Skimming de cartoes
O que é Skimming de cartoes?
Skimming de cartoesRoubo de dados de cartoes de pagamento capturados no ponto de entrada, atraves de dispositivo fisico oculto ou script malicioso na pagina de pagamento.
O skimming engloba duas familias de ataque relacionadas. O skimming fisico usa caixas multibanco, bombas de combustivel ou TPVs adulterados com uma fina sobreposicao ou um shimmer que copia a banda magnetica ou o chip, muitas vezes acompanhado de mini-camara ou teclado falso para capturar o PIN. O e-skimming (Magecart) injeta JavaScript malicioso em paginas de checkout vulneraveis para enviar o numero, CVV e morada para um servidor controlado pelo atacante. As defesas incluem EMV e carteiras tokenizadas, verificacao regular do hardware, sensores anti-skimming, WAF, Subresource Integrity, CSP, monitorizacao de scripts de terceiros e revisoes de codigo conformes com o PCI DSS.
● Exemplos
- 01
Sobreposicao numa bomba de combustivel copia a banda magnetica enquanto uma camara filma o PIN.
- 02
Script Magecart injetado numa loja Magento exfiltra campos do formulario de checkout.
● Perguntas frequentes
O que é Skimming de cartoes?
Roubo de dados de cartoes de pagamento capturados no ponto de entrada, atraves de dispositivo fisico oculto ou script malicioso na pagina de pagamento. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Skimming de cartoes?
Roubo de dados de cartoes de pagamento capturados no ponto de entrada, atraves de dispositivo fisico oculto ou script malicioso na pagina de pagamento.
Como funciona Skimming de cartoes?
O skimming engloba duas familias de ataque relacionadas. O skimming fisico usa caixas multibanco, bombas de combustivel ou TPVs adulterados com uma fina sobreposicao ou um shimmer que copia a banda magnetica ou o chip, muitas vezes acompanhado de mini-camara ou teclado falso para capturar o PIN. O e-skimming (Magecart) injeta JavaScript malicioso em paginas de checkout vulneraveis para enviar o numero, CVV e morada para um servidor controlado pelo atacante. As defesas incluem EMV e carteiras tokenizadas, verificacao regular do hardware, sensores anti-skimming, WAF, Subresource Integrity, CSP, monitorizacao de scripts de terceiros e revisoes de codigo conformes com o PCI DSS.
Como se defender contra Skimming de cartoes?
As defesas contra Skimming de cartoes costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Skimming de cartoes?
Nomes alternativos comuns: Skimming, Magecart, E-skimming.
● Termos relacionados
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidade web que permite a um atacante injetar scripts maliciosos em páginas visitadas por outros utilizadores, executados no browser da vítima sob a origem do site.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- compliance№ 807
PCI DSS
Norma global de segurança da informação para organizações que armazenam, processam ou transmitem dados de cartões de pagamento, mantida pelo PCI Security Standards Council.
- attacks№ 275
Violacao de dados
Incidente de seguranca confirmado em que uma parte nao autorizada acede, extrai ou divulga informacao sensivel, protegida ou confidencial.
- appsec№ 1114
Integridade de Sub-recursos (SRI)
Mecanismo do navegador que verifica um hash criptográfico de um script ou folha de estilos carregado de terceiro antes de executá-lo, impedindo arquivos adulterados.
- appsec№ 214
Política de Segurança de Conteúdo (CSP)
Cabeçalho HTTP que informa ao navegador quais origens de scripts, estilos, frames e outros conteúdos são permitidas, limitando o impacto de XSS e injeções de dados.