Entry № 168
银行卡侧录 (Card Skimming)
银行卡侧录 (Card Skimming) 是什么?
银行卡侧录 (Card Skimming)在刷卡或结账环节通过隐藏的物理装置或网站结算页面的恶意脚本窃取支付卡数据的攻击。
银行卡侧录包含两类相关攻击。物理侧录针对被改造的 ATM、加油机或 POS 终端,在其外层加装薄片读卡器或薄型芯片读取器(shimmer)来复制磁条或芯片信息,常配合针孔摄像头或假键盘以捕获 PIN。电子侧录(也称 Magecart)在存在漏洞的电子商务结算页面注入恶意 JavaScript,把卡号、CVV 与地址发送至攻击者服务器。常见防御包括 EMV 芯片与令牌化钱包、对硬件进行防篡改检查、防侧录传感器、Web 应用防火墙、Subresource Integrity、内容安全策略 (CSP)、第三方脚本监控,以及符合 PCI DSS 的支付流程代码审查。
● 示例
- 01
加油机上的覆盖装置读取磁条信息,针孔摄像头记录 PIN 输入。
- 02
在 Magento 商店中注入 Magecart 风格的脚本,窃取结算表单字段。
● 常见问题
银行卡侧录 (Card Skimming) 是什么?
在刷卡或结账环节通过隐藏的物理装置或网站结算页面的恶意脚本窃取支付卡数据的攻击。 它属于网络安全的 攻击与威胁 分类。
银行卡侧录 (Card Skimming) 是什么意思?
在刷卡或结账环节通过隐藏的物理装置或网站结算页面的恶意脚本窃取支付卡数据的攻击。
如何防御 银行卡侧录 (Card Skimming)?
针对 银行卡侧录 (Card Skimming) 的防御通常结合技术控制与运营实践,详见上方完整定义。
银行卡侧录 (Card Skimming) 还有哪些其他名称?
常见的别称包括: Skimming, Magecart, 电子侧录。