Web skimmer / E-skimming
O que é Web skimmer / E-skimming?
Web skimmer / E-skimmingCodigo malicioso injetado num site que rouba dados de cartao ou pessoais a medida que o cliente os introduz na pagina.
Um web skimmer (tambem chamado e-skimmer ou skimmer digital) e o codigo JavaScript ou do lado do servidor que realiza o roubo em ataques do tipo Magecart. Vive no fluxo de checkout da loja online e le numeros de cartao, CVVs, datas e dados pessoais diretamente do DOM ou de pedidos de rede, exfiltrando-os para um servidor drop. Os skimmers entram via vulnerabilidades do CMS, scripts de terceiros comprometidos, buckets S3 abandonados ou credenciais de admin. Alguns escondem-se em favicons falsos ou imagens com esteganografia. Defesas: CSP com reporting, Subresource Integrity, monitorizacao da integridade dos scripts do lado cliente exigida pelo PCI DSS v4.0 e permissoes estritas em tags e tag managers.
● Exemplos
- 01
Um script ofuscado acrescentado a um template Magento captura CVVs e envia-os para um dominio CDN typosquatted.
- 02
Um skimmer escondido num favicon falso so disparava na pagina de checkout de uma loja Shopify.
● Perguntas frequentes
O que é Web skimmer / E-skimming?
Codigo malicioso injetado num site que rouba dados de cartao ou pessoais a medida que o cliente os introduz na pagina. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Web skimmer / E-skimming?
Codigo malicioso injetado num site que rouba dados de cartao ou pessoais a medida que o cliente os introduz na pagina.
Como funciona Web skimmer / E-skimming?
Um web skimmer (tambem chamado e-skimmer ou skimmer digital) e o codigo JavaScript ou do lado do servidor que realiza o roubo em ataques do tipo Magecart. Vive no fluxo de checkout da loja online e le numeros de cartao, CVVs, datas e dados pessoais diretamente do DOM ou de pedidos de rede, exfiltrando-os para um servidor drop. Os skimmers entram via vulnerabilidades do CMS, scripts de terceiros comprometidos, buckets S3 abandonados ou credenciais de admin. Alguns escondem-se em favicons falsos ou imagens com esteganografia. Defesas: CSP com reporting, Subresource Integrity, monitorizacao da integridade dos scripts do lado cliente exigida pelo PCI DSS v4.0 e permissoes estritas em tags e tag managers.
Como se defender contra Web skimmer / E-skimming?
As defesas contra Web skimmer / E-skimming costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Web skimmer / E-skimming?
Nomes alternativos comuns: E-skimmer, Skimmer digital, Sniffer JS.
● Termos relacionados
- attacks№ 642
Ataque Magecart
Categoria de ataques de skimming digital em que criminosos injetam JavaScript malicioso em paginas de checkout para roubar dados de cartao a medida que sao introduzidos.
- attacks№ 431
Formjacking
Ataque em que JavaScript malicioso interceta a submissao de formularios no browser da vitima e envia os dados inseridos para um servidor controlado pelo atacante.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnerabilidade web que permite a um atacante injetar scripts maliciosos em páginas visitadas por outros utilizadores, executados no browser da vítima sob a origem do site.
- identity-access№ 230
Recolha de credenciais
Recolha em larga escala de utilizadores, palavras-passe, tokens e outros segredos de autenticação, geralmente para posterior tomada de conta ou venda.
- compliance№ 807
PCI DSS
Norma global de segurança da informação para organizações que armazenam, processam ou transmitem dados de cartões de pagamento, mantida pelo PCI Security Standards Council.