Przejdź do głównej zawartości

Czym jest skimming i jak się przed nim chronić?

Wyobraź sobie, że wypłacasz gotówkę z bankomatu, używając karty płatniczej. Wkładasz ją do czytnika, wybierasz usługę i kwotę na ekranie, zatwierdzasz transakcję PIN-em, odbierasz kartę i banknoty. Niestety, kiedy później logujesz się na konto bankowe, widzisz, że ubyło Ci kilka tysięcy złotych z rachunku! Jak to możliwe, skoro nikt Ci nie ukradł karty? Sęk w tym, że mógł. W tym scenariuszu jesteś ofiarą skimmingu, czyli kradzieży danych i pieniędzy przeprowadzanej z użyciem bankomatu.

Chociaż liczba bankomatów w Polsce spada z roku na rok, a Polacy preferują płatności bezgotówkowe1, np. za pomocą kart kredytowych, to cyberprzestępcy nie rezygnują z wykorzystywania bankomatów do kradzieży danych i środków pieniężnych. Co prawda Związek Banków Polskich podkreśla, że tzw. ataki analogowe występują zdecydowanie rzadziej niż ataki cyfrowe2, ale i tak warto uważać podczas każdej wypłaty gotówki. Z tego poradnika dowiesz się, jakie rodzaje skimmingu stosują przestępcy i co zrobić, aby zminimalizować ryzyko utraty pieniędzy.

Czym jest skimming? Podstawowe zasady działania

Skimming to oszustwo, które polega na skopiowaniu informacji z paska magnetycznego karty płatniczej i przechwyceniu kodu PIN do autoryzowania transakcji w celu kradzieży pieniędzy z konta należącego do użytkownika karty3.

Co do zasady, skimming bazuje na bankomatach, w których przestępcy instalują dodatkowe elementy, np. nakładkę na czytnik kart płatniczych i mikrokamerę nagrywającą klawiaturę. Te same mechanizmy mogą być stosowane w innych urządzeniach, np. terminalach płatniczych czy automatach parkingowych. W efekcie oszuści są w stanie utworzyć duplikat karty, za pomocą którego wypłacą gotówkę z konta ofiary i zrealizują inne transakcje.

Najczęstsze odmiany skimmingu

Jak podaje Policja, tradycyjny skimming polegał na wykonywaniu kopii karty płatniczej przez osobę, która weszła w jej chwilowe posiadanie, np. w placówce handlowej czy obiekcie usługowym. Skimming bankomatowy, na którym się skupiamy w tym artykule, bazuje na akcesoriach i urządzeniach umożliwiających zeskanowanie paska magnetycznego karty i kradzież danych, w tym kodu PIN. Podobnie działają spreparowane terminale płatnicze, w których oszuści instalują elementy kopiujące pasek magnetyczny i monitorujące wpisywanie PIN-u. Inna nowocześniejsza metoda kradzieży danych to shimming, którego celem są chipy EMV kart płatniczych. Specjalne urządzenie, tzw. shimmer, przechwytuje dane zapisane w chipie, kiedy użytkownik dokonuje transakcji w bankomacie.

Niestety, ofiarą skimmingu można paść nawet w podróży. Polskie media opisywały przypadki kradzieży środków z kont za pomocą skimmingu RFID (Radio-Frequency Identification). Ten atak wykorzystuje bezdotykowe połączenie między terminalem a kartą, które komunikują się za pomocą fal radiowych4.

Inne popularne oszustwa związane z kartami płatniczymi

Chociaż rozsądne korzystanie z karty kredytowej oraz innych kart płatniczych jest bezpieczne, to warto mieć świadomość zagrożeń ze strony cyberoszustów i innych przestępców. Na naszym blogu wielokrotnie poruszaliśmy tematy związane z płatnościami bezgotówkowymi, w tym kartą kredytową Provi Sm@rt (RRSO 55,28%) z odnawialnym limitem kredytowym. Im więcej będziesz wiedzieć o cyberzagrożeniach i transakcjach, w tym łatwiej będzie Ci uniknąć uwierzenia w np. fałszywe wiadomości z niebezpiecznymi linkami.

Zobacz także: Karta kredytowa Provi Sm@rt – jakie korzyści na Ciebie czekają?

Carding

Carding to szeroko zakrojony proceder, który obejmuje nielegalny handel skradzionymi danymi kart płatniczych oraz ich używanie do transakcji. Co ważne, tzw. carderzy mogą wykorzystywać – świadomych bądź nie – pośredników, na których dane zamawiają produkty z sieci.

Phishing

Phishing to cyberoszustwo polegające na udawaniu przez przestępców innych osób lub podmiotów w celu wyłudzenia cennych danych, np. informacji z dowodu osobistego, loginu i hasła do bankowości internetowej albo numeru karty kredytowej wraz z datą ważności i kodem CVC. Kampanie phishingowe najczęściej polegają na wysyłce fałszywych wiadomości e-mail i SMS (smishingu) z linkami wiodącymi do spreparowanych stron WWW, aplikacji czy innego złośliwego oprogramowania.

Vishing

Jak wspomnieliśmy w artykule o smishingu, vishing (voice phishing) polega na podszywaniu się oszusta pod inną osobę, firmę lub instytucję podczas rozmowy telefonicznej. Niestety, im powszechniejsze stały się aplikacje generujące głos na podstawie nawet niewielkich próbek, tym łatwiej paść ofiarą vishingu, wierząc, że naprawdę dzwoni bliska osoba. W przypadku vishingu bankowego przestępcy wmawiają ofiarom, że ktoś chce wyłudzić kredyt na ich dane czy włamał się na rachunek. Następne kroki mogą prowadzić do m.in. przechwycenia danych logowania do aplikacji bankowej albo informacji z karty płatniczej.

Malware NFC

Malware to złośliwe oprogramowanie, które umożliwia przejęcie kontroli przez cyberprzestępców nad urządzeniem ofiary (np. smartfonem) oraz przechwycenie danych. Stosunkowo nowym rodzajem ataku jest NFC Relay – polega na kradzieży danych karty płatniczej za pośrednictwem złośliwego oprogramowania NGate oraz technologii NFC (Near Field Communication)5. NFC to mechanizm wykorzystywany w m.in. płatnościach zbliżeniowych telefonem.

W zależności od scenariusza ataku ofiary odczytywały fałszywą wiadomość z linkiem do pobrania spreparowanej aplikacji albo odbierały telefon od rzekomego pracownika banku, który nakłaniał ich do tej samej czynności. Następnie zmanipulowany użytkownik karty przykładał ją do smartfona z włączonym NFC i podawał PIN. Te dane były przekazywane przestępcy oczekującemu przed bankomatem. Oszust wypłacał gotówkę, a transakcja była rejestrowana przez bank jako zbliżeniowa wypłata środków6. Przebieg ataku, włącznie z analizą techniczną, opisał zespół CERT Polska.

Warto wspomnieć, że amerykański Chase Bank pracuje nad rozwiązaniem pozwalającym na wypłacanie gotówki z bankomatów wyłącznie za pomocą smartfona z NFC i wirtualnym portfelem. Jedno z zabezpieczeń ma stanowić biometria, czyli potwierdzanie tożsamości za pomocą danych fizycznych (np. odcisku palca)7. Niestety, już teraz istnieją ataki, np. BrutePrint, które umożliwiają odkrycie unikatowego odcisku palca właściciela telefonu8. Istnieje zatem ryzyko, że powstaną kolejne ataki, a ich celem będą coraz nowocześniejsze bankomaty z NFC.

Jak rozpoznać podejrzany bankomat lub terminal płatniczy?

Wypatruj przede wszystkim wszelkich śladów po ingerencji w obrębie klawiatury i czytnika kart, np. rys na powłoce, klejących się plam, niedopasowanych elementów. Sprawdź, czy przyciski nie są podejrzanie wypukłe albo chybotliwe. Zwróć też uwagę na zakamarki i nakładki we wnęce, w których można umieścić miniaturowe kamerki. Przykładowe zdjęcia zobaczysz np. na stronie komendy miejskiej, a filmiki – na YouTubie.

Uważaj na obce osoby w pobliżu bankomatu, zwłaszcza kiedy Twoja karta utknie w urządzeniu. Policja ostrzega, że przestępcy wykorzystują stosunkowo starą metodę card trapping, nazywaną również „pętlą libańską” lub „algierskim V”. W tym scenariuszu specjalna blokada fizyczna uniemożliwia wyjęcie karty z bankomatu. Ofierze chce „pomóc” rzekomo przypadkowa osoba, która namawia pechowca do kilkukrotnego wpisania kodu PIN i narzeka na często psujący się bankomat. Oczywiście próby nie przynoszą efektów, więc posiadacz karty jest nakłaniany do udania się do banku. Kiedy się oddala, „pomocnik”... wyjmuje kartę z bankomatu. Co więcej, zna kod PIN, który mógł zostać zarejestrowany przez kamerkę lub zwyczajnie zauważony kątem oka. Zanim ofiara zablokuje kartę, oszust może wypłacić gotówkę9.

Jak się chronić przed skimmingiem?

Zanim włożysz kartę do bankomatu, przyjrzyj się urządzeniu. Czy nie zawiera podejrzanie wystających elementów albo śladów po potencjalnej ingerencji w czytnik kart? Czy klawiatura różni się od tych zainstalowanych w bankomatach tej samej sieci, np. przyciski wydają się bardziej wypukłe? Jeśli uznasz, że skorzystanie z urządzenia jest bezpieczne, pamiętaj o tak prostej profilaktyce, jak zasłonięcie dłonią klawiatury podczas wpisywania PIN-u.

Kiedy masz wybór, decyduj się na wypłatę pieniędzy z bankomatów w oddziałach i placówkach bankowych. Co do zasady, bankomaty w centrach handlowych też powinny być monitorowane i sprawdzane, aczkolwiek znacznie większa liczba klientów galerii może prędzej przyciągnąć uwagę przestępców niż bankomat w małej placówce bankowej. Rozważ także wypłatę środków za pomocą usługi cashback, czyli przy płatności za np. zakupy w sklepie. W tym celu poinformuj sprzedawcę, że chcesz wypłacić pieniądze. Co do zasady, cashback jest bezpłatny, a standardowy limit wynosi 1000 zł.

Poza tym sprawdź limity transakcji bezgotówkowych i gotówkowych w aplikacji mobilnej. Jeżeli na co dzień dokonujesz płatności, które nie przekraczają kilkuset złotych, to nie ma potrzeby, aby limity sięgały kilku, kilkunastu, a nawet kilkudziesięciu tysięcy złotych. Warto też włączyć powiadomienia push i SMS o transakcjach, aby błyskawicznie wychwycić niepożądaną płatność czy wypłatę środków. Możesz również wyłączać funkcję NFC w smartfonie i włączać ją tuż przed płatnością w sklepie.

Co zrobić, gdy podejrzewasz skimming?

Jeśli uważasz, że dokonano nieautoryzowanych modyfikacji bankomatu, z którego skorzystałeś zawiadom Policję. Twoje dane mogły zostać wykorzystane przez cyberprzestępców. W takim wypadku jak najszybciej zastrzeż kartę w instytucji płatniczej, która ją wydała. Pamiętaj, że zastrzeżenie wiąże się z koniecznością wyrobienia nowej karty, a zablokowanie jest tylko tymczasowym rozwiązaniem. Posiadacze karty kredytowej Provi Sm@rt mogą wykonywać obie czynności przez całą dobę w aplikacji mobilnej ProviGo.

Ponadto skontaktuj się z instytucją finansową, która wydała Ci kartę. Poinformuj bank albo instytucję płatniczą o sytuacji i złóż reklamację – o ile doszło do nieautoryzowanej przez Ciebie transakcji, np. wypłaty gotówki z bankomatu przez oszusta. Poza tym warto udać się na policję i skontaktować się z CERT Polska, aby zgłosić incydent cyberbezpieczeństwa.

Co warto zapamiętać, aby uchronić się przed skimmingiem?

Co do zasady, skimming to oszustwo polegające na przechwyceniu danych karty płatniczej w bankomacie w celu kradzieży pieniędzy. Chociaż istnieją różne rodzaje ataków skimmingowych, to ofiarami padają najczęściej użytkownicy bankomatów. Niestety, rozwiązania stosowane przez cyberprzestępców bywają tak zaawansowane, że wielu osobom, szczególnie w pośpiechu, trudno dostrzec niepożądane nakładki, które kopiują paski magnetyczne kart. Warto zatem korzystać przede wszystkim z bankomatów znajdujących się w oddziałach i placówkach bankowych. Te urządzenia są nie tylko monitorowane, ale też regularnie sprawdzane przez pracowników.

Ponadto pamiętaj o podstawowych środkach ostrożności w sieci – nie klikaj w podejrzane linki w potencjalnie fałszywych wiadomościach i nie wierz na słowo osobie, która dzwoni do Ciebie, podając się za pracownika banku albo firmy pożyczkowej. Najlepiej rozłącz się i skontaktuj z instytucją finansową na własną rękę. Tym prostym sposobem możesz uchronić się przed utratą pieniędzy i kradzieżą danych.


Rzeczywista Roczna Stopa Oprocentowania (RRSO) wynosi 55,28%, całkowita kwota kredytu 4500 zł, całkowita kwota do zapłaty 6131,84zł, oprocentowanie stałe 14,5%, całkowity koszt kredytu 1631,84zł (w tym: opłaty miesięczne 1113,75 zł, odsetki 518,09zł), 12 spłat: 11 miesięcznych spłat malejących, przy czym 1. spłata w wysokości 335,62 zł, 11. spłata w wysokości 314,8 zł, a ostatnia spłata wymagana w dniu upływu terminu obowiązywania umowy o kredyt konsumencki jest w wysokości 2550,37 zł. Kalkulacja z dnia 05.03.2026 r. na reprezentatywnym przykładzie karty kredytowej Provi Sm@rt. Do obliczenia powyższych parametrów przyjęto, że limit kredytowy w ramach karty kredytowej Provi Sm@rt w wysokości 4500 zł został wykorzystany jednorazowo w całości poprzez transakcję bezgotówkową dokonaną kartą kredytową. Kredytodawca nie nalicza odsetek od Transakcji Płatniczych, jeśli Klient spłaci je do końca Miesięcznego Cyklu Rozliczeniowego Karty, w którym zostały wykonane. Okres bezodsetkowy może trwać maksymalnie 31 dni, w zależności od długości danego Miesięcznego Cyklu Rozliczeniowego Karty.


Źródła:
1. https://spkatowice.policja.gov.pl/download/363/173680/50skimming.pdf
2. https://www.rmf24.pl/fakty/polska/news-bankomaty-znikaja-z-polskich-ulic-nadchodza-zmiany,nId,8046247
3. https://bank.pl/prezes-zbp-o-tym-jak-bronic-sie-przed-skimmingiem/
4. https://podlaska.policja.gov.pl/pod/policja-podlas/dzialania/przestepczosc-gospodar/struktura-wydzialu/zespol-ii/oszustwa-bankomatowe/28417,Oszustwa-bankomatowe.html
5. https://android.com.pl/tech/898992-skimming-w-pociagu-rozmowa-z-ofiara/
6. https://cert.orange.pl/cyber-threat-intelligence/krajobraz-zagrozen-03-09-02-25/
7. https://forsal.pl/gospodarka/aktualnosci/artykuly/10648967,rewolucyjne-zmiany-w-bankomatach-to-juz-koniec-z-kartami-bankomatowymi-co-bedzie-z-wyplata-gotowki.html
8. https://www.telepolis.pl/tech/bezpieczenstwo/telefony-z-androidem-atak-bruteprint-odcisk-palca
9. https://policja.pl/pol/aktualnosci/259787,Oszustwo-MALWARE-NFC-Na-czym-polega-i-jak-sie-przed-nim-uchronic.html
Avatar

Anna

Opublikowano:
29 kwi 2026 09:30

Udostępnij

Facebook Instagram LinkedIn TikTok X Youtube
hide footer

Zamów online kartę kredytową

Provi Sm@rt RRSO 55,28%

Karta kredytowa Provi Sm@rt RRSO 55,28%

Złóż wniosek online

Karta kredytowa Provi Sm@rt z limitem odnawialnym do 15 000 zł. Rzeczywista Roczna Stopa Oprocentowania (RRSO) 55,28%. Warunkiem udzielenia kredytu jest pozytywny wynik oceny zdolności kredytowej konsumenta.