Zamknij Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.
Shell

Skimming kart paliwowych

Karta paliwowa to jedno z podstawowych narzędzi, jakim kierowcy firm transportowych posługują się na co dzień. Umożliwia wygodne płacenie za paliwo bez stania w kolejce do kasy i bez konieczności noszenia przy sobie gotówki, a do tego ułatwia zarządzanie wydatkami w firmie i ich kontrolę.

Według raportu GlobalData, rynek kart paliwowych w Polsce już w 2020 roku został wyceniony na blisko 5 mld euro, a w latach 2021–2024 prognozuje się średnioroczne tempo wzrostu na poziomie ponad 11% CAGR. Niestety, oprócz szeregu korzyści karta paliwowa niesie też za sobą pewne niebezpieczeństwa, a jednym z najpoważniejszych jest tzw. skimming. Wraz ze wzrostem liczby użytkowników kart paliwowych może rosnąć liczba przestępstw skimmingowych, dlatego warto już teraz dowiedzieć się, jak się przed nimi ustrzec. Jak to zrobić?

Skimming, phishing i inne wyłudzenia

Karta paliwowa, podobnie jak kredytowa czy debetowa, narażona jest na ataki ze strony złodziei. Częstą formą jest po prostu włamanie się do kabiny kierowcy i fizyczna kradzież lub podmiana karty, ale przestępcy coraz częściej używają bardziej wyrafinowanych metod. Jedną z nich jest skimming. Polega on na montowaniu na terminalach płatniczych tzw. skimmerów, czyli urządzeń, które kopiują paski magnetyczne znajdujące się na karcie i sczytują kody PIN. Dzięki temu możliwe jest wyrobienie identycznej karty, którą następnie przestępcy dokonują płatności za paliwo, oczywiście obciążając przy tym konto faktycznego właściciela karty.

Niebezpieczeństwem, które czyha na właścicieli cyfrowych kart paliwowych, jest także phishing. To nic innego jak wyłudzanie danych poprzez fałszywe SMS-y bądź e-maile, w których przestępcy podszywają się pod emitenta karty, próbując skłonić jej posiadacza do kliknięcia w link i zalogowania się na swoje konto. Oczywiście pod linkiem znajduje się fałszywa strona, dlatego wpisane dane błyskawicznie dostają się w ręce przestępców. Wielu fraudów na kartach paliwowych dokonują niestety również sami kierowcy. Mowa tutaj o przypadkach, w których sprzedają oni kartę, dobrowolnie przekazują ją do skopiowania albo wykorzystują do celów prywatnych. Są to jednak przypadki fraudów wewnętrznych, nad którymi firma musi zapanować sama poprzez odpowiedni dobór pracowników i wewnętrzne zabezpieczenia.

– Niestety nieautoryzowane transakcje paliwowe są dość powszechnym zjawiskiem, dlatego dostawcy kart paliwowych powinni stawiać na pierwszym miejscu bezpieczeństwo takich operacji. Zdecydowanie przewagę na rynku zyskują ci, którzy dostarczają coraz to skuteczniejszych rozwiązań antyfraudowych. Jest to niezwykle istotna kwestia, biorąc pod uwagę fakt, że paliwo jest jednym z największych kosztów prowadzenia firmy transportowej, stanowiącym nawet do 40% wszystkich wydatków przedsiębiorstwa. Jego kradzież może narazić firmę na poważne straty finansowe – komentuje Tomasz Czyż, główny ekspert ds. rozwiązań technologicznych, Inelo z Grupy Eurowag.

Skala strat trudna do określenia

Niestety trudno określić dokładną skalę tego procederu, ponieważ ani policja ani same firmy transportowe nie udostępniają statystyk na ten temat. Niemniej jednak można się domyślać, że jest ona duża i przynosi firmom niemałe straty. Potwierdzają to chociażby pojedyncze przypadki takich oszustw, które są nagłaśniane. Przykładowo, w 2018 roku pewien mieszkaniec Gubina dopuścił się skimmingu kart paliwowych i pozyskał dzięki temu ponad 94 tysiące litrów paliwa, co naraziło właściciela firmy transportowej na straty w wysokości ponad 405 tysięcy złotych. Nie dalej jak w 2022 roku szerokim echem w mediach odbił się też przypadek transgranicznego, zorganizowanego oszustwa polegającego na podrabianiu kart paliwowych między innymi w Rumunii, Bułgarii, Austrii i Belgii. Tylko w Rumunii sprawa dotyczyła łącznie 83 firm przewozowych. Zatrzymano wówczas 11 osób podejrzanych o zaangażowanie w ten proceder, którzy dokonali kradzieży paliwa na kwotę co najmniej 420 tysięcy euro.

Jak zabezpieczyć kartę flotową przed duplikacją?

W obliczu wspomnianego problemu, właściciele firm transportowych często zastanawiają się, co można zrobić, aby zabezpieczyć firmową kartę paliwową przed skimmingiem. Oczywiście ważna jest ostrożność. Warto przeszkolić kierowców, aby przed włożeniem karty do czytnika zwracali uwagę, czy nie ma na nim widocznych śladów ingerencji, na przykład w postaci zerwanej plomby. Dobrze też, żeby wybierali dystrybutory znajdujące się w dobrze widocznych miejscach, a najlepiej dystrybutory monitorowane. Warto jednak rozważyć też wdrożenie bardziej konkretnych zabezpieczeń.

Co prawda nie wymyślono jeszcze sposobu na udaremnienie pracy samych skimmerów, ponieważ technologia tworzenia kart paliwowych ciągle zakłada, że muszą być wyposażone w paski magnetyczne, które są możliwe do skopiowania. Walka z oszustami toczy się jednak na dalszym etapie. Mowa o rozwiązaniach, dzięki którym przestępcy mimo wyrobienia identycznej karty i posiadania numeru PIN nie będą mogli wykorzystać jej do płacenia za paliwo. To zarówno proste rozwiązania, oparte na możliwości ustawienia dziennych limitów płatności kartą, jak i bardziej zaawansowane, bazujące na dwustopniowym odblokowywaniu karty albo na porównywaniu lokalizacji.

– W naszym przypadku jest to telematyka EVA z funkcją FuelGuard, która działa w oparciu o sieć satelitów. Cały mechanizm jest prosty – system weryfikuje, czy karta paliwowa używana jest w tej samej lokalizacji, w której znajduje się pojazd. Jeżeli występuje niezgodność, karta jest blokowana, a firma transportowa natychmiastowo otrzymuje powiadomienie o tej sytuacji. Nie ma możliwości, aby doszło tutaj do pomyłki, bo mapa aktualizowana jest co 2 sekundy, więc informacja o lokalizacji ciężarówki zawsze jest precyzyjna – tłumaczy Julian Michański, Manager ds. operacyjnych i zaopatrzenia z Grupy Eurowag.

Innym rozwiązaniem zabezpieczającym, w dodatku zupełnie bezpłatnym, jest Card Lock. Działa ono na zasadzie dodatkowej warstwy uwierzytelniania, którą użytkownik ma możliwość wybrać sam. Przykładowo, karta może być aktywowana dopiero po wpisaniu kodu z SMS-a, który przychodzi na telefon kierowcy podczas próby zapłacenia kartą paliwową. Rozwiązanie to działa jednak jedynie z kartami wspomnianego dostawcy. Są to karty używane przez wiele firm transportowych w Polsce i akceptowane na stacjach partnerskich w całej Europie. Można także posługiwać się nimi w punktach własnych Eurowag – tzw. Truck Parkach. To prężnie rozrastająca się sieć, która pod koniec stycznia 2024 poszerzyła się o kolejną stację – w Okmianach.

Jakie zabezpieczenia stosują emitenci kart paliwowych? Czym jest skimming kart paliwowych? Jak zabezpieczać się przed nadużyciami i zadbać o bezpieczeństwo w firmie dotyczące użytkowania kart paliwowych

Anna Biekionis
Country Manager, DKV Mobility Poland
 
Rozwój technologii jest zawsze dwukierunkowy – przynosi wiele szans na rozwój biznesu i optymalizację kosztów, ale jednocześnie dostarcza przestępcom narzędzi do prowadzenia coraz bardziej wyrafinowanych działań. Oszuści wykorzystują zaawansowane techniki, aby dokonywać kradzieży i omijać systemy zabezpieczeń. Skimming to umieszczanie na terminalach płatniczych urządzeń kopiujących paski magnetyczne. Dzięki skimmingowi złodziej zyskuje możliwość wyrobienia karty, którą może płacić za paliwo, obciążając konto prawdziwego właściciela karty. Często oprócz urządzenia do skimmingu instalowane są mikrokamery, które mają za zadanie przechwycić informacje o kodzie PIN, dlatego ważne jest, aby końcowy użytkownik miał świadomość zagrożenia i bacznie przyglądał się urządzeniom, które obsługują płatności kartowe. Innym niebezpieczeństwem jest phishing, czyli wyłudzanie danych za pomocą SMS-ów bądź maili, w których przestępcy podszywają się pod emitenta karty. W wiadomościach oszuści namawiają posiadacza karty do kliknięcia w link i zalogowania się na swoje konto.
Wiemy, jak poważnym problemem są nieuczciwe transakcje czy phishing. Przede wszystkim stawiamy na edukację naszych klientów – wskazujemy im konkretne działania, które sprawią, że ryzyko nieuczciwych transakcji spada. Podpowiadamy, jak powinni przygotowywać kierowców do bezpiecznego korzystania z kart. Oczywiście, wprowadzamy także rozwiązania i zabezpieczenia systemowe. Maksymalizujemy bezpieczeństwo karty dzięki numerowi PIN: czterocyfrowy, osobisty numer identyfikacyjny (kod PIN) gwarantuje bezpieczeństwo podczas korzystania z karty DKV. Oprócz wygenerowanego przez system kodu PIN użytkownik może wystąpić z wnioskiem o zdefiniowanie własnego kodu PIN lub przyznanie indywidualnego kodu dla parku samochodowego.

Kolejnym krokiem ku większemu bezpieczeństwu są limity dla kart. Dzięki portalowi klienta DKV Cockpit umożliwiamy klientom samodzielne zarządzanie limitami dla kart oraz powiązaną z nimi funkcją powiadomień. To rozwiązanie pozwala nie tylko lepiej kontrolować koszty, ale pomaga ograniczyć ryzyko w przypadku nadużyć.

Udostępniamy też możliwość dezaktywacji kart i raporty o transakcjach. Poprzez tymczasowe aktywowanie oraz dezaktywowanie kart DKV klient może zapobiegać ich nieuprawnionemu użyciu. Raporty dostępne w narzędziu DKV Analytics zawierają dane o każdym procesie autoryzacji, a także o wprowadzeniu nieprawidłowego kodu PIN.

 

Łukasz Klamka
dyrektor ds. rozwiązań flotowych w Shell Polska

W Shell jednym z priorytetów jest bezpieczeństwo. Obejmuje to wszystkie rozwiązania, które oferujemy naszym klientom i użytkownikom. W tym celu przede wszystkiem zrezygnowaliśmy z kart z paskiem magnetycznym, a w jego miejsce wprowadziliśmy karty chipowe, które w połączeniu z dwustopniową weryfikacją kodem PIN oraz dodatkowo kodem CVV2 skutecznie ogranicza ryzyko nadużyć. Wprowadziliśmy również elektroniczny PIN, dzięki czemu nie musimy fizycznie wysyłać kodów PIN i eliminujemy szansę ich przechwycenie w trakcie wysyłki. Dodaktowo umożliwiliśmy zmianę kodu PIN.

Poza zabezpieczeniami samej karty, Shell oferuje również zaawansowaną platformę do zarządzania płatnościami Shell Fleet Hub. Dzięki niej administrator floty może dowolnie ustawiać limity na kartach. Możemy też czasowo blokować nieużywane karty. Dla bardziej zaawansowanych technologicznie firm mamy API, które pozwala zarządcy floty w wygodny sposób wykonywać wszystkie czynności z poziomu własnego systemu. Firma może też ustawiać alerty bezpieczeństwa z bieżącymi informacjami o podejrzanych transakcjach zarówno w formie e-mail jak i SMS.

Współpracujemy z jednym z wiodących dostawców rozwiązań telematycznych na polskim rynku i za jego pomocą również możemy wzmocnić bezpieczeństwo. Poprzez monitorowanie wszystkich operacji możemy natychmiastowo zareagować i zablokować kartę, gdy widzimy podejrzaną transakcję.

Należy jednocześnie pamiętać, że najsłabszym ogniwem w tym procesie jest człowiek. Dlatego również mocno stawiamy na edukację naszych klientów i ich kierowców, tak, by zwracali uwagę użytkownikom, aby Ci nie trzymali karty razem z PIN-em czy zakrywali go podczas autoryzacji transakcji. Wspieramy menedżerów flot w tym, by umiejętnie korzystali zarówno z ustawień kart, jak i również by blokowali karty niebędące użyciu. 

 

Bezdotykowe, cyfrowe płatności za paliwo mogą pomóc

Skoro karta paliwowa narażona jest na skimming i fizyczną kradzież, sposobem na uniknięcie ryzyka może być też rezygnacja z tego fizycznego elementu na rzecz płatności mobilnych. Istnieje bowiem wiele aplikacji, które mogą pełnić taką samą funkcję jak karta i są jej dobrą alternatywą, umożliwiając kierowcy wygodne płacenie za paliwo z poziomu smartfona czy tableta.

– Jedną z bezpłatnych aplikacji tego typu jest właśnie EurowagPay. Dzięki niej kierowca nie musi już nosić przy sobie plastikowej karty ani zapamiętywać wielu kodów PIN – wystarczy znać jeden PIN, który obowiązuje nawet w razie zmiany pojazdów. Jeżeli telefon zostanie skradziony albo zwyczajnie się rozładuje i kierowca nie będzie miał jak uruchomić aplikacji istnieje możliwość awaryjnej zdalnej obsługi, wówczas płatności za tankowanie może dokonać dyspozytor. Aplikacja została też dodatkowo zabezpieczona na wypadek oszustwa. Polega to na tym, że blokuje zakupy, jeżeli użytkownik, który obsługuje telefon, znajduje się w odległości większej niż 100 metrów od dystrybutora – wyjaśnia Julian Michański, Manager ds. operacyjnych i zaopatrzenia z Grupy Eurowag.

Podsumowując, karta paliwowa to wygodne rozwiązanie, które pozwala oszczędzać czas, a wielokrotnie i pieniądze z racji specjalnych zniżek przyznawanych posiadaczom tych instrumentów płatniczych. Pozwala także łatwiej kontrolować wydatki na paliwo i zwiększa bezpieczeństwo, ponieważ kierowca nie musi mieć przy sobie gotówki, którą łatwo ukraść lub zgubić. Warto jednak zachować czujność i korzystać z rozwiązań, które chronią dane z karty przed dostaniem się w niepowołane ręce.

Maciej Chomacki

 

Zespół PR BP

Karty BP oferują zaawansowane opcje ochrony. Poczynając od zabezpieczenia PIN-em i kontrolę zgodności numerów na karcie z numerami rejestracyjnymi przez pracowników stacji poprzez możliwość blokowania i ustalania limitów online w portalu BP Online. Fleet manager ma możliwość określania limitów wydatków, liczby transakcji i wprowadzania ograniczenia pory i miejsca tankowania. Dodatkowo można ustawić automatyczne powiadomienia e-mailem i SMS o naruszeniach uprawnień.

 

Michał Sitarz
Product Manager Secure E-BOX w E100

Szacuje się, że wartość globalnego rynku kart paliwowych osiągnie w 2027 roku poziom 1,2 biliona dolarów. Rynek jest łakomym kąskiem dla zorganizowanych grup przestępczych, które stosują coraz bardziej wyrafinowane metody wyłudzeń, a ponieważ zakup paliwa stanowi do 30% bieżących kosztów floty, wszelkie manipulacje, niewłaściwe użycie lub kradzież kart paliwowych mogą mieć poważny wpływ na rentowność i potencjalne straty w wysokości dziesiątek tysięcy euro w ciągu kilku dni.

E100 zabezpiecza swoje karty 2 systemami antyfraudowymi, które działają na innych zasadach i sprawdzają różne parametry użytkowania karty. Oba systemy monitorują każdorazowe użycie karty. Działają automatycznie, 24h/dobę w oparciu o szereg algorytmów/reguł. W przypadku pierwszego systemu/poziomu zabezpieczeń analizowany jest np. profil użytkownika i na podstawie tej analizy system zatwierdza lub blokuje próbę transakcji kartą paliwową. Np. jeśli transakcji dokonano danego dnia i godziny w Polsce, a po 20 minutach ktoś we Francji lub we Włoszech próbuje dokonać płatności za paliwo za pomocą tej samej karty, to oczywiste jest, że doszło tutaj do oszustwa: skimmingu karty, czyli do skopiowania danych karty paliwowej i stworzenia duplikatu – karta zostanie zablokowana.
Od ponad roku E100 oferuje swoim klientom drugi poziom zabezpieczeń, Secure E-BOX – autorski system antyfraudowy, który pomaga przewoźnikom zabezpieczyć się przed kradzieżą paliwa z wykorzystaniem karty paliwowej. W odróżnieniu od pierwszego systemu zabezpieczeń kart E100, Secure E-BOX działa w oparciu o urządzenie pokładowe (OBU) oraz współrzędne GPS stacji, w której kierowca zamierza zapłacić za paliwo. System przetwarza dane geolokalizacyjne OBU i stacji paliw. Jeśli w momencie żądania autoryzacji, dane te nie pokrywają się, transakcja automatycznie jest blokowana. Secure E-BOX działa całkowicie bezobsługowo. Główną zaletą tego rozwiązania jest pełna gwarancja finansowa, którą E100 oferuje w przypadku kradzieży paliwa – przy włączonej usłudze, firma gwarantuje całkowite pokrycie kosztów skradzionego paliwa. Od pół roku użytkownicy Secure E-BOX mogą również na bieżąco monitorować swoją flotę w czasie rzeczywistym! Klienci korzystający z Secure E-BOX jednym kliknięciem myszki mogą włączyć monitorowanie swoich pojazdów z poziomu Panelu Klienta.

Secure E-BOX wraz z nową funkcjonalnością umożliwiającą monitorowanie pojazdów w czasie rzeczywistym, działa w 36 krajach Europy, 24 h/dobę. Od momentu uruchomienia systemu u żadnego z subskrybentów, mimo licznych prób, nie dopuścił do kradzieży paliwa.
Każda karta paliwowa E100 wyposażona jest w pasek magnetyczny, na którym zapisane są dane użytkownika danej karty. Aby dokonać transakcji i rozliczyć tankowanie paliwa, potrzebna jest autoryzacja w postaci kodu PIN.
Zawsze rekomendujemy naszym klientom, żeby kartę powiązać z numerem telefonu kierowcy. Właściciel firmy powinien jednak pamiętać, aby za każdym razem, kiedy zmienia się użytkownik karty, zmienić również numer telefonu w Panelu Klienta. Najlepszym rozwiązaniem jest przypisanie do danej karty zarówno numeru kierowcy, jak i właściciela. Wówczas informacja, np. o rozpoczęciu tankowania, zostanie wysłana na oba numery telefonów. Panel Klienta E100 to miejsce, gdzie właściciel firmy transportowej może ustawić filtry, które zminimalizują ryzyko wyłudzeń na karcie paliwowej. Można ustawić filtry/limity na określone parametry, np. litry paliwa, określając maksymalną ilość paliwa dostępną podczas jednej transakcji, kwoty pojedynczej transakcji, miejsce tankowania: wykluczyć dany kraj, rejon czy nawet konkretną stację.

 

Zespół Prasowy Orlen
ORLEN oferuje swoim klientom szerokie możliwości korzystania z kart paliwowych. Jednocześnie, spółka informuje o tym, jakie zagrożenia wiążą się ze stosowaniem kart, a co za tym idzie także o sposobach ich zabezpieczania. Z punktu widzenia użytkownika karty to przede wszystkim stosowanie kodu PIN do każdej transakcji, niezależnie od jej wartości, oraz możliwość szybkiej blokady karty w przypadku jej zgubienia lub kradzieży.

Podobnie jak w sytuacji kart bankomatowych, najważniejszą zasadą dotyczącą bezpieczeństwa kart paliwowych jest ochrona poufności kodu PIN. Wprowadzanie kodu powinno odbywać się w sposób uniemożliwiający zarejestrowanie tego momentu przez osoby postronne. Innym sposobem ochrony kart jest stosowanie określonych limitów. ORLEN oferuje możliwość ustawienia ograniczeń zakupowych dotyczących poszczególnych paliw oraz towarów pozapaliwowych. Spółka rekomenduje też zmianę kodu PIN w przypadku przekazania karty innemu użytkownikowi. Do skutecznych zabezpieczeń należy także digitalizacja karty flotowej, czyli stosowanie cyfrowego odpowiednika karty w aplikacji mFlota.

 

Biuro prasowe MOL Polska
Oferując karty paliwowe, nasza firma od początku szczególną uwagę zwraca na bezpieczeństwo transakcji. Prowadzi rozbudowany system motywacyjny dla pracowników stacji paliw aktywnie monitorujących prawidłowość rozliczania tankowań oraz oferuje zaawansowane rozwiązania systemowe w zakresie bezpieczeństwa (nawet do poziomu alertu wysyłanego SMS-em lub e-mailem do zarządzającego flotą po każdej transakcji). Bogaty wybór opcji blokad, dostępności asortymentu i limitów w parametrach kart to – obok elastycznego systemu rabatowania i rozliczeń oraz dopracowanych mechanizmów raportowych – ważne atuty naszej oferty.

Nasze karty są zabezpieczone kodem PIN szyfrowanym w centrum autoryzacji w standardzie zbliżonym do rozwiązań z rynku bankowego – co oznacza, że nikt poza klientem nie ma dostępu do tego kodu. Na stacjach MOL Polska używamy terminali z PIN-padem odczytującym pasek magnetyczny karty – dlatego nie opuszcza ona ręki kierowcy, co eliminuje ryzyko skimmingu. Szczególnie, że ingerencja skimmera poprzez instalację nakładki na PIN-pad jest niemożliwa – terminale znajdują się przy stanowiskach kasowych w budynku stacji, pod ciągłym nadzorem personelu.

 

 

 

Przeczytaj również
Popularne