Skimming de cartes
Qu'est-ce que Skimming de cartes ?
Skimming de cartesVol de donnees de cartes de paiement capturees au moment de la saisie, via un dispositif physique cache ou un script malveillant sur la page de paiement.
Le skimming designe deux familles d'attaques liees. Le skimming physique utilise des distributeurs, pompes a essence ou TPE pieges avec une fine surcouche ou un shimmer copiant la piste magnetique ou les donnees de la puce, souvent associe a une mini-camera ou a un clavier factice pour capturer le PIN. L'e-skimming (Magecart) injecte un JavaScript malveillant dans une page de paiement vulnerable pour exfiltrer numero, CVV et adresse vers un serveur attaquant. Les defenses incluent EMV et portefeuilles tokenises, inspection materielle reguliere, capteurs anti-skimming, WAF, Subresource Integrity, CSP, surveillance des scripts tiers et revues PCI DSS du tunnel de paiement.
● Exemples
- 01
Surcouche sur une pompe a essence copiant la piste magnetique tandis qu'une camera filme la saisie du PIN.
- 02
Script Magecart injecte dans une boutique Magento qui exfiltre les champs du formulaire de paiement.
● Questions fréquentes
Qu'est-ce que Skimming de cartes ?
Vol de donnees de cartes de paiement capturees au moment de la saisie, via un dispositif physique cache ou un script malveillant sur la page de paiement. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Skimming de cartes ?
Vol de donnees de cartes de paiement capturees au moment de la saisie, via un dispositif physique cache ou un script malveillant sur la page de paiement.
Comment fonctionne Skimming de cartes ?
Le skimming designe deux familles d'attaques liees. Le skimming physique utilise des distributeurs, pompes a essence ou TPE pieges avec une fine surcouche ou un shimmer copiant la piste magnetique ou les donnees de la puce, souvent associe a une mini-camera ou a un clavier factice pour capturer le PIN. L'e-skimming (Magecart) injecte un JavaScript malveillant dans une page de paiement vulnerable pour exfiltrer numero, CVV et adresse vers un serveur attaquant. Les defenses incluent EMV et portefeuilles tokenises, inspection materielle reguliere, capteurs anti-skimming, WAF, Subresource Integrity, CSP, surveillance des scripts tiers et revues PCI DSS du tunnel de paiement.
Comment se défendre contre Skimming de cartes ?
Les défenses contre Skimming de cartes combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Skimming de cartes ?
Noms alternatifs courants : Skimming, Magecart, E-skimming.
● Termes liés
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnérabilité web permettant à un attaquant d'injecter des scripts malveillants dans des pages consultées par d'autres utilisateurs, exécutés dans leur navigateur sous l'origine du site.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- compliance№ 807
PCI DSS
Norme mondiale de sécurité de l'information pour les organisations qui stockent, traitent ou transmettent des données de cartes de paiement, gérée par le PCI Security Standards Council.
- attacks№ 275
Violation de donnees
Incident de securite confirme lors duquel une partie non autorisee accede, exfiltre ou divulgue des informations sensibles, protegees ou confidentielles.
- appsec№ 1114
Intégrité des sous-ressources (SRI)
Mécanisme du navigateur qui vérifie un hash cryptographique d'un script ou d'une feuille de styles tiers avant son exécution, empêchant tout fichier altéré de s'exécuter.
- appsec№ 214
Politique de sécurité du contenu (CSP)
En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données.