Karten-Skimming
Was ist Karten-Skimming?
Karten-SkimmingDiebstahl von Zahlungskartendaten am Eingabepunkt, entweder mit verstecktem Hardware-Aufsatz oder boesartigem Skript im Checkout einer Website.
Karten-Skimming umfasst zwei verwandte Angriffsfamilien. Physisches Skimming manipuliert Geldautomaten, Tankstellenterminals oder Kassen mit duennen Aufsaetzen oder Shimmern, die Magnetstreifen- oder Chipdaten kopieren, oft erganzt durch Mikrokameras oder gefaelschte Tastaturfelder zum Abgreifen der PIN. E-Skimming (Magecart) injiziert boesartiges JavaScript in anfaellige Checkout-Seiten, um Kartennummer, CVV und Adresse an einen Angreiferserver zu senden. Abwehr: EMV-Chips und tokenisierte Wallets, Sichtpruefung von Hardware, Anti-Skimming-Sensoren, Web Application Firewalls, Subresource Integrity, CSP, Monitoring von Drittanbieter-Skripten sowie PCI-DSS-konforme Code-Reviews der Zahlungsstrecke.
● Beispiele
- 01
Aufsatz an einer Tankstellenzapfsaeule liest den Magnetstreifen, eine Mikrokamera filmt die PIN-Eingabe.
- 02
Magecart-aehnliches Skript in einem Magento-Shop exfiltriert Felder des Checkout-Formulars.
● Häufige Fragen
Was ist Karten-Skimming?
Diebstahl von Zahlungskartendaten am Eingabepunkt, entweder mit verstecktem Hardware-Aufsatz oder boesartigem Skript im Checkout einer Website. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Karten-Skimming?
Diebstahl von Zahlungskartendaten am Eingabepunkt, entweder mit verstecktem Hardware-Aufsatz oder boesartigem Skript im Checkout einer Website.
Wie funktioniert Karten-Skimming?
Karten-Skimming umfasst zwei verwandte Angriffsfamilien. Physisches Skimming manipuliert Geldautomaten, Tankstellenterminals oder Kassen mit duennen Aufsaetzen oder Shimmern, die Magnetstreifen- oder Chipdaten kopieren, oft erganzt durch Mikrokameras oder gefaelschte Tastaturfelder zum Abgreifen der PIN. E-Skimming (Magecart) injiziert boesartiges JavaScript in anfaellige Checkout-Seiten, um Kartennummer, CVV und Adresse an einen Angreiferserver zu senden. Abwehr: EMV-Chips und tokenisierte Wallets, Sichtpruefung von Hardware, Anti-Skimming-Sensoren, Web Application Firewalls, Subresource Integrity, CSP, Monitoring von Drittanbieter-Skripten sowie PCI-DSS-konforme Code-Reviews der Zahlungsstrecke.
Wie schützt man sich gegen Karten-Skimming?
Schutzmaßnahmen gegen Karten-Skimming kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Karten-Skimming?
Übliche alternative Bezeichnungen: Skimming, Magecart, E-Skimming.
● Verwandte Begriffe
- attacks№ 240
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- compliance№ 807
PCI DSS
Weltweiter Sicherheitsstandard für Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übertragen, gepflegt vom PCI Security Standards Council.
- attacks№ 275
Datenschutzverletzung
Bestaetigter Sicherheitsvorfall, bei dem ein Unbefugter auf sensible, geschuetzte oder vertrauliche Informationen zugreift, sie entwendet oder offenlegt.
- appsec№ 1114
Subresource Integrity (SRI)
Browser-Mechanismus, der den kryptografischen Hash eines von Dritten geladenen Skripts oder Stylesheets vor der Ausführung prüft und manipulierte Dateien blockiert.
- appsec№ 214
Content Security Policy (CSP)
HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.