W ostatni weekend października 2025 roku polski sektor bankowy znalazł się na czołówkach portali informacyjnych. Powodem była fala nieautoryzowanych wypłat z kont klientów banku Santander, zrealizowanych przez sieć bankomatów obsługiwanych przez zewnętrznego operatora. Skala ataku okazała się znacząca: tylko w Wielkopolsce i na Kujawach odnotowano ponad 120 zgłoszeń, choć pojedyncze przypadki pojawiły się w całym kraju, m.in. w Warszawie, Łodzi i Krakowie. Poziom strat obejmuje zarówno drobne kwoty, jak i wypłaty sięgające kilku tysięcy złotych. Z ustaleń policji wynika, iż przestępcy przejęli dane z kart oraz PIN-y klientów przy użyciu skimmerów, a następnie wypłacali z kont poszkodowanych pieniądze.
“Niezwłocznie po wykryciu zdarzenia, wszystkie karty, które zostały lub potencjalnie mogły zostać dotknięte przestępczym działaniem, zostały zabezpieczone. W banku, we współpracy z operatorem urządzeń, trwa pogłębiona analiza źródła zdarzenia – podejrzewamy zamontowanie nakładek skanujących na bankomatach sieci współpracującej. (…) Bank, po wykryciu transakcji oszukańczych, niezwłocznie wdrożył rozwiązania uniemożliwiające przestępcom dalsze działania. Środki klientów, które zostały w ten sposób skradzione, zostaną zwrócone w poniedziałek” – przekazał w oświadczeniu dla PAP Ban Santander.
Skimming, shimming i socjotechnika – repertuar przestępców
Wstępne ustalenia wskazują na wykorzystanie technik skimmingu, czyli fizycznych nakładek na czytniki kart. To ataki znane od lat, ale ofiary często nie mają szans ich wykryć przed użyciem karty.
Ataki na użytkowników kart zaczynają się od prostej techniki „sprytnych kieszonkowców” – kradzież karty. Ale napastnicy dysponują też wyrafinowanym sprzętem elektronicznym i złośliwym oprogramowaniem. Skimming to klasyczna forma kradzieży danych, która ewoluowała wraz z rozwojem technologii płatniczych. Jej początki sięgają lat, gdy głównym nośnikiem informacji na kartach był pasek magnetyczny. Przestępcy montują specjalne nakładki na bankomatach lub terminalach płatniczych, które wyglądają jak integralna część urządzenia. Dodatkowo, często używa się ukrytej kamery lub specjalnej nakładki na klawiaturę – wszystko po to, by uzyskać i same dane z karty, i kod PIN. Kopiowanie informacji odbywa się bez wiedzy ofiary: wypłata gotówki czy płatność kartą przebiega normalnie i nie budzi podejrzeń, podczas gdy dane zostają przechwycone. W efekcie, przestępcy mogą wykonać kopie karty i przeprowadzić za jej pomocą nieuprawnioną transakcje, nierzadko na drugim końcu świata.
Wraz z upowszechnieniem się kart wyposażonych w chip EMV, również metody ataku musiały ulec dostosowaniu. W tym wariancie wykorzystywane są niezwykle cienkie urządzenia – shimmery. Niewidoczne gołym okiem, bo umieszcza się je wewnątrz czytnika kart. Takie urządzenie jest w stanie przechwycić dane z chipa w tym samym momencie, gdy użytkownik dokonuje transakcji. Ofiara choćby nie podejrzewa obecności shimmera – cała operacja odbywa się w sposób całkowicie ukryty, a ryzyko detekcji przez przypadkowego użytkownika lub obsługę jest minimalne.
Inną powiązaną metodą ataku jest Webskimming, znany też jako e-skimming czy formjacking. Ten rodzaj ataku nie wymaga fizycznego kontaktu z kartą – celem są użytkownicy sklepów internetowych. Napastnicy wstrzykują złośliwy kod JavaScript do stron z formularzami płatności lub koszykami zakupowymi. Mogą też przygotować fikcyjny sklep lub bramkę płatności podszywającą się pod prawdziwy serwis. Kiedy klient wprowadza dane w trakcie finalizowania zakupu, informacje te są natychmiast przekazywane na serwer przestępców, często całkowicie niezauważenie zarówno przez klienta, jak i właścicieli sklepu.
Webskimming nierzadko pozostaje niewykryty przez tygodnie, a choćby miesiące, co pozwala cyberprzestępcom przechwycić dane setek tysięcy użytkowników w bardzo krótkim czasie.
Skala zagrożenia w Polsce i na świecie
Polska w 2025 roku znalazła się na podium państw najbardziej narażonych na cyberataki w sektorze finansowym – tylko w tym roku sektor publiczny i banki wydały już ponad 3 miliardy złotych na ochronę systemów przed oszustami i hakerami. Niestety, masowe ataki na bankomaty to nie tylko polska specyfika: podobne zdarzenia zanotowano w ostatnich miesiącach także w Hiszpanii i Czechach, gdzie przerwy w dostępie do infrastruktury były wykorzystywane do podobnych działań.
W 2018 roku w Europie ujawniono operację grupy przestępczej, która zainstalowała urządzenia skimmingowe na setkach bankomatów, używając ukrytych kamer oraz kopiujących paski magnetyczne. Pozyskane dane tysięcy kart wykorzystano do poważnych oszustw finansowych.
W lipcu 2023 roku wykryto urządzenia do kopiowania kart płatniczych w co najmniej pięciu placówkach sieci Walmart w Nowym Jorku, obejmując liczne transakcje i wielu poszkodowanych klientów.
Skimmer znaleziony w sieci Walmart w USA. https://kmph.com/news/local/sanger-community-reminded-about-the-dangers-of-card-skimmersSieć restauracji Food City w USA padła ofiarą ataku, kiedy w kilku lokalach zainstalowano skimmery na terminalach POS, przechwytując dane z ponad stu transakcji.
W największych atakach skimmingowych na świecie przestępcy instalowali urządzenia rejestrujące dane na dziesiątkach maszyn jednocześnie – w rekordowym przypadku w Bułgarii w latach 2017–2018 przejęto dane kilkunastu tysięcy kart w ciągu jednego weekendu.
Co robić? Jak się bronić?
Edukacja i czujność pozostają najskuteczniejszą tarczą:
- Zasłaniaj klawiaturę przy bankomacie.
- Korzystaj tylko z oficjalnych aplikacji.
- Pamiętaj też o możliwości natychmiastowej blokady karty i zgłaszaj każdy podejrzany ruch.
- Ustaw limity wypłat przy użyciu karty. Zawsze możesz je zmienić!
