Shimming-hyökkäys edustaa kehittynyttä kyberuhkaa, joka kohdistuu sirupohjaisten maksukorttien turvallisuuteen. Toisin kuin vanhemmat skimmauksen tekniikat, jotka keskittyivät magneettijuovaan, shimming hyödyntää erityisesti siruteknologiaa, joka on suunniteltu parantamaan maksutapahtumien turvallisuutta. Näissä hyökkäyksissä tekijä asettaa shimmin - paperinohuen, lähes näkymättömän laitteen, joka on varustettu mikrosirulla ja flash-muistilla - kortinlukijan aukkoon. Tämä laite on viekkaasti suunniteltu sieppaamaan ja tallentamaan tietoja, joita vaihdetaan sirukortin ja maksupäätteen välillä maksutapahtuman aikana. Kun tiedot on tallennettu, hyökkääjät voivat poimia ne, jolloin he voivat jäljentää kortin tiedot suorittaakseen luvattomia maksutapahtumia tai myydä tiedot dark webissä.
Shimming-hyökkäys voidaan jakaa useisiin erillisiin vaiheisiin:
Asennus ja asentaminen: Tekijät asettavat huomaamattomasti shimmin POS-päätteen tai pankkiautomaatin korttipaikkaan. Vaihtoehtoisesti he voivat asentaa salaa haittaohjelman, joka toimii samoin kuin fyysinen shimmi.
Tietojen sieppaus: Kun sirukorttia käytetään viallisessa päätelaitteessa, shimmi laite tai haittaohjelma sieppaa maksutapahtuman tiedot, mukaan lukien kortin tiedot ja joskus jopa PIN-koodin, jos shimmi on tarpeeksi kehittynyt.
Tietojen poiminta: Hyökkääjä noutaa myöhemmin siepatut tiedot joko poistamalla fyysisesti shimmi laitteen tai pääsemällä tietoihin etäyhteydellä, jos käytetään ohjelmistopohjaista lähestymistapaa.
Luvaton käyttö: Varastetuilla tiedoilla rikolliset voivat luoda kloonattuja magneettijuovakortteja (koska sirun jäljentäminen on huomattavasti vaikeampaa) tai aloittaa luvattomia maksutapahtumia verkossa, joissa vaaditaan vain kortin numero ja tietyt tiedot.
Lähtöisin vastauksena EMV (Europay, Mastercard ja Visa) siruteknologian laajaan käyttöönottoon, shimming-hyökkäykset ovat kehittyneet lisääntyneen skimmauksen vastaisen turvallisuuden takia. Aluksi siruteknologia vähensi merkittävästi petoksia magneettijuovakorteilla tekemällä sirujen jäljentämisestä vaikeampaa kuin juovien. Hyökkääjien mukautuessa shimming nousi esiin menetelmänä, jolla ohitetaan sirujen turvaominaisuudet, vaikkakin pienemmällä onnistumisprosentilla siruteknologian turvaominaisuuksien vuoksi.
Suojaamiseksi shimming-hyökkäyksiltä sekä kuluttajat että yritykset voivat omaksua erilaisia strategioita:
Shimming-hyökkäykset, vaikka ovatkin harvinaisempia kuin skimming siruteknologian kehittyneiden turvaominaisuuksien ansiosta, edustavat todellista uhkaa digitaalisten maksutapahtumien eheydelle. Ymmärtämällä, kuinka nämä hyökkäykset tapahtuvat ja toteuttamalla kattavia ehkäiseviä toimenpiteitä, sekä kuluttajat että yritykset voivat merkittävästi vähentää riskiä, varmistaen turvallisemman maksutapahtumaympäristön kaikille osapuolille. Maksuturvallisuusstrategioiden jatkuva kehitys, sekä valppaus ja koulutus, ovat edelleen ensisijaisen tärkeitä taistelussa tällaisia kyberuhkia vastaan.