银行卡侧录 (Card Skimming)
银行卡侧录 (Card Skimming) 是什么?
银行卡侧录 (Card Skimming)在刷卡或结账环节通过隐藏的物理装置或网站结算页面的恶意脚本窃取支付卡数据的攻击。
银行卡侧录包含两类相关攻击。物理侧录针对被改造的 ATM、加油机或 POS 终端,在其外层加装薄片读卡器或薄型芯片读取器(shimmer)来复制磁条或芯片信息,常配合针孔摄像头或假键盘以捕获 PIN。电子侧录(也称 Magecart)在存在漏洞的电子商务结算页面注入恶意 JavaScript,把卡号、CVV 与地址发送至攻击者服务器。常见防御包括 EMV 芯片与令牌化钱包、对硬件进行防篡改检查、防侧录传感器、Web 应用防火墙、Subresource Integrity、内容安全策略 (CSP)、第三方脚本监控,以及符合 PCI DSS 的支付流程代码审查。
● 示例
- 01
加油机上的覆盖装置读取磁条信息,针孔摄像头记录 PIN 输入。
- 02
在 Magento 商店中注入 Magecart 风格的脚本,窃取结算表单字段。
● 常见问题
银行卡侧录 (Card Skimming) 是什么?
在刷卡或结账环节通过隐藏的物理装置或网站结算页面的恶意脚本窃取支付卡数据的攻击。 它属于网络安全的 攻击与威胁 分类。
银行卡侧录 (Card Skimming) 是什么意思?
在刷卡或结账环节通过隐藏的物理装置或网站结算页面的恶意脚本窃取支付卡数据的攻击。
银行卡侧录 (Card Skimming) 是如何工作的?
银行卡侧录包含两类相关攻击。物理侧录针对被改造的 ATM、加油机或 POS 终端,在其外层加装薄片读卡器或薄型芯片读取器(shimmer)来复制磁条或芯片信息,常配合针孔摄像头或假键盘以捕获 PIN。电子侧录(也称 Magecart)在存在漏洞的电子商务结算页面注入恶意 JavaScript,把卡号、CVV 与地址发送至攻击者服务器。常见防御包括 EMV 芯片与令牌化钱包、对硬件进行防篡改检查、防侧录传感器、Web 应用防火墙、Subresource Integrity、内容安全策略 (CSP)、第三方脚本监控,以及符合 PCI DSS 的支付流程代码审查。
如何防御 银行卡侧录 (Card Skimming)?
针对 银行卡侧录 (Card Skimming) 的防御通常结合技术控制与运营实践,详见上方完整定义。
银行卡侧录 (Card Skimming) 还有哪些其他名称?
常见的别称包括: Skimming, Magecart, 电子侧录。
● 相关术语
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
- compliance№ 807
PCI DSS
适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。
- attacks№ 275
数据泄露事件
经证实的安全事件,未经授权方访问、外传或披露敏感、受保护或机密信息。
- appsec№ 1114
子资源完整性 (SRI)
浏览器在执行第三方加载的脚本或样式表前,先校验其加密哈希值的机制,防止被篡改的文件被运行。
- appsec№ 214
内容安全策略 (CSP)
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。