Несанкционированное считывание номеров клиентских платежных карт представляет серьезную угрозу. В простейшем случае так называемый «скимминг» (от английского skimming, «снятие сливок». — Прим. перев.) может производиться нечистоплотным сотрудником ресторана или магазина, считывающим данные клиентской платежной карты с помощью специального портативного устройства — скиммера. Существуют и более сложные схемы, предусматривающие получение информации непосредственно с кассового терминала по несанкционированно подключенному к нему кабелю или подмену терминала на оборудование, которое обслуживает интересы преступников, а не продавца.
В руководстве Skimming Prevention: Best Practices for Merchants («Предотвращение скимминга: рекомендации для торговых предприятий»), выпущенном организацией Payment Card Industry Security Standards Council, подчеркивается, что даже крошечная камера способна зафиксировать все учетные данные платежной карты, включая PIN-код. Миниатюрные цифровые камеры нередко обнаруживают в подвесном потолке, над клавиатурой, предназначенной для ввода PIN-кода, или в непосредственной близости от нее, их прячут в контейнеры для рекламных листовок или в коробки для пожертвований. Злоумышленники используют миниатюрные камеры для записи момента ввода PIN-кода владельцем карты.
В руководстве Skimming Prevention приведены фотографии, призванные проиллюстрировать работу подобных считывающих устройств и показать продавцам, на что им следует обратить особое внимание.
На сегодняшний день скимминг является наиболее распространенной угрозой, с которой приходится сталкиваться представителям отрасли платежных карт. Выявлено уже несколько десятков разновидностей технологий и оборудования для скимминга, убытки от применения которых составили от нескольких тысяч до нескольких миллионов долларов.
По словам Троя Лича, технического директора PCI Security Standards Council, зарегистрированы случаи, когда платежные терминалы физически похищаются, а затем возвращаются на прежнее место. При этом никаких внешних изменений продавец не замечает, но теперь модифицированные терминалы передают криминальным элементам всю информацию, представляющую для них интерес. Также рекомендации призывают обращать особое внимание на внезапное появление на оборудовании новых наклеек: дело в том, что за этими наклейками могут скрываться отверстия, проделанные с помощью сверла.
Следует отметить, что ранее выпускавшиеся терминалы оказываются более уязвимыми по сравнению с новыми. Поэтому торговым предприятиям перед покупкой оборудования рекомендуется проверить его на соответствие требованиям PCI PTS Security Evaluation.
В руководстве Skimming Prevention перечислен ряд мер, которые помогут торговым предприятиям минимизировать риски. К ним, в частности, относятся проверка послужного списка кандидатов перед их приемом на работу, а также тщательный контроль за физическим местоположением и конфигурацией терминалов с регистрацией их серийного номера, модели и сведений об изготовлении и модернизации с целью исключения внесений любых несанкционированных изменений.