Web skimmer / E-skimming
¿Qué es Web skimmer / E-skimming?
Web skimmer / E-skimmingCodigo malicioso inyectado en un sitio web que roba datos de tarjeta o personales mientras el cliente los introduce en la pagina.
Un web skimmer (tambien e-skimmer o skimmer digital) es el codigo JavaScript o de servidor que realiza el robo en los ataques tipo Magecart. Vive en el flujo de pago de la tienda y lee numeros de tarjeta, CVVs, fechas y datos personales directamente del DOM o de las peticiones de red, exfiltrandolos despues a un servidor drop. Se introduce explotando vulnerabilidades del CMS, comprometiendo scripts de terceros, secuestrando buckets S3 abandonados o credenciales de administrador. Algunos se ocultan en favicons falsos o imagenes esteganograficas. Defensas: CSP con reportes, Subresource Integrity, monitoreo de integridad de scripts del lado cliente exigido por PCI DSS v4.0 y permisos estrictos sobre etiquetas y tag managers.
● Ejemplos
- 01
Un script ofuscado anadido a una plantilla Magento captura CVVs y los envia a un dominio CDN typosquatted.
- 02
Un skimmer escondido en un favicon falso solo se activaba en la pagina de pago de una tienda Shopify.
● Preguntas frecuentes
¿Qué es Web skimmer / E-skimming?
Codigo malicioso inyectado en un sitio web que roba datos de tarjeta o personales mientras el cliente los introduce en la pagina. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Web skimmer / E-skimming?
Codigo malicioso inyectado en un sitio web que roba datos de tarjeta o personales mientras el cliente los introduce en la pagina.
¿Cómo funciona Web skimmer / E-skimming?
Un web skimmer (tambien e-skimmer o skimmer digital) es el codigo JavaScript o de servidor que realiza el robo en los ataques tipo Magecart. Vive en el flujo de pago de la tienda y lee numeros de tarjeta, CVVs, fechas y datos personales directamente del DOM o de las peticiones de red, exfiltrandolos despues a un servidor drop. Se introduce explotando vulnerabilidades del CMS, comprometiendo scripts de terceros, secuestrando buckets S3 abandonados o credenciales de administrador. Algunos se ocultan en favicons falsos o imagenes esteganograficas. Defensas: CSP con reportes, Subresource Integrity, monitoreo de integridad de scripts del lado cliente exigido por PCI DSS v4.0 y permisos estrictos sobre etiquetas y tag managers.
¿Cómo defenderse de Web skimmer / E-skimming?
Las defensas contra Web skimmer / E-skimming combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Web skimmer / E-skimming?
Nombres alternativos comunes: E-skimmer, Skimmer digital, Sniffer JS.
● Términos relacionados
- attacks№ 642
Ataque Magecart
Categoria de ataques de skimming digital en los que se inyecta JavaScript malicioso en paginas de pago de tiendas online para robar los datos de tarjeta a medida que el cliente los teclea.
- attacks№ 431
Formjacking
Ataque en el que un JavaScript malicioso intercepta el envio de formularios en el navegador de la victima y envia los datos introducidos a un servidor del atacante.
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidad web que permite a un atacante inyectar scripts maliciosos en páginas vistas por otros usuarios, ejecutándose en el navegador de la víctima bajo el origen del sitio.
- identity-access№ 230
Recolección de credenciales
Captura a gran escala de usuarios, contraseñas, tokens y otros secretos de autenticación, generalmente para tomar cuentas o venderlos después.
- compliance№ 807
PCI DSS
Estándar global de seguridad de la información para organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago, gestionado por el PCI Security Standards Council.