Уже почти пять десятилетий люди пользуются услугами банкоматов. Учитывая тот факт, что ATM-системы представляют собой, оставленные без присмотра хранилища с наличными, они всегда были в центре внимания преступников. Но атаки на банкоматы не сводятся только к банальному изъятию денег, преступники  также хотят получить данные клиентов. Для этого они используют так называемый скимминг: данные с карточки считываются с помощью специальных устройств - скиммеров. Целью является магнитная полоса, на которой в закодированном виде содержится информацию о кредитной или дебетовой карте.

Пластиковые карты с магнитной полосой были разработаны инженерами корпорации IBM еще в 1969 году. Согласно требованиям международного стандарта ISO/IEC 7813:2006 "Информационные технологии. Идентификационные карты. Карты для финансовых операций", информация записывается на магнитную полосу с использованием трех отдельных дорожек:первые две являются наиболее важными, поскольку содержат информацию об имени владельца, номер счета и зашифрованный PIN-код. Эти данные могут быть использованы преступниками для создания дублей реальных карт путем простой записи информации на карты-шаблоны с пустой магнитной полосой. Такие карты-шаблоны можно приобрести оптом по низкой цене, а оборудование для записи информации  - создать самостоятельно с использованием стандартных компонентов.

Скиммеры, как правило, размещаются на банкоматах над слотами для карт и часто создаются с учетом особенностей внешнего вида ATM-систем конкретного банка. Считываемые данные хранятся в памяти скиммера, который впоследствии демонстрируется для изучения собранной информации. 

Есть различные подходы к борьбе со скиммингом. Одним из них является стандарт EMV, который был создан платежными системами Europay, Mastercard и Visa (Europay + MasterCard + VISA). Этот стандарт предполагает использование специального микрочипа вместо магнитной полосы для хранения данных на кредитных и дебетовых картах. Технология EMV в настоящее время активно используется по всему миру. Но распространение стандарта усложняется медленной модернизацией инфраструктуры: многие банкоматы и платёжные терминалы пока не поддерживают чиповыанные карты и по-прежнему полагаются на механизмы аутентификации с использованием магнитной полосы, что снижает безопасность пользователей.  

Но даже переход на чипованные банковские карты не сможет полностью обезопасить их владельцев. Ведь преступники также используют специальные вредоносные программы, чтобы считывать данные с карт непосредственно в самом банкомате. Одним из примеров такого вредоносного софта является  Suceful, который начал распространяться в августе 2015 года, сохраняя данные о владельцах дебетовых карт. Подобные вирусы заражают преимущественно старые банкоматы, работающие под управлением уязвимой операционной системы Windows XP. 

Более совершенные программы создаются, чтобы получить контроль над банкоматом не за счет использования уязвимостей установленной на нем операционной системы, а через межплатформное программное обеспечение стандарта XFS. Стандарт XFS на клиент-серверную архитектуру для финансовых приложений был создан специалистами Европейского комитета по стандартизации (CEN) на основе разработанной софтверным гигантом Microsoft платформы Windows Open Services Architecture Extensions for Financial Services (WOSA XFS). 

Первая версия XFS появилась в 1991 году. После этого стандарт актуализировался шесть раз – в том числе и ради повышения безопасности. Самая свежая его версия была опубликована в 2011 году и получила название XFS 3.20:2011. Многие производители ATM-систем используют свои собственные вариации на тему XFS, но все они имеют много общего, что позволяет преступникам проводить атаки на множество разных банкоматов одновременно. Это вызывает серьезную озабоченность экспертов в области безопасности. 

Распространение ATM-систем c бесконтактным интерфейсом также вызывает озабоченность аналитиков. Бесконтактные банкоматы предлагают существенный рост удобства по сравнению со стандартными аналогами, но при этом существенно повышается риск перехвата конфиденциальной информации злоумышленниками. Это справедливо даже в случае бесконтактных банкоматов с биометрическими системами аутентификации, где ввод PIN-кода потенциально может быть полностью исключен. Проблема на данном этапе заключается в отсутствии координации между производителями соответствующих устройств и их компонентов. Но эксперты прогнозируют, что активная работа по стандартизации в этой сфере уже в ближайшие годы поможет увеличить безопасность ATM-систем c бесконтактным интерфейсом.