Скимминг карт
Что такое Скимминг карт?
Скимминг картКража платёжных данных карт в точке их ввода с помощью скрытого физического устройства или вредоносного скрипта на странице оформления заказа.
Скимминг карт объединяет два связанных типа атак. Физический скимминг использует подменённые банкоматы, топливные колонки или POS-терминалы с тонкой накладкой или "шиммером", который копирует данные магнитной полосы или чипа. Часто дополняется микрокамерой или поддельной клавиатурой для считывания PIN-кода. Электронный скимминг (Magecart) внедряет вредоносный JavaScript в уязвимые страницы оплаты интернет-магазинов и пересылает номер карты, CVV и адрес на сервер атакующего. Защита: чип EMV и токенизированные кошельки, проверка оборудования на признаки вмешательства, антискимминговые датчики, WAF, Subresource Integrity, CSP, мониторинг сторонних скриптов и проверки кода платёжного потока по требованиям PCI DSS.
● Примеры
- 01
Накладка на топливной колонке считывает магнитную полосу, а скрытая камера фиксирует ввод PIN.
- 02
Скрипт стиля Magecart, внедрённый в магазин на Magento, выводит данные формы оплаты на внешний сервер.
● Частые вопросы
Что такое Скимминг карт?
Кража платёжных данных карт в точке их ввода с помощью скрытого физического устройства или вредоносного скрипта на странице оформления заказа. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Скимминг карт?
Кража платёжных данных карт в точке их ввода с помощью скрытого физического устройства или вредоносного скрипта на странице оформления заказа.
Как работает Скимминг карт?
Скимминг карт объединяет два связанных типа атак. Физический скимминг использует подменённые банкоматы, топливные колонки или POS-терминалы с тонкой накладкой или "шиммером", который копирует данные магнитной полосы или чипа. Часто дополняется микрокамерой или поддельной клавиатурой для считывания PIN-кода. Электронный скимминг (Magecart) внедряет вредоносный JavaScript в уязвимые страницы оплаты интернет-магазинов и пересылает номер карты, CVV и адрес на сервер атакующего. Защита: чип EMV и токенизированные кошельки, проверка оборудования на признаки вмешательства, антискимминговые датчики, WAF, Subresource Integrity, CSP, мониторинг сторонних скриптов и проверки кода платёжного потока по требованиям PCI DSS.
Как защититься от Скимминг карт?
Защита от Скимминг карт обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Скимминг карт?
Распространённые альтернативные названия: Скимминг, Magecart, Электронный скимминг.
● Связанные термины
- attacks№ 240
Межсайтовый скриптинг (XSS)
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- compliance№ 807
PCI DSS
Международный стандарт информационной безопасности для организаций, хранящих, обрабатывающих или передающих данные платёжных карт, поддерживаемый PCI Security Standards Council.
- attacks№ 275
Утечка данных (взлом)
Подтверждённый инцидент безопасности, при котором неавторизованная сторона получает доступ к защищённой или конфиденциальной информации, извлекает её или раскрывает.
- appsec№ 1114
Целостность подресурсов (SRI)
Механизм браузера, проверяющий криптографический хеш загруженного со стороннего источника скрипта или таблицы стилей до его выполнения и блокирующий изменённые файлы.
- appsec№ 214
Политика безопасности контента (CSP)
HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.