Скимминг в банкоматах нового поколения (с биометрией и NFC)

[Good Carder]

Обход распознавания лица через deepfake, перехват NFC-транзакций через модифицированные считыватели, техника «таг-плагин», продажа дампов через даркнет-билборды.​

От кардера — кардерам. Скимминг не умер. Он мутировал. Пока вы возитесь с API и антидетектом, настоящие профи уже переключились на банкоматы нового поколения. Там где обычный кардер видит сложности, профессионал видит возможности. Биометрические датчики, NFC-модули, онлайн-банкинг — всё это новые векторы атак, которые открывают доступ к сотням тысяч долларов. В 2026 году банки потратили миллиарды на внедрение сложных систем безопасности. Но эти системы основаны на уязвимых алгоритмах, которые уже взломаны.

Эта статья — карта местности. От подмены видеопотока для обхода распознавания лиц до NFC-ретрансляции через заражённые смартфоны. Я расскажу, как устроены атаки на банкоматы нового поколения и как продать украденные треки на даркнет-билбордах. Забудьте о пластиковой накладке из 2018-го. Это война алгоритмов, и в ней побеждает не тот, у кого толще желе, а тот, кто умеет переигрывать искусственный интеллект.

Часть 1. От накладки к алгоритму: почему старая школа умирает​

До недавнего времени скимминг был ремеслом умельцев с паяльником. Накладка на картридер, камера, маскирующаяся под накладку на PIN-панель, – и вот вы владелец данных десятков карт. Банкоматы сражались с этим, устанавливая антискимминговые щитки и детекторы наложения. В 2026 году обычный накладной скиммер на банкомате - это анахронизм. Однако, как показывают недавние операции Секретной службы США, с начала 2026 года было изъято пять скимминговых устройств, предотвратив потенциальные убытки в размере более $5,2 млн. Метод жив, но умирает.

Почему?

Потому что современные банкоматы оснащены модулями биометрической аутентификации: сканерами отпечатков пальцев, датчиками радужной оболочки глаза, а главное — камерами для распознавания лиц и NFC-считывателями. Взломать их старыми методами невозможно. Более того, миллионы долларов инвестируются в системы, которые требуют подтверждения операции через мобильное приложение, связанное с биометрией. Атака сместилась из физической плоскости в цифровую.

Киберпреступники сегодня чаще используют для атак на банкоматы не физические накладки, а вредоносное ПО и взлом систем идентификации. И старый добрый шимминг, и jackpotting — в тренде. Современные атаки включают эксплуатацию уязвимостей на уровне сетевого взаимодействия, релейные атаки и внедрение вредоносного ПО, которое может годами ждать своего часа в системе банка. И в 2026–2027 годах новые уязвимости нулевого дня в банкоматах, особенно в их NFC-модулях и протоколах авторизации, оцениваются на чёрном рынке в 300000—1 млн.

Часть 2. Deepfake-маски и кастомная прошивка камер​

Самый "футуристичный" вектор атаки — обход биометрической аутентификации. Современные банкоматы всё чаще используют камеры и алгоритмы распознавания лиц. Это может быть как дополнительный фактор безопасности, так и основной метод входа в систему «Карта-Фейс-ПИН» (без физической карты). И его можно взломать.

2.1. Виртуальные камеры: как обмануть распознавание лиц​

Классический метод — подключение внешнего устройства, эмулирующего видеоустройство, и подмена видеопотока на заготовленный deepfake. В 2026 году Telegram-каналы открыто рекламируют инструменты, использующие технологию виртуальной камеры, чтобы подменить видеопоток с камеры телефона на поддельный, позволяя кардерам проходить проверки «живого лица» (liveness detection) в банковских приложениях и сервисах. В даркнете активно рекламируются инструменты для обхода биометрического KYC, которые используют дипфейки и замену видеопотока. Некоторые из них продаются вместе с поддельными документами, позволяя создать полностью синтетическую личность для открытия счетов и вывода средств.

Применительно к банкомату это означает, что атакующий может физически подключить к камере устройство, которое будет транслировать заранее записанное видео реального клиента. В некоторых случаях для этого требуется взлом firmware камеры, но на практике достаточно перехватить USB-поток.

2.2. Hardware-Level Deepfake Attack​

Более сложный, но самый надёжный метод. Атакующий перехватывает питание камеры и подменяет чип, отвечающий за обработку изображения (ISP). Прошивка камеры патчится так, чтобы вместо реального лица подставлять заранее сгенерированное изображение нужного человека. Это требует глубоких знаний электроники, но такие кастомные устройства уже продаются на теневых форумах. Цена вопроса — от 5000 до 20 000 в зависимости от модели банкомата.

В ходе демонстрации на конференции RSAC 2026 года исследователь использовал нейросетевые модели для генерации поддельного лица, которое успешно прошло проверку в системе распознавания. Используя сгенерированное изображение, он смог открыть реальный банковский счёт и получить доступ к финансовым услугам. Это подтверждает, что даже современные системы не всегда способны отличить живого человека от его AI-копии.

Банки осознают эту угрозу. Они переходят к комбинированной аутентификации, требуя не только лицо, но и отпечаток пальца (который тоже можно подделать), а также подтверждение через приложение на доверенном устройстве.

Часть 3. Техника «Tag Plug» и перехват NFC-сигнала​

Магнитная полоса умирает, и вместе с ней — традиционные скиммеры. На смену им приходит перехват NFC-трафика. Атакующему больше не нужно читать данные карты через накладку — достаточно поднести к карте жертвы модифицированный NFC-считыватель на несколько секунд.

3.1. Пассивный скимминг​

Современные карты с функцией бесконтактной оплаты постоянно излучают сигнал. Атакующий может использовать специальный RFID-усилитель и считыватель, чтобы перехватить данные карты на расстоянии до 50 см через сумку или карман. Этого достаточно для совершения мелких транзакций (PayPass/PayWave) до определённого лимита, который варьируется от страны к стране.

Повышенный риск возникает при использовании банкоматов с функцией бесконтактной оплаты. В таких банкоматах NFC-считыватель установлен на передней панели. Атакующий может установить поверх него свой считыватель, который будет считывать данные карты жертвы при её поднесении к банкомату.

3.2. Активные ретрансляционные атаки (Relay Attack) через заражённый Android​

Этот метод гораздо опаснее и основан на создании «цифрового моста» между телефоном жертвы и банкоматом. Он уже стал реальностью.

В 2026 году ESET Labs обнаружил новый вариант Android-вредоносного ПО, названный NGate. Кардеры взяли легитимное приложение HandyPay, использующееся для ретрансляции NFC, и внедрили в него вредоносный код, предположительно сгенерированный искусственным интеллектом.

Как это работает:

1. Зарази. Атакующие рассылают ссылки на поддельные лотерейные сайты или фейковые страницы Google Play. Жертва скачивает троянизированное приложение HandyPay.
2. Сбор данных. Вредоносное ПО на телефоне жертвы перехватывает NFC-данные банковской карты, когда жертва подносит её к телефону (думая, что оплачивает что-то или проверяет баланс). Параллельно зловред крадёт введённый пользователем ПИН-код через оверлей или кейлоггер.
3. Эмуляция. Кардер берёт полученные данные и подносит свой телефон, на котором эмулируется цифровая копия карты жертвы, к банкомату или POS-терминалу, поддерживающему бесконтактную оплату.
4. Кэшаут. В банкомате атакующий вводит украденный PIN-код и снимает наличные.

3.3. DevilNFC: kiosk mode-ловушка​

Ещё одно новое семейство Android-зловредов — DevilNFC. Оно не просто крадёт NFC-данные, но и использует функцию «kiosk mode», чтобы заблокировать телефон жертвы, выводя на экран поддельное банковское приложение. Жертва думает, что проходит верификацию, вводит PIN-код, а тем временем зловред в фоне ретранслирует данные карты подельнику, стоящему у банкомата. Деньги уходят в считанные минуты.

Некоторые реализации этих атак позволяют устанавливать соединение на расстоянии до 400 миль, превращая телефон в удалённый NFC-ретранслятор. Представьте масштаб: жертва в Нью-Йорке случайно подносит телефон к считывателю, а в это время в Лас-Вегасе с её карты снимают наличные через скомпрометированный банкомат.

Часть 4. Клонирование EMV-чипов: новая надежда​

Атаки с перехватом данных (треков) и записью их на магнитную полосу для клонирования давно не работают в большинстве стран. Но появляются новые уязвимости: исследователи Black Hat 2026 года представили технику эксплуатации протокола EMV, позволяющую создавать клоны карт, эмулирующие чип. Это не просто запись на болванку, это программная эмуляция чипа через модифицированное устройство, которое отвечает на запросы терминала так, как если бы это был реальный чип.

Продажа таких эмуляторов на даркнете — растущий бизнес. Они работают не со всеми банками, но процент успеха растёт.

Часть 5. PIN-скрейпинг и таг-плагины​

Магнитная полоса умирает, а вот PIN-коды живы и востребованы.

• Deep Insert Skimmer. Устройство устанавливается глубоко внутрь слота для карты, где его невозможно заметить без разбора банкомата. Оно читает данные чипа/магнитной полосы и отправляет их по Bluetooth атакующему.
• PIN Overlay. Технология не меняется. Накладка на клавиатуру записывает PIN, а встроенная камера снимает его ввод или передаёт через скрытый Bluetooth-модуль. Современные накладки изготавливаются на 3D-принтерах и почти неотличимы от оригинала.
• Camera Skimmer. Микро-камера устанавливается над клавиатурой или рядом с картридером и записывает PIN.

Часть 6. Мониторинг даркнета и продажа дампов​

Дампы банкоматов активно продаются на закрытых форумах даркнета. Каналы утечек и системы мониторинга тёмной сети отслеживают продажу корпоративных данных и учётных записей, и это лишь вершина айсберга. Кроме того, банки платят за баг-баунти на уязвимости банкоматов, что создаёт дополнительный рынок данных для white-hat и grey-hat кардеров.

Часть 7. Защита банкоматов (и ваша контраргументация)​

Банки не стоят на месте:

• Шумогенерация и GPS-трекеры внутри сейфов.
• Anti-Skimming Technology. Внутренние датчики, блокирующие работу при обнаружении посторонних устройств.
• Корреляция активности. Система блокирует карту, если за короткое время с ней производятся операции на разных банкоматах (признак ретрансляции).
• Шторки на картридере. Физически блокируют доступ.

Резюме от кардера​

Скимминг в банкоматах нового поколения — это не физический, а цифровой рубеж. Deepfake-маски обходят распознавание лиц, NFC-ретрансляция через DevilNGO, NGate и другие трояны превращает телефоны жертв в карты-ретрансляторы, а таг-плагины и PIN-оверлеи остаются в арсенале для точечных атак. 5G-интеграция только ускоряет процесс: скимминг становится мгновенным и удалённым.

Традиционный скимминг умирает, уступая место гибридным атакам, где комбинируются социнженерия, вредоносное ПО и физическое оборудование. Продажа дампов на даркнете — это огромный рынок, на котором можно заработать, но и не спалить себя.

Быстрая памятка на одну строку:
«Пластик больше не нужен. Deepfake обходит лицо, DevilNFC крадёт карту из телефона за секунды. NGate ретранслирует сигнал на любой банкомат мира. PIN-оверлей и таг-плагины собирают пароли. Банкоматы 2027 года — это не крепости, а цифровые ворота, которые можно открыть правильным алгоритмом. Старые методы мертвы. Добро пожаловать в 2027-й, где побеждает тот, кто лучше программирует, а не тот, у кого толще накладка»