Web-скиммер / e-скимминг
Что такое Web-скиммер / e-скимминг?
Web-скиммер / e-скиммингВнедренный на сайт вредоносный код, крадущий данные карты или личные данные в момент, когда покупатель вводит их на странице.
Web-скиммер (e-скиммер, цифровой скиммер) — это JavaScript или серверный код, выполняющий кражу в атаках типа Magecart. Он живет в потоке оформления заказа онлайн-магазина и читает номера карт, CVV, срок действия и личные данные напрямую из DOM или сетевых запросов, после чего отправляет их на drop-сервер. Скиммеры попадают через уязвимости CMS, скомпрометированные сторонние скрипты, заброшенные S3-бакеты или украденные учетные записи администратора. Некоторые маскируются под поддельные favicon или стеганографические изображения. Защита: CSP с отчетами, Subresource Integrity, мониторинг целостности клиентских скриптов, требуемый PCI DSS v4.0, и строгие права на script-теги и tag-менеджеры.
● Примеры
- 01
Обфусцированный скрипт, добавленный в шаблон Magento, собирает CVV и отправляет на typosquatted CDN-домен.
- 02
Скиммер, спрятанный в поддельном favicon, срабатывал только на странице оформления заказа магазина на Shopify.
● Частые вопросы
Что такое Web-скиммер / e-скимминг?
Внедренный на сайт вредоносный код, крадущий данные карты или личные данные в момент, когда покупатель вводит их на странице. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Web-скиммер / e-скимминг?
Внедренный на сайт вредоносный код, крадущий данные карты или личные данные в момент, когда покупатель вводит их на странице.
Как работает Web-скиммер / e-скимминг?
Web-скиммер (e-скиммер, цифровой скиммер) — это JavaScript или серверный код, выполняющий кражу в атаках типа Magecart. Он живет в потоке оформления заказа онлайн-магазина и читает номера карт, CVV, срок действия и личные данные напрямую из DOM или сетевых запросов, после чего отправляет их на drop-сервер. Скиммеры попадают через уязвимости CMS, скомпрометированные сторонние скрипты, заброшенные S3-бакеты или украденные учетные записи администратора. Некоторые маскируются под поддельные favicon или стеганографические изображения. Защита: CSP с отчетами, Subresource Integrity, мониторинг целостности клиентских скриптов, требуемый PCI DSS v4.0, и строгие права на script-теги и tag-менеджеры.
Как защититься от Web-скиммер / e-скимминг?
Защита от Web-скиммер / e-скимминг обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Web-скиммер / e-скимминг?
Распространённые альтернативные названия: E-скиммер, Цифровой скиммер, JS-сниффер.
● Связанные термины
- attacks№ 642
Атака Magecart
Категория цифровых скимминговых атак, при которых злоумышленники внедряют вредоносный JavaScript на страницы оформления заказа, чтобы крадуть данные карт по мере ввода.
- attacks№ 431
Формджекинг
Атака, при которой вредоносный JavaScript перехватывает отправку форм в браузере жертвы и шлет введенные данные на сервер злоумышленника.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- attacks№ 240
Межсайтовый скриптинг (XSS)
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
- identity-access№ 230
Сбор учётных данных
Массовый сбор имён пользователей, паролей, токенов и других секретов аутентификации, обычно для последующего захвата аккаунтов или перепродажи.
- compliance№ 807
PCI DSS
Международный стандарт информационной безопасности для организаций, хранящих, обрабатывающих или передающих данные платёжных карт, поддерживаемый PCI Security Standards Council.