Shimming – ewolucja kradzieży danych: Jak działa "niewidzialny" złodziej w Twoim bankomacie i jak się bronić?

Shimming – ewolucja kradzieży danych: Jak działa „niewidzialny” złodziej w Twoim bankomacie i jak się bronić?

  • Czas czytania8 min.

Wyobraź sobie, że wypłacasz gotówkę z bankomatu. Szarpiesz za czytnik kart – wszystko wydaje się stabilne. Nie ma żadnej nakładki, kleju ani wystających kabli. Wkładasz kartę, wpisujesz PIN i odchodzisz. Tydzień później Twoje konto jest puste. Witaj w erze shimmingu – zagrożenia, którego nie widać gołym okiem, a które w latach 2024-2025 stało się koszmarem dla banków i klientów w Europie.

SPIS TREŚCI

Obejrzyj na YouTube / Posłuchaj podcastu

Reklama
Kluczowe wnioski
  • Co to jest shimming i czym różni się od skimmingu?

    Shimming to technika kradzieży danych wykorzystująca papierowo cienką płytkę (shim) wsuwaną do wnętrza terminala, która atakuje czip EMV. W przeciwieństwie do skimmingu, który używa zewnętrznych nakładek na paski magnetyczne, shimmer jest całkowicie niewidoczny z zewnątrz.

  • Czy karty z czipem są bezpieczne przed skopiowaniem?

    Nie w 100%. Choć czipa EMV nie da się sklonować bezpośrednio, shimmery przechwytują dane transakcyjne (w tym kod iCVV), co pozwala przestępcom stworzyć fałszywą kartę magnetyczną działającą w trybie fallback (awaryjnym) w zagranicznych bankomatach.

  • Jak najskuteczniej chronić się przed kradzieżą danych z karty?

    Najlepszą metodą obrony jest unikanie fizycznego kontaktu karty z czytnikiem poprzez stosowanie płatności zbliżeniowych (NFC) lub systemu BLIK. Warto również ustawić niskie limity dzienne na transakcje kartowe w aplikacji mobilnej banku.

Czym dokładnie jest shimming i jak ewoluował ze skimmingu?

Shimming to zaawansowana metoda kradzieży danych z kart płatniczych (Card-Present Fraud), polegająca na umieszczeniu wewnątrz slotu czytnika ultracienkiego układu scalonego (shimmer), który przechwytuje komunikację między czipem EMV a terminalem płatniczym lub bankomatem.

Tradycyjny skimming odchodzi do lamusa. Przestępcy wiedzą, że nauczyliśmy się szukać podejrzanych, plastikowych nakładek na bankomatach. Dlatego zeszli do podziemia – dosłownie wchodząc w głąb maszyny. Shimming to ewolucja wymuszona przez technologię. Wprowadzenie standardu EMV (Europay, Mastercard, Visa) miało wyeliminować kopiowanie pasków magnetycznych. Odpowiedzią złodziei jest „Man-in-the-Middle” – atak, w którym szpieg siedzi cicho między Twoją kartą a bankiem.

Jeśli Twoja karta wchodzi do terminala z nietypowym oporem lub wydaje się, że slot jest „zbyt ciasny”, nie używaj siły. To może być pierwszy i jedyny sygnał, że wewnątrz znajduje się shimmer.

Jak wygląda i działa urządzenie typu shimmer? (Analiza techniczna)

Urządzenie typu shimmer to elastyczna płytka drukowana (flex-PCB) o grubości mniejszej niż 0,1 mm, wyposażona w mikrokontroler i pamięć flash, którą wsuwa się głęboko do czytnika kart (Deep Insert Skimmer), czyniąc ją niewidoczną dla użytkownika.

Reklama

Technologia stojąca za shimmingiem jest imponująca i przerażająca zarazem. Shimmer nie potrzebuje własnego zasilania w stanie spoczynku – często „kradnie” prąd z terminala w momencie, gdy ten zasila czip Twojej karty.

Anatomia Shimmera:

  • Nośnik: Poliamidowy laminat, wytrzymały i elastyczny.
  • Sercem układu: Mikrokontroler (np. z rodziny ATtiny lub dedykowane układy ASIC), który zarządza logiką przechwytywania komend APDU (Application Protocol Data Unit).
  • Komunikacja: Nowoczesne shimmery posiadają moduły radiowe lub Bluetooth Low Energy (BLE), co pozwala przestępcom pobierać skradzione dane, stojąc kilka metrów od bankomatu, bez konieczności wyjmowania urządzenia.
Czy Twoja karta z czipem jest naprawdę bezpieczna (Mechanizm ataku)

Czy Twoja karta z czipem jest naprawdę bezpieczna? (Mechanizm ataku)

Mimo że karty chipowe są bezpieczniejsze niż magnetyczne, atak shimmingowy pozwala na skopiowanie kodu iCVV (Dynamic CVV) i stworzenie duplikatu karty, który zadziała w terminalach akceptujących transakcje w trybie Magstripe Fallback lub w krajach o niższych standardach bezpieczeństwa.

Tu dochodzimy do sedna problemu. Wiele osób wierzy w mit: „Mam czip, więc nikt mnie nie skopiuje”. To prawda, że kluczy kryptograficznych czipa nie da się łatwo wyciągnąć. Ale shimming nie atakuje kryptografii – atakuje luki w systemie bankowym.

Reklama

Jak przestępcy zamieniają czip na pasek?

  1. Przechwycenie: Shimmer nagrywa wymianę danych między kartą a terminalem. Pobiera numer karty, datę ważności i – co kluczowe – kod iCVV.
  2. Klonowanie: Złodzieje zapisują te dane na pasku magnetycznym czystej karty.
  3. Atak „Downgrade”: Przestępca idzie do sklepu z tak spreparowaną kartą. Celowo uszkadza na niej czip. Terminal próbuje odczytać czip, nie udaje mu się i prosi o „użycie paska magnetycznego” (to tzw. Fallback).
  4. Kradzież: Jeśli system bankowy nie sprawdzi poprawności kodu iCVV dla transakcji paskowej (a wciąż zdarzają się takie luki konfiguracyjne), transakcja przejdzie.
Jak wygląda i działa urządzenie typu shimmer (Analiza techniczna)

Analiza przypadku: Ataki w Polsce

W październiku 2025 roku Santander Bank Polska stał się celem zmasowanego ataku, w którym klienci z Bydgoszczy i Wielkopolski stracili środki w wyniku działania grupy przestępczej wykorzystującej zaawansowane techniki skimmingu i prawdopodobnie shimmingu na bankomatach zewnętrznych operatorów.

Studium Przypadku: Polska, Październik 2025 W weekend 25-26 października 2025 r., setki klientów Santandera zgłosiły nieautoryzowane wypłaty. Przestępcy działali błyskawicznie. Choć wstępne raporty policyjne mówiły o „skimmingu”, charakter ataku (brak widocznych nakładek, masowość w konkretnych regionach) sugeruje użycie technologii „Deep Insert”, która jest trudna do wykrycia przez standardowe czujniki anty-skimmingowe. Bank zareagował blokadami i zwrotami środków, ale incydent pokazał, że fizyczne ataki na infrastrukturę wciąż są groźne.

Co zrobić, aby nie stracić pieniędzy? (Poradnik dla konsumenta)

Najskuteczniejszą obroną przed shimmingiem jest rezygnacja z fizycznego użycia karty na rzecz płatności mobilnych (Apple Pay, Google Pay) oraz kodów BLIK, które wykorzystują tokenizację i nie udostępniają terminalowi prawdziwych danych karty.

Reklama

Twoja plastikowa karta to klucz do Twojego skarbca. Nie wkładaj go do zamka, któremu nie ufasz.

Strategia obronna 2026:

  1. Tap to Pay: Zbliżaj. Płatność zbliżeniowa jest bezpieczna przed shimmingiem, ponieważ czip nie wchodzi w fizyczny kontakt z pasożytem w środku.
  2. BLIK to Twój przyjaciel: W Polsce mamy luksus posiadania BLIK-a. Wypłacając z bankomatu, używaj kodu. Nie ma karty = nie ma co skopiować.
  3. Limity w aplikacji: Ustaw limit wypłat gotówkowych na poziomie np. 200-300 zł. W razie ataku, złodziej nie wyczyści konta do zera.
  4. Zasłaniaj PIN: Nawet jeśli ukradną dane z paska/czipa, bez PIN-u często nie wypłacą gotówki. Shimmingowi często towarzyszy mikrokamera ukierunkowana na klawiaturę.
Shimming

Podsumowanie

Shimming to technologiczny wyścig zbrojeń. W latach 2024-2025 widzieliśmy, jak przestępcy adaptują się do zabezpieczeń czipowych, wykorzystując miniaturyzację i luki w starych systemach. Dla przeciętnego użytkownika wniosek jest jeden: fizyczna karta plastikowa staje się najsłabszym ogniwem. Przyszłość bezpiecznych płatności leży w tokenizacji (telefon/zegarek) i biometrii, gdzie dane są dynamiczne i bezużyteczne dla złodzieja po przechwyceniu.

Shimming Niewidzialny Złodziej w Bankomacie.

Słownik kluczowych terminów

  • APDU (Application Protocol Data Unit): Jednostka danych protokołu aplikacji; w kontekście shimmingu odnosi się do komend wymienianych między czipem EMV a terminalem, które są przechwytywane przez mikrokontroler.
  • BLIK: Polski system płatności mobilnych, który pozwala na dokonywanie transakcji (w tym wypłat z bankomatów) za pomocą jednorazowych kodów. Jest to metoda odporna na shimming, ponieważ nie wymaga użycia fizycznej karty.
  • Card-Present Fraud: Oszustwo z fizycznym użyciem karty; kategoria przestępstw, do której zalicza się shimming, gdzie dane są kradzione w momencie, gdy karta jest fizycznie obecna w terminalu lub bankomacie.
  • Deep Insert Skimmer: Inna nazwa urządzenia typu shimmer, podkreślająca, że jest ono wsuwane głęboko do wnętrza czytnika kart, w przeciwieństwie do zewnętrznych nakładek skimmingowych.
  • EMV: Globalny standard dla kart płatniczych z czipem, stworzony przez Europay, Mastercard i Visa. Jego celem było zwiększenie bezpieczeństwa i wyeliminowanie oszustw związanych z klonowaniem paska magnetycznego.
  • Flex-PCB (Flexible Printed Circuit Board): Elastyczna płytka drukowana; technologia używana do budowy shimmerów, pozwalająca na stworzenie ultracienkiego i giętkiego urządzenia, które można wsunąć do czytnika.
  • iCVV (Dynamic CVV): Dynamiczny kod bezpieczeństwa generowany przez czip EMV dla każdej transakcji. Jego przechwycenie przez shimmer jest kluczowe, ponieważ pozwala przestępcom na autoryzację transakcji w trybie awaryjnym na sklonowanej karcie magnetycznej.
  • Magstripe Fallback: Tryb awaryjny w terminalach płatniczych, który pozwala na przeprowadzenie transakcji za pomocą paska magnetycznego, gdy odczyt czipa EMV z jakiegoś powodu się nie powiedzie. Jest to luka systemowa wykorzystywana w atakach shimmingowych.
  • NFC (Near Field Communication): Komunikacja bliskiego zasięgu; technologia umożliwiająca płatności zbliżeniowe (Tap to Pay). Chroni przed shimmingiem, ponieważ nie dochodzi do fizycznego kontaktu między kartą a wewnętrznymi elementami czytnika.
  • Shimmer: Ultracienkie urządzenie (elastyczna płytka drukowana z mikrokontrolerem) wsuwane do wnętrza czytnika kart w celu przechwycenia danych z czipa EMV.
  • Shimming: Zaawansowana metoda kradzieży danych z kart płatniczych polegająca na umieszczeniu w czytniku niewidocznego urządzenia (shimmera), które działa jako „Man-in-the-Middle” między kartą a terminalem.
  • Skimming: Starsza metoda kradzieży danych polegająca na montowaniu na zewnątrz bankomatu lub terminala fałszywej nakładki, która kopiuje dane z paska magnetycznego karty.
  • Tokenizacja: Proces zastępowania wrażliwych danych karty (np. jej numeru) unikalnym, losowym ciągiem znaków zwanym tokenem. Jest to podstawa bezpieczeństwa płatności mobilnych (Apple Pay, Google Pay).

Najczęściej zadawane pytania

Jak wygląda urządzenie do shimmingu?

Urządzenie to jest niemal niewidoczne. To cienka, elastyczna płytka z układem scalonym (często koloru srebrnego lub miedzianego), która jest w całości schowana wewnątrz slotu na kartę. Z zewnątrz bankomat lub terminal wygląda nienaruszenie.

Reklama

Czy bank zwróci mi pieniądze po ataku shimmingowym?

Tak, zgodnie z unijnymi przepisami, bank ma obowiązek zwrócić środki z nieautoryzowanej transakcji, chyba że udowodni rażące niedbalstwo klienta (np. zapisanie PIN-u na karcie). Procedura ta (reklamacja lub chargeback) jest standardem, co potwierdził Santander po incydentach w 2025 roku.

Co zrobić po kradzieży danych z karty lub podejrzeniu ataku?

Natychmiast zablokuj kartę w aplikacji mobilnej. Następnie zgłoś sprawę na infolinii banku i zamów nową kartę. Jeśli doszło do kradzieży środków, złóż reklamację i zawiadomienie na policji.

Czy używanie funkcji zbliżeniowej (NFC) chroni przed shimmingiem?

Tak, wymaga fizycznego kontaktu styków urządzenia ze stykami karty wewnątrz czytnika. Przy płatności zbliżeniowej ten kontakt nie następuje, więc shimmer nie ma możliwości odczytania danych.

Jak sprawdzić, czy w bankomacie jest shimmer?

Jest to bardzo trudne. Możesz przeprowadzić „test oporu” – wsuwając kartę, zwróć uwagę, czy nie napotyka ona na nietypowy opór lub tarcie. Jeśli tak, nie wpisuj PIN-u, zabierz kartę i zgłoś to bankowi. Najbezpieczniej jest używać bankomatów zlokalizowanych wewnątrz oddziałów banków.

Reklama

Zastrzeżenie: Niniejszy artykuł ma charakter wyłącznie edukacyjny i informacyjny. Autor nie ponosi odpowiedzialności za ewentualne straty finansowe wynikające z zastosowania się do porad w nim zawartych. W sprawach bezpieczeństwa finansowego zawsze konsultuj się bezpośrednio ze swoim bankiem.

Reklama
TEMATY:
Podziel się swoją opinią:
Michał Koński
Michał Koński

Jestem autorem bloga Bankowe ABC i specjalistą z dwudziestoletnim doświadczeniem w zakresie analizy ryzyka kredytowego, zdobytym w Ford Credit Europe, będącym częścią Ford Motor Company. Moja wiedza obejmuje szeroki wachlarz produktów finansowych sektora motoryzacyjnego, w tym Trade Cycle Management, wymogi prawne, operacyjne, ocenę ryzyka, raportowanie oraz marketing.

Posiadam wieloletnie doświadczenie w prowadzeniu prac analitycznych IT, zwłaszcza w analizie biznesowej i systemowej dotyczącej systemów do obsługi wniosków i przygotowywania dokumentacji kredytowej. Moje umiejętności obejmują tworzenie i dostosowywanie procedur bankowych oraz wewnętrznych instrukcji, a także narzędzi wspomagających proces oceny ryzyka kredytowego. Wdrażałem kluczowe regulacje prawne takie jak Rekomendacja T, Ustawa o Kredycie Konsumenckim, RODO oraz Ustawa o Przeciwdziałaniu Praniu Pieniędzy.

Artykuły: 605

Zapisz się na newslettera

Wprowadź swój adres e-mail poniżej, aby otrzymywać newslettera.

Wyrażam zgodę na przetwarzanie danych osobowych (adres e-mail) w celu otrzymywania wiadomości w ramach newslettera Bankowe ABC.
Zapisując się wyrażasz zgodę na otrzymywanie wiadomości drogą mailową. W celu uzyskania szczegółów zapoznaj się z polityką prywatności. Otrzymasz maksymalnie 2 wiadomości w miesiącu, bez reklam i spamu. Możesz wypisać się w każdej chwili.

Ostatnio opublikowane na ten temat:

Popularne artykuły

Rewolucja subskrypcyjna w ING Banku Śląskim: Analiza nowych Kont w Planie (Go, More, Extra, Max) od 22 kwietnia 2026 r.
Rewolucja subskrypcyjna w ING Banku Śląskim: Analiza nowych Kont w Planie (Go, More, Extra, Max) od 22 kwietnia 2026 r.
Ból Płacenia: Dlaczego karta i telefon bolą mniej niż gotówka?
Ból Płacenia: Dlaczego karta i telefon bolą mniej niż gotówka?
Mindset wczesnego adoptującego: Jak psychologia AI i nowych technologii zmienia inwestowanie w 2026 roku?
Mindset wczesnego adoptującego: Jak psychologia AI i nowych technologii zmienia inwestowanie w 2026 roku?
Wyrok TSUE w sprawie C-744/24: Czy bank może pobierać odsetki od kosztów kredytu i ubezpieczeń?
Wyrok TSUE w sprawie C-744/24: Czy bank może pobierać odsetki od kosztów kredytu i ubezpieczeń?