Oba określenia pochodzą z języka angielskiego. "Skimming" to przestępstwo polegające na nielegalnym kopiowaniu paska magnetycznego karty bankomatowej czy kredytowej w celu wytworzenia duplikatu oryginalnej karty. Kopia działa tak samo jak oryginał, za pomocą którego dokonywane są transakcje płatnicze.
Karty mogą zostać skopiowane przez cyberprzestępców wszędzie tam, gdzie można dokonywać nimi płatności - m.in. w sklepach, restauracjach czy na stacjach benzynowych. Karty są kopiowane w Polsce, a pozyskane w ten sposób pieniądze wypłacane poza granicami kraju - w ostatnim czasie policja zatrzymała grupę Bułgarów, którzy działali w ten sposób.
Kopiowanie danych
Najczęściej kopiowane są karty, które nie wymagają autoryzacji przy pomocy kodu PIN. Służy do tego małe urządzenie, zawierające czytnik kart oraz pamięć pozwalającą na zapisywanie zawartości pasków magnetycznych. Oszuści podłączają się następnie do komputera i kopiują zawartość pozyskanych w ten sposób informacji.
Znacznie groźniejszą odmianą "skimmingu" jest "skimming bankomatowy". Przestępcy instalują specjalistyczne urządzenia, służące do pozyskiwania zarówno danych paska magnetycznego kart, jak i kodów PIN. Urządzenia mogą być montowane na bankomatach oraz w ich wnętrzu.
Zazwyczaj złodzieje instalują specjalne nakładki na bankomat. Jedna część montowana jest w miejscu, gdzie wsuwa się kartę do bankomatu, druga - z zainstalowaną kamerą podwieszana jest w górnej części urządzenia. Tak zamontowane urządzenia rejestrują dane z paska magnetycznego karty, a za pomocą kamery odczytuje wprowadzany kod PIN.
Aby skutecznie przeciwdziałać takim metodom należy sprawdzić czy czytnik kart nie jest zbyt wypukły, czy klawiatura bankomatu jest równa lub lekko obniżona w stosunku do poziomu obudowy i czy do bankomatu nie są przymocowane odstające elementy.
Ponadto warto wyrobić sobie nawyk regularnego sprawdzania salda rachunku bankowego oraz wyciągów z kart i kont - radzi policja.
Wykradanie poufnych informacji
"Phishing" - celowo błędny zapis słowa fishing (z ang. łowienie ryb) - polega na pozyskiwaniu poufnych informacji osobistych.
Jest kilka teorii na temat tego, skąd wzięło się to określenie. Jedna z nich mówi, że zostało wymyślone w latach 90. przez tzw. crackerów (od angielskiego słowa crack, czyli łamać) próbujących wykraść konta jednego z największych amerykańskich portali internetowych.
Według drugiej, termin ten pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych.
Częstym celem tzw. phisherów są banki czy aukcje internetowe. Internetowi przestępcy rozsyłają pocztą elektroniczną specjalnie przygotowane wiadomości, które udają oficjalną korespondencję z banku, serwisu aukcyjnego lub innych portali.
Zazwyczaj zawierają one informację o rzekomej deaktywacji konta i konieczności ponownej aktywacji. W e-mailu znajduje się odnośnik do strony, na której można dokonać ponownej aktywacji konta. Pomimo że witryna z wyglądu przypomina stronę prawdziwą, w rzeczywistości jest to przygotowana przez przestępców pułapka. W ten sposób nieostrożni i nieświadomi użytkownicy ujawniają swoje dane uwierzytelniające (kody PIN, identyfikatory i hasła).
Casem wystarczy zwykły mail
Zdarza się też, że przestępcy posługują się prostszymi metodami, które polegają na wysłaniu maila z prośbą, czy żądaniem, podania danych służących do logowania na konto i jego autoryzacji.
Innym sposobem działania cyberprzestępców jest wykorzystywanie oprogramowania, zwanego w zależności od swojej formy: robakami, koniami trojańskimi lub wirusami. Takiego "robaka" można ściągnąć korzystając z zainfekowanych witryn internetowych.
Niebezpieczną oraz trudną do wykrycia formą "phishingu" jest tzw. pharming. Zamiast wysyłania fałszywych wiadomości e-mail, przestępcy przekierowują użytkowników wpisujących prawidłowe adresy banku, którego są klientami na fałszywe strony internetowe.
W takich sytuacjach należy pamiętać o tym, że legalne serwisy nie wysyłają maili z prośbą o odwiedzenie i zalogowanie się na stronie. Nie należy też otwierać łączy bezpośrednio z otrzymanego e-maila oraz warto też uaktualniać system i oprogramowanie.
Banki i instytucje finansowe stosują protokół bezpieczeństwa typu HTTPS. Adres tak zabezpieczonej strony WWW rozpoczyna się od wyrażenia "https://", a nie "http://". Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych - przestrzega policja.
