ж матеріалу, але вона, як правило, на 0,5-1 см відрізняється по товщині, що не так легко помітити. Іноді, щоб у клієнта не виникало підозр, клавіатуру накладають на всю робочу область терміналу. SMS, що містить PIN-код клієнта (він же – потенційна жертва) відсилається одразу після натискання клавіші “Enter” на клавіатурі. 

Після отримання потрібної інформації шахраї, як правило, записують її на так званий “білий пластик” – тобто, пластикову картку з магнітною смужкою, яка не має жодних логотипів і оформлення. Це, щоправда, не заважає їм з її допомогою отримати готівку в іншому банкоматі. Але може виготовлятися і повноцінна кредитна картка, придатна для розрахунків в супермаркетах, ресторанах, автозаправних станціях (там, де існує така можливість). Іноді це безпечніше, оскільки більшість банкоматів обладнані відеокамерами, тож злочинцеві доводиться міняти зовнішність, щоб його потім не впізнали. 

Кримінальники ніколи не засиджуються на місці: професія передбачає – “сидить” не той, хто погано краде, а той, хто погано бігає. Тож, не дивно, що шахраї, які спеціалізуються на кредитних картках, розробили ще декілька оригінальних технологій.

“Шиммінг”. Шиммери, на відміну від скімерів, абсолютно непомітні: тонка гнучка плата вставляється через щілину кардрідера і вже зсередини зчитує потрібні дані. Тобто, немає жодних зовнішніх ознак того, що в банкоматі є шпигунський пристрій.

Щоб наочно уявити собі, яка майстерність потрібна для виготовлення шахрайських пристроїв, експерти наводять наступні порівняння: товщина кредитки – приблизно 0,76 мм, кристалу солі – 0,5 мм, людської волосини – близько 0,18 мм. Водночас плата для шиммінга повинна бути майже вдвічі тоншою за волосся, щоб не заважати вільному доступу карток у кардрідер.

“Фішинг” (від англійського рибалити). Класичний приклад, коли власнику кредитки приходить SMS за підписом “банк” або “менеджер банку” про те, що картка заблокована. Жертву просять підтвердити інформацію про власника, щоб розблокувати її. 

Цікавить “банк” не кодове слово, а конкретно номер картки і термін її дії. Хтось розважливо телефонує в банк і з’ясовує причин “блокування”, натомість дехто панікує та надсилає інформацію і… залишається без грошей. Адже останніх цифр номера картки достатньо для того, щоб розплачуватися нею в інтернеті. Окрім SMS-повідомлень, шахрайські запити від імені “банку” можуть приходити і через ICQ, і через соціальні мережі, якими зараз не користуються хіба немовлята та ветерани війни. 

Крадії PIN-кодів. Злочинці можуть перехоплювати PIN-коди, коли вони пересилаються з клавіатури у внутрішній комп’ютер. Для цього використовуються дротові відводи в банкоматах або здійснюється дистанційний запис електромагнітного випромінювання електропроводки банкомату. Відповідний компактний пристрій може знаходитися, скажімо, в жіночій сумочці касирки супермаркета (яка перебуває у змові зі злочинцями). 

Щойно ваша кредитка пройшла через кардрідер, прилад зчитав усю потрібну інформацію. Ви везете додому пакети з покупками, а касирка непомітно передає спільникам непримітну коробочку, за допомогою якої вже за 10-15 хвилин вони виготовляють точну копію вашої картки. 

РІN-коду в них, звичайно, немає, тож до банкомату вони не підуть. Зате є фіктивно зареєстрований інтернет–магазин, в якому вони за ваші кошти купують, скажімо, флешку за три чи п’ять тисяч гривень (коротше кажучи, за ту суму, яка є на вашій кредитці). Кошти надходять на рахунок магазину-примари, звідкіля їх моментально знімають готівкою. Як правило, такі схеми реалізує група осіб: усе треба робити дуже швидко, доки жертва не оговталася та не заблокувала картку.

Програми-віруси. Наприклад, Trojan.Skimer. Такі програми самостійно поширюються через інтернет і можуть “заповзти” в комп’ютер усередині банкомату, де й зчитують реквізити карток. 

Фальшиві банкомати. Інколи злочинці не шкодують грошей і на власні банкомати, які маскують під бренд відомого банку. Власник картки, нічого не підозрюючи, знімає гроші, і його дані автоматично стають відомі зловмисникам. 

“Кеш-трепінг” – менш поширений, але куди простіший спосіб заволодіти вашими коштами. На отвір для видачі готівки наклеюють наліпку, до якої гроші буквально прилипають і не видаються клієнтові банку. Зазвичай необачний клієнт вважає, що йде збій системи, що операція скасувалася і спокійно йде далі, коли насправді гроші вже зняті з рахунку.

Потішити жертв нічим. У більшості випадків банки відмовляють клієнтам, якщо у тих зникли гроші з кредитки. Річ у тім, що в будь-якому договорі на відкриття карткового рахунку є пункт про те, що клієнт зобов’язаний тримати реквізити картки (номер і PIN-код) у секреті й не передавати ці дані третім особам.

Довести, що карткою скористався не сам клієнт дуже складно. Перевіривши останні транзакції, банк побачить, що готівка з банкомату була знята з першої спроби, тобто без підбору PIN-коду (або оплата в інтернет-магазині пройшла без збоїв), і цілком справедливо запідозрить клієнта в лихих намірах.

Звичайно, якщо банк відмовиться повернути гроші, власник картки може подати до суду, але шанси на виграш жалюгідні. Тож будьте пильними: за вашими грошима полюють винахідливі шахраї.