Skimming de tarjetas
¿Qué es Skimming de tarjetas?
Skimming de tarjetasRobo de datos de tarjetas de pago capturados en el punto de entrada, mediante un dispositivo fisico oculto o un script malicioso en la pagina de pago.
El skimming abarca dos familias de ataque relacionadas. El skimming fisico utiliza cajeros, surtidores de carburante o TPV manipulados con una fina lamina superpuesta o un "shimmer" que copia la banda magnetica o el chip, frecuentemente acompanado de camara oculta o teclado falso para capturar el PIN. El e-skimming (tambien Magecart) inyecta JavaScript malicioso en paginas de pago vulnerables para enviar el numero, CVV y direccion al servidor del atacante. Las defensas incluyen EMV y wallets tokenizados, inspecciones del hardware en busca de manipulacion, sensores antiskimming, WAF, Subresource Integrity, CSP, monitorizacion de scripts de terceros y revisiones del flujo de pago conformes a PCI DSS.
● Ejemplos
- 01
Lamina superpuesta en un surtidor que copia la banda magnetica mientras una camara filma la introduccion del PIN.
- 02
Script tipo Magecart inyectado en una tienda Magento que exfiltra los campos del formulario de pago.
● Preguntas frecuentes
¿Qué es Skimming de tarjetas?
Robo de datos de tarjetas de pago capturados en el punto de entrada, mediante un dispositivo fisico oculto o un script malicioso en la pagina de pago. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Skimming de tarjetas?
Robo de datos de tarjetas de pago capturados en el punto de entrada, mediante un dispositivo fisico oculto o un script malicioso en la pagina de pago.
¿Cómo funciona Skimming de tarjetas?
El skimming abarca dos familias de ataque relacionadas. El skimming fisico utiliza cajeros, surtidores de carburante o TPV manipulados con una fina lamina superpuesta o un "shimmer" que copia la banda magnetica o el chip, frecuentemente acompanado de camara oculta o teclado falso para capturar el PIN. El e-skimming (tambien Magecart) inyecta JavaScript malicioso en paginas de pago vulnerables para enviar el numero, CVV y direccion al servidor del atacante. Las defensas incluyen EMV y wallets tokenizados, inspecciones del hardware en busca de manipulacion, sensores antiskimming, WAF, Subresource Integrity, CSP, monitorizacion de scripts de terceros y revisiones del flujo de pago conformes a PCI DSS.
¿Cómo defenderse de Skimming de tarjetas?
Las defensas contra Skimming de tarjetas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Skimming de tarjetas?
Nombres alternativos comunes: Skimming, Magecart, Skimming electronico.
● Términos relacionados
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidad web que permite a un atacante inyectar scripts maliciosos en páginas vistas por otros usuarios, ejecutándose en el navegador de la víctima bajo el origen del sitio.
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- compliance№ 807
PCI DSS
Estándar global de seguridad de la información para organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago, gestionado por el PCI Security Standards Council.
- attacks№ 275
Brecha de datos
Incidente de seguridad confirmado en el que una parte no autorizada accede, extrae o divulga informacion sensible, protegida o confidencial.
- appsec№ 1114
Integridad de Subrecursos (SRI)
Mecanismo del navegador que verifica un hash criptográfico de un script o hoja de estilos cargada desde un tercero antes de ejecutarlo, impidiendo que archivos manipulados se ejecuten.
- appsec№ 214
Política de Seguridad de Contenidos (CSP)
Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos.