Skip to main content
Blog
Blog Attacks

Formjacking vs Magecart vs digital skimming: wat is het verschil?

Digital skimming is het gevolg van datadiefstal, formjacking is de techniek om data te onderscheppen en Magecart is het ecosysteem van aanvallers.

Jul 10, 2026 8 min read
Formjacking vs Magecart vs digital skimming: wat is het verschil?

Formjacking, Magecart en digital skimming zijn drie lagen van één dreiging. Digital skimming is het gevolg: betaal- of persoonsgegevens die door kwaadaardige client-side code van een site worden gestolen. Formjacking is een onderscheppingstechniek die formulierinvoer kaapt. Magecart benoemt de groepen aanvallers die deze campagnes uitvoeren. Een Magecart-groep voert een digital-skimming-campagne uit die vaak gebruikmaakt van formjacking.

De termen worden in koppen vrijelijk door elkaar gehaald, wat het lastiger maakt om je tegen de dreiging te verdedigen. Behandel je ze als één ding, dan kun je uiteindelijk een tool kopen die de verkeerde laag aanpakt. Deze gids scheidt het gevolg, de techniek en de actor, en legt vervolgens uit waarom deze aanvallen langs server-side controls glippen en hoe client-side monitoring ze onderschept.

Wat is digital skimming?

Digital skimming, ook wel e-skimming of web skimming genoemd, is het stelen van gevoelige gegevens rechtstreeks van een website met kwaadaardige code die in de browser van de bezoeker draait. Het klassieke doelwit is betaalkaartgegevens op een afrekenpagina: kaartnummer, vervaldatum en CVV. Skimmers verzamelen ook inloggegevens, adressen en andere persoonlijke informatie die in een formulier wordt getypt.

De naam komt van fysieke kaartskimmers die op pinautomaten en benzinepompen worden bevestigd. De digitale variant levert hetzelfde resultaat op zonder hardware. Kwaadaardige JavaScript leest de gegevens uit terwijl de gebruiker ze invoert en stuurt stilletjes een kopie naar een domein dat door de aanvaller wordt beheerd. De transactie wordt nog steeds normaal afgerond, dus slachtoffers en site-eigenaren merken vaak wekenlang niets.

Digital skimming beschrijft het gevolg. Het zegt niets over hoe de code daar terechtkwam of wie hem daar plaatste. Daar komen de andere twee termen om de hoek kijken.

Wat is formjacking?

Formjacking is een techniek om gegevens uit webformulieren te onderscheppen. De aanvaller injecteert code die zich vasthaakt aan formuliervelden en die de invoer kaapt of overlapt, zodat toetsaanslagen worden gekopieerd terwijl de gebruiker typt. Het legitieme formulier werkt nog gewoon, en de aanvaller krijgt simpelweg een parallelle kopie van alles wat wordt ingevoerd.

Formjacking is een van de meest gangbare manieren om digital skimming uit te voeren, maar het is niet de enige. Skimmers kunnen ook:

  • De DOM rechtstreeks uitlezen en veldwaarden scrapen wanneer de gebruiker op "betalen" klikt
  • Event listeners op de verzendknop hooken om de formulierpayload te bemachtigen
  • Netwerkverzoeken onderscheppen (bijvoorbeeld door fetch of XMLHttpRequest te patchen)
  • Een nep-betaal-iframe over het echte iframe leggen om kaartgegevens vast te leggen

Formjacking valt binnen de bredere categorie van skimming-technieken. Elke formjacking-aanval is een skimming-aanval, maar niet elke skimming-aanval maakt gebruik van formjacking. Voor een volledig technisch overzicht van hoe formjacking werkt — de injectie-routes, detectiesignalen en preventiemaatregelen — raadpleeg onze uitgebreide gids over formjacking.

Wat is Magecart?

Magecart is geen enkel stuk malware of één enkele groep. Het is de overkoepelende naam die securityonderzoekers gaven aan het losse ecosysteem van aanvallers die digital-skimming-campagnes uitvoeren, oorspronkelijk gericht tegen Magento-webwinkels (vandaar "Mage"). RiskIQ en andere bedrijven hielden deze bij als genummerde groepen, elk met een eigen infrastructuur, codestijl en doelwitkeuze.

Een Magecart-operatie verloopt doorgaans in vier fasen:

  1. Een script compromitteren dat het doelwit laadt, vaak een third-party tag (analytics, chat, A/B-testing) of een zelf-gehost JavaScript-bestand
  2. Een skimmer injecteren die wordt geactiveerd op afreken- of inlogpagina's
  3. De data onderscheppen, vaak met formjacking, en versturen naar een domein van de aanvaller
  4. De gestolen kaarten of inloggegevens te gelde maken

Magecart verwijst naar wie en de campagne. Formjacking verwijst naar hoe de data wordt onderschept. Digital skimming verwijst naar het resultaat. Dit zijn geen concurrerende termen. Ze stapelen op elkaar.

Hoe de drie termen zich verhouden: een vergelijkingstabel

Door elke term te koppelen aan de laag die hij beschrijft, houd je ze uit elkaar, samen met een echt voorbeeld en hoe verdedigers ze onderscheppen.

TermWat het isPraktijkvoorbeeldHoe het wordt gedetecteerd
Digital skimmingHet gevolg: betaalgegevens of PII gestolen via kwaadaardige client-side codeBritish Airways 2018, waar geïnjecteerde JavaScript kaartgegevens skimde en 429.612 klanten in gevaar brachtClient-side monitoring die data markeert die naar niet-geautoriseerde domeinen wordt verstuurd
FormjackingEen techniek: formulierinvoer kapen of overlappen om data vast te leggen terwijl die wordt getyptSkimmers die afrekenvelden hooken om kaartgegevens te kopiëren bij verzendingRuntime-detectie van onverwachte listeners en wijzigingen op formuliervelden
MagecartDe groepen aanvallers en het bredere e-skimming-ecosysteemMagecart-groepen die in verband worden gebracht met de British Airways- en Ticketmaster-inbreukenGecompromitteerde third-party scripts en bekende infrastructuur van aanvallers volgen

De relatie in één zin: een Magecart-groep (de actor) voert een digital-skimming-campagne (het gevolg) uit die vaak gebruikmaakt van formjacking (de techniek).

Bekende praktijkincidenten

Twee inbreuken uit 2018 blijven de canonieke voorbeelden, en ze laten zien hoe de lagen in elkaar passen.

British Airways (2018). Aanvallers pasten JavaScript in het betaalproces van de luchtvaartmaatschappij aan, zodat kaartgegevens naar een domein van de aanvaller werden gekopieerd terwijl boekingen normaal werden afgerond. De inbreuk bracht tussen juni en september 2018 de persoonsgegevens van 429.612 klanten in gevaar, en RiskIQ en andere onderzoekers brachten het in verband met Magecart. De Britse Information Commissioner's Office (ICO) legde in oktober 2020 een boete van 20 miljoen pond op, verlaagd ten opzichte van een aanvankelijk voorgestelde 183,39 miljoen pond, wat het tot een van de meest geciteerde regelgevende gevolgen van client-side skimming maakt. (British Airways-datalek, Wikipedia; The Register)

Ticketmaster (2018). Ticketmaster maakte aanvankelijk bekend dat ongeveer 40.000 klanten in het VK werden getroffen door kwaadaardig geïnjecteerde code op betaalpagina's; het bredere incident werd later ingeschat als goed voor maximaal 5% van de wereldwijde klantenbasis. De skimmer bereikte Ticketmaster via een gecompromitteerd script van een externe leverancier in plaats van een directe compromittering van Ticketmasters eigen code. (Magecart, Wikipedia)

Dat third-party detail is van belang. Je kunt perfecte first-party code schrijven en alsnog een skimmer aan je gebruikers uitleveren, omdat een leveranciersscript dat je vertrouwt stroomopwaarts werd gecompromitteerd. De meeste teams laden tientallen third-party scripts op gevoelige pagina's, en elk daarvan is een potentieel injectiepunt.

Waarom server-side tools en WAF's deze aanvallen missen

Skimming, formjacking en Magecart worden allemaal in de browser uitgevoerd, nadat je server zijn werk heeft gedaan. Die eigenschap is wat traditionele controls in de problemen brengt:

  • Web application firewalls inspecteren verzoeken die bij je origin binnenkomen. Een skimmer leest het formulierveld uit en stuurt de data rechtstreeks naar een domein van de aanvaller, dus het kwaadaardige verkeer passeert de WAF nooit.
  • Server-side scanners controleren de code op je servers. Een gecompromitteerde third-party tag wordt tijdens runtime vanaf het domein van de leverancier geladen, dus hij staat nooit in je repository of op je origin om te scannen.
  • Netwerkmonitoring ziet versleuteld HTTPS-verkeer tussen de browser en diverse domeinen. Exfiltratie naar een domein van de aanvaller ziet er vaak uit als een gewone analytics-beacon.

Verizon's Data Breach Investigations Report heeft webapplicatie-aanvallen en het misbruik van third-party code herhaaldelijk aangemerkt als een belangrijke inbreukvector, en de reactie van normalisatie-instanties bevestigt waar het gat zit. (Verizon DBIR) PCI DSS 4.0.1 voegde vereisten 6.4.3 en 11.6.1 toe om client-side risico's rechtstreeks aan te pakken: organisaties moeten elk script op betaalpagina's beheren en monitoren en ongeautoriseerde wijzigingen aan die pagina's detecteren. (PCI Security Standards Council) Die vereisten bestaan omdat Magecart heeft bewezen dat server-side security niet genoeg is.

Hoe client-side monitoring skimming in realtime detecteert

Als de aanval in de browser draait, moet de verdediging de browser zien. Client-side monitoring houdt elk script in de gaten terwijl het voor de gebruiker wordt uitgevoerd, de enige plek waar een skimmer zich blootgeeft. Effectieve detectie omvat:

  • Scriptinventaris en wijzigingsdetectie. Ken elk script dat op gevoelige pagina's draait en word gewaarschuwd zodra er een wordt toegevoegd, gewijzigd of zich anders gaat gedragen.
  • Gedrag van formuliervelden. Markeer onverwachte listeners die aan invoervelden worden gekoppeld, overlays die op betaalvelden worden geplaatst en code die formulierwaarden uitleest die het niet zou mogen aanraken.
  • Exfiltratiemonitoring. Detecteer data die naar domeinen wordt verstuurd die niet op je allowlist staan, wat de kenmerkende zet van een skimmer is.

cside werkt op deze laag. Het analyseert scripts en monitort het runtime-gedrag, zodat het Magecart in realtime kan detecteren en een gemanipuleerd third-party script onderschept zodra het verandert, niet weken later wanneer de kaarten al verkocht zijn. Voor betaalpagina's koppelt PCI Shield deze monitoring aan PCI DSS 4.0.1 vereisten 6.4.3 en 11.6.1, en de bredere oplossing voor client-side security dekt inlog- en andere gevoelige processen.

Voor een breder beeld van het tooling-landschap, zie onze gids over client-side security tools.

Alles bij elkaar

Formjacking, Magecart en digital skimming zijn niet drie afzonderlijke problemen die drie afzonderlijke producten nodig hebben. Het zijn drie perspectieven op één dreiging die in de browser leeft: de actor, de techniek en het gevolg. Je tegen alle drie verdedigen komt neer op één capaciteit: realtime inzicht in wat elk script doet in de browsers van je gebruikers.

Server-side controls blijven noodzakelijk, maar ze zijn blind voor de laag waar deze aanvallen plaatsvinden. De teams die skimmers vroeg onderscheppen, zijn degenen die het scriptgedrag tijdens runtime in de gaten houden, het vergelijken met een bekende, betrouwbare baseline en alarm slaan zodra een vertrouwd script iets begint te doen wat het nooit eerder deed.

Boek een demo om te zien hoe cside formjacking, Magecart en digital skimming op je live pagina's detecteert, of verken het bredere tooling-landschap in onze gids over client-side security tools.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Digital skimming is het gevolg: het stelen van betaal- of persoonsgegevens van een site met kwaadaardige client-side code. Formjacking is een veelgebruikte techniek om daar te komen, waarbij formulierinvoer wordt gekaapt of overlapt om data vast te leggen terwijl de gebruiker typt. Magecart is de naam die securityonderzoekers geven aan de groepen aanvallers en het bredere e-skimming-ecosysteem. In de praktijk voert een Magecart-groep een digital-skimming-campagne uit die vaak gebruikmaakt van formjacking om de data te onderscheppen.

Nee. Formjacking is een techniek. Magecart is een naam voor de groepen en het ecosysteem achter veel skimming-campagnes. Een Magecart-actor kan formjacking gebruiken, maar skimming werkt ook door netwerkverzoeken uit te lezen, de DOM te scrapen of event listeners te hooken. De termen overlappen in de pers, maar ze beschrijven verschillende lagen: wie er aanvalt (Magecart), hoe ze data onderscheppen (formjacking) en wat het resultaat is (digital skimming).

Onderzoekers van RiskIQ en anderen brachten de British Airways-inbreuk van 2018 in verband met Magecart. Aanvallers pasten JavaScript in het betaalproces van de luchtvaartmaatschappij aan, zodat kaartgegevens naar een domein van de aanvaller werden gekopieerd terwijl boekingen normaal werden afgerond. De inbreuk bracht de persoonsgegevens van 429.612 klanten in gevaar, en de Britse ICO legde in oktober 2020 een boete van 20 miljoen pond op (verlaagd ten opzichte van een aanvankelijk voorgestelde 183,39 miljoen pond). Het blijft een van de meest geciteerde voorbeelden van client-side digital skimming.

Skimming en formjacking worden uitgevoerd in de browser van de gebruiker, nadat content je server heeft verlaten. Een web application firewall inspecteert verzoeken die je origin bereiken, maar een skimmer kan het formulierveld uitlezen en de data rechtstreeks naar een domein van de aanvaller sturen zonder ooit je backend aan te raken. Server-side controls hebben geen zicht op hoe JavaScript zich tijdens runtime in de browser gedraagt, en dat is precies waar deze aanvallen plaatsvinden.

Detecteer ze met client-side monitoring die elk script in de gaten houdt terwijl het in de browser wordt uitgevoerd. Effectieve detectie markeert nieuwe of gewijzigde third-party scripts, onverwachte listeners op formuliervelden en data die naar niet-geautoriseerde domeinen wordt verstuurd. cside analyseert scripts en monitort het runtime-gedrag, zodat een gemanipuleerd third-party script wordt onderschept zodra het verandert in plaats van weken later na een inbreuk.

Ja. PCI DSS 4.0.1 vereisten 6.4.3 en 11.6.1 verplichten organisaties om de scripts die op betaalpagina's draaien te beheren en te monitoren en om ongeautoriseerde wijzigingen aan die pagina's te detecteren. Deze vereisten bestaan grotendeels vanwege Magecart-achtige skimming, en ze sturen teams richting continue client-side scriptmonitoring in plaats van periodieke handmatige controle.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo