Web skimmer / 电子 skimming
Web skimmer / 电子 skimming 是什么?
Web skimmer / 电子 skimming注入到网站中的恶意代码,在客户输入时窃取支付卡或个人数据。
Web skimmer(又称 e-skimmer、数字 skimmer)是 Magecart 类攻击中执行窃取行为的 JavaScript 或服务端代码。它驻留在在线商店的结账流程中,直接从 DOM 或网络请求中读取卡号、CVV、有效期与个人信息,再外传到投放服务器。常见入侵途径包括利用 CMS 漏洞、攻陷第三方脚本、接管被遗弃的 S3 存储桶或盗用管理员凭据。部分 skimmer 还会隐藏在伪造的 favicon 或隐写图片中。防御措施包括启用 CSP 与上报、子资源完整性、PCI DSS v4.0 要求的客户端脚本完整性监控,以及对脚本标签与 Tag Manager 的严格权限控制。
● 示例
- 01
附加在 Magento 模板上的混淆脚本采集 CVV 并发送到一个 typosquatted CDN 域名。
- 02
藏在伪造 favicon 图片中的 skimmer 仅在 Shopify 商店的结账页上触发。
● 常见问题
Web skimmer / 电子 skimming 是什么?
注入到网站中的恶意代码,在客户输入时窃取支付卡或个人数据。 它属于网络安全的 攻击与威胁 分类。
Web skimmer / 电子 skimming 是什么意思?
注入到网站中的恶意代码,在客户输入时窃取支付卡或个人数据。
Web skimmer / 电子 skimming 是如何工作的?
Web skimmer(又称 e-skimmer、数字 skimmer)是 Magecart 类攻击中执行窃取行为的 JavaScript 或服务端代码。它驻留在在线商店的结账流程中,直接从 DOM 或网络请求中读取卡号、CVV、有效期与个人信息,再外传到投放服务器。常见入侵途径包括利用 CMS 漏洞、攻陷第三方脚本、接管被遗弃的 S3 存储桶或盗用管理员凭据。部分 skimmer 还会隐藏在伪造的 favicon 或隐写图片中。防御措施包括启用 CSP 与上报、子资源完整性、PCI DSS v4.0 要求的客户端脚本完整性监控,以及对脚本标签与 Tag Manager 的严格权限控制。
如何防御 Web skimmer / 电子 skimming?
针对 Web skimmer / 电子 skimming 的防御通常结合技术控制与运营实践,详见上方完整定义。
Web skimmer / 电子 skimming 还有哪些其他名称?
常见的别称包括: E-skimmer, 数字 skimmer, JS sniffer。
● 相关术语
- attacks№ 642
Magecart 攻击
在电商结账页面注入恶意 JavaScript,在客户输入支付卡数据的同时进行窃取的一类数字 skimming 攻击。
- attacks№ 431
Formjacking 表单劫持
通过在受害者浏览器中拦截表单提交过程,把输入数据发送给攻击者服务器的攻击。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- identity-access№ 230
凭据收集
大规模收集用户名、密码、令牌等身份验证机密的行为,通常用于后续账户接管或在黑市出售。
- compliance№ 807
PCI DSS
适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。