Ten rodzaj ataku jest znany już od wielu lat i co jakiś czas można usłyszeć w mediach o bankomacie, który został obrany za cel. Skimmery, bo o nich mowa, to specjalne urządzenia niewielkich rozmiarów, które są formą nakładki na bankomaty (a konkretniej na miejsce wejścia karty bankomatowej). W dużym uproszczeniu, w momencie skorzystania z takiego bankomatu, następuje skopiowanie danych, na podstawie których atakujący tworzy kopię karty i używa jej niczym oryginału. Niestety operacje dokonywane przez kopię, obciążają posiadacza prawdziwej karty. Zdobycie PIN-u odbywa się zazwyczaj poprzez zamontowanie fałszywej klawiatury lub miniaturowej kamery.
Mimo, że skimming najczęściej dotyczy bankomatów, to może obejmować także inne miejsca. Mało kto spodziewa się takiego ataku przy dystrybutorze na stacji benzynowej. Jak donoszą badacze z firmy Sparkfun[1], w ostatnim czasie mieli możliwość analizy ciekawego przypadku skimmingu na stacji. Sprawa dotyczyła konkretnie dystrybutorów samoobsługowych, przy których klient dokonuje płatności.
Zainstalowany skimmer zawiera moduł Bluetooth, który rozgłasza się jako HC-05. Może to być wskazówka co do obecności skimmera w urządzeniu, z którego klient chce skorzystać. Badacze podkreślają jednak, że moduł ten jest tani i występuje w wielu powszechnie dostępnych na rynku sprzętach, więc nie zawsze jest to wyznacznik tego, że znajdujemy się w pobliżu skimmera. W swoim raporcie firma Sparkfun opisała aplikację na urządzenia mobilne, która sprawdza także inne parametry pozwalające stwierdzić czy w pobliżu jest skimmer.
Zamontowanie urządzenia może trwać poniżej 30 sekund, więc prawdopodobnie mało kto zwróci uwagę na ten fakt. Koszt skimmera to około 10 dolarów.
Co prawda ten atak został odkryty w Ameryce Północnej, jednak warto sprawę nagłośnić. W Polsce również zdarzają się takie ataki na bankomaty. Należy pamiętać, żeby przed włożeniem karty przyjrzeć się bankomatowi lub urządzeniu, do którego wprowadzamy kartę (czyli chociażby wspomnianemu dystrybutorowi lub maszynie z przekąskami). Możemy chwycić za czytnik kart i sprawdzić czy nie jest luźny, a podczas wpisywania PIN-u, zasłonić klawiaturę ręką. W razie wykrycia anomalii na koncie np. nieautoryzowanego zakupu/wypłaty gotówki, trzeba jak najszybciej skontaktować się ze swoim bankiem.
[1] https://learn.sparkfun.com/tutorials/gas-pump-skimmers