Кардеры начали брать на вооружение новую разновидность скимминга — шимминг

Шим» подсаживается при помощи специальной карты-носителя: её просовывают в щель банкомата, где тонкий «шим» подсоединяется к контактам, считывающим данные с карт, после чего карта-носитель удаляется. Дальше всё работает, как и при традиционном скимминге — т.е. со вставляющихся в банкомат пластиковых карт тихонько считываются все важные данные, которые затем используются злоумышленниками для производства карт-дубликатов и снятия с их помощью денег. Единственное, но крайне важное отличие от скимминга состоит в отсутствии каких-либо внешних признаков того, что в банкомате сидит «жучок».

Исходя из спецификаций, регулирующих размеры щели кард-ридера, толщина «шима» не должна превышать 0,1 мм, поскольку иначе он будет мешать пластиковым картам. Это примерно вдвое тоньше человеческого волоса.

Для примера эксперт приводит сравнения: толщина банковской карты составляет примерно 0,76 мм, крупицы соли — 0,5 мм, человеческого волоса — 0,18 мм, а плата для шимминга в 2 раза тоньше волоса!

Кроме того, «шим» должен обладать определённой гибкостью, иначе его невозможно будет внедрить в банкомат. Конечно, это ещё не нанотехнологии, однако всё равно производство такой платы — задача нетривиальная.

Однако по крайней мере у одной группировки кардеров уже имеются технические средства для массового производства «шимов». По данным Хири, такое производство уже налажено, и «шимы» широко используются «в определённых частях Европы».

Эксперт Cisco называет одну из главных причин того, что скимминг (и, соответственно, шимминг) работает: в большинстве случаев данные, которыми обмениваются пластиковые карты и банкоматы, идут в открытом, нешифрованном виде. Тем не менее многие устройства для ввода PIN-кода поддерживают считывание этого кода в зашифрованном виде (при помощи публичного ключа). Хири считает, что использование этой возможности может стать преградой для злоумышленников.

Как правило, кардеры чаще всего получают PIN-коды в открытом виде — при помощи либо скрытых видеокамер, нацеленных на клавиатуру банкомата, либо фальшивых клавиатур-накладок. К сожалению, даже если пользователи хорошо изучили все меры противодействия скиммингу, от них нет никакой пользы при шимминг-атаках.