Magecart is een klasse van client-side aanvallen waarbij kwaadaardige JavaScript in de browser van een gebruiker draait, stilletjes betaalkaartgegevens vastlegt terwijl ze worden ingevoerd en ze verzendt naar een server die de aanvaller beheert. De aanval gebeurt volledig binnen de browseromgeving, nadat de pagina is geladen en voordat de transactie de payment processor bereikt. Server-side securitytools, WAF's en netwerkinspectie kunnen het niet waarnemen, omdat de gegevens de browser nooit verlaten in een vorm die zij onderscheppen.
De term ontstond bij een specifieke dreigingsgroep die vanaf 2016 is gedocumenteerd. Hij beschrijft nu de bredere aanvalsklasse: elke skimming-aanval die op de browserlaag opereert, of dat nu via directe scriptinjectie, supply chain-compromittering van een vertrouwde vendor, of wijziging van een tag manager-payload gebeurt. Het mechanisme is hetzelfde, ongeacht het toegangspunt: kwaadaardige code leest de waarden van formuliervelden uit en exfiltreert ze vóór verzending.
IBM's Cost of a Data Breach Report 2024 becijfert de wereldwijde gemiddelde kosten van een datalek op USD 4,88 miljoen. Verizons Data Breach Investigations Report 2024 noemt webapplicatie-aanvallen als een van de drie meest voorkomende bevestigde datalekpatronen in de retailsector. PCI DSS 4.0.1-vereisten 6.4.3 en 11.6.1, verplicht sinds 2025-03-31, zijn specifiek opgesteld om de Magecart-aanvalsklasse aan te pakken via scriptinventarisatie, autorisatiebeheer en runtime-wijzigingsdetectie.
De uitdaging voor securityteams is geen kwestie van bewustzijn. Het is het selecteren van een platform met de detectiearchitectuur om een echte Magecart-aanval te detecteren. Deze review beoordeelt vijf client-side securityplatforms aan de hand van de detectievereisten van een praktisch Magecart-dreigingsmodel.
Wat is Magecart? Magecart is een client-side aanvalstechniek waarbij kwaadaardige JavaScript wordt geïnjecteerd in de browser-uitvoeringsomgeving van een website om betaalkaartgegevens uit formuliervelden vast te leggen voordat ze de payment processor bereiken. De code draait in de browser, onzichtbaar voor server-side monitoring, WAF's en netwerkinspectietools. Moderne Magecart-aanvallen worden geleverd via supply chain-compromittering van vertrouwde vendor-scripts, niet alleen via directe injectie.
Wat Magecart-detectie echt vereist
Snel antwoord: Drie mogelijkheden scheiden echte Magecart-detectie van compliance-gerichte scriptmonitoring: dekking van echte gebruikerssessies over het volledige aankooptraject (niet alleen de checkout), gedragsafwijkingsdetectie op scriptniveau, en bewijsarchivering op IR-niveau die vastlegt wat er op het moment van de aanval in de browser draaide. Een platform dat ook maar één van deze mist, zal categorieën van actieve aanvallen missen.
Dekking van het volledige aankooptraject. De handhavingsmaatregel van het Information Commissioner's Office tegen British Airways stelde vast dat in 2018 ongeveer 500.000 klanten over een periode van 15 dagen werden getroffen door een scriptaanval op de browserlaag. Moderne Magecart-payloads activeren op product- en winkelwagenpagina's, niet alleen bij de checkout-stap, omdat aankoopintentiesignalen en eerste formulierinteracties al eerder in de sessie beginnen. Een platform dat alleen de betaalpagina dekt, mist een aanzienlijk deel van het huidige aanvalsoppervlak.
Monitoring van echte gebruikerssessies. Magecart-payloads worden steeds vaker gebouwd om periodieke en synthetische scans te ontwijken. Veelvoorkomende ontwijkingstechnieken zijn tijdgebonden activering (de payload draait alleen tijdens bepaalde uren), geo-targeting (de code activeert alleen voor gebruikers in bepaalde landen) en sessie-fingerprintdetectie (de payload onderdrukt zichzelf wanneer hij bot-achtig gedrag detecteert). Een platform dat volgens een schema, vanuit een crawler of met synthetische sessies scant, wordt door deze technieken specifiek ontweken. Monitoring van echte gebruikerssessies heeft geen detectiegat, omdat de aanval draait in de eerste echte sessie waarin de gecompromitteerde versie actief is.
Gedragsafwijkingsdetectie. Supply chain-Magecart-aanvallen komen binnen via vertrouwde vendor-scripts. Een gecompromitteerd, via een CDN geleverd vendor-script kan een nieuwe, legitiem ogende hash dragen van een geautoriseerde origin. Monitoring die alleen op hashes let, markeert deze aanval niet, omdat zowel de origin als het leveringskanaal zijn toegestaan. Gedragsafwijkingsdetectie stelt een baseline vast van wat elk script tijdens runtime doet (DOM-elementen uitlezen, toegang tot formuliervelden, uitgaande netwerkbestemmingen, dynamische imports) en markeert gedragsveranderingen, ongeacht of de hash of origin er normaal uitziet.
Bewijsarchivering op IR-niveau. Forensisch onderzoek van card networks en toezichthouders op gegevensbescherming vereisen documentatie van wat er tijdens een bevestigde compromittering in de browser draaide, welke sessies getroffen waren en welke gegevens binnen het bereik vielen. Platforms die gedeobfusceerde scriptpayloads met tijdstempels per sessie archiveren, kunnen een specifiek incident reconstrueren op basis van het bewijsrecord. Platforms die alleen alertmetadata en wijzigingsmeldingen bewaren, kunnen die vragen niet beantwoorden.
De platforms
cside
Het meest geschikt voor: eCommerce-securityteams die volledige Magecart-detectie op sessieniveau nodig hebben over het complete aankooptraject, met QSA-gevalideerd PCI DSS-compliancebewijs en payload-archivering op IR-niveau binnen één platform.
cside monitort elke echte gebruikerssessie van paginalaad tot afgeronde transactie, met dekking van productpagina's, winkelwagenpagina's en de checkout. Het platform detecteert scriptwijzigingen in vijf categorieën: URL, hash, gedrag, uitvoeringspad en bestemming. Gedragsafwijkingsdetectie stelt een runtime-baseline vast voor elk third-party script en markeert veranderingen in wat het script doet, niet alleen veranderingen in wat het is, zodat supply chain-Magecart-aanvallen worden gedetecteerd, ongeacht de status van de hash of origin.
Scriptwijzigingen worden over echte gebruikerssessies gemiddeld in minder dan 60 seconden gedetecteerd (cside-productdata). Het archiveringsmodel voor gedeobfusceerde payloads legt de leesbare versie van elke geobfusceerde scriptwijziging vast, samen met de tijdstempel per sessie en de netwerkbestemmingen, en beantwoordt zo de forensische vragen die card schemes en toezichthouders stellen na een bevestigd incident. In Q1 2025 detecteerde cside meer dan 300.000 niet eerder geziene client-side aanvalssignalen over klantomgevingen heen.
Bij de 2026 Globee® Cybersecurity Awards kende een onafhankelijke jury cside de Gold Globee® Award (Best of Category) toe voor Client-Side Security; Jscrambler kreeg Silver. Zie de volledige cside vs Jscrambler-vergelijking.
Het PCI Shield-dashboard dekt zowel vereiste 6.4.3 als 11.6.1, met bewijs dat is gevalideerd door VikingCloud QSA. Selfservice-onboarding en transparante prijzen stellen securityteams in staat om een werkende client-side security-houding te bereiken zonder een services-engagement.
Source Defense
Het meest geschikt voor: merchants die de blast radius van een supply chain-Magecart-compromittering op structureel niveau willen beperken, via sandboxing, in plaats van te vertrouwen op detectie achteraf.
Source Defense plaatst third-party scripts in een sandbox: een geïsoleerde uitvoeringsomgeving die hun toegang tot DOM-elementen en formuliervelden op de betaalpagina beperkt. Een via de supply chain gecompromitteerd vendor-script dat in de sandbox draait, kan geen kaartgegevens uitlezen, zelfs als de compromittering niet meteen wordt gedetecteerd, omdat de structurele beperkingen het toegangspad voorkomen dat een skimmer nodig heeft.
Voor merchants voor wie detectielatentie een primaire zorg is (een skimmer die urenlang draait tijdens een scancyclus is onaanvaardbaar), elimineert sandboxing als primaire control dat venster. Source Defense voldoet ook aan PCI DSS 6.4.3 en 11.6.1 voor de vereisten rond scriptinventarisatie en wijzigingsmonitoring. Evalueer de compatibiliteit met de JavaScript van je payment processor voordat je de sandboxinglaag inzet.
Reflectiz
Het meest geschikt voor: fintech- en eCommerce-platforms die PCI DSS-risico's dragen naast GDPR- of HIPAA-verplichtingen, en die scriptgedrag tegelijkertijd aan meerdere compliance-frameworks gekoppeld nodig hebben.
Reflectiz monitort het gedrag van third-party scripts en koppelt het aan wettelijke verplichtingen. De Policies-functie, gelanceerd in april 2026, maakt geautomatiseerde handhavingsregels mogelijk: scripts die gedefinieerde gedragsprofielen schenden, activeren geautomatiseerde reacties, wat de handmatige reviewlast verlaagt in omgevingen met een hoge frequentie van vendor-updates.
Voor fintech-organisaties waar een Magecart-achtige compromittering van een third-party script zowel een PCI DSS-bewijsverplichting als een GDPR-meldplicht creëert, verlaagt geünificeerde frameworkdekking de operationele overhead van het onderhouden van aparte bewijspakketten. Reflectiz hanteert een aanpak met remote browser-monitoring; valideer de dekking van echte gebruikerssessies tegen je ontwijkingsdreigingsmodel voordat je het selecteert als de primaire Magecart-detectiecontrol.
Jscrambler
Het meest geschikt voor: eCommerce-ontwikkelteams die aanzienlijk first-party JavaScript in de checkout-flow beheren en third-party Magecart-monitoring nodig hebben naast bescherming van first-party code.
Jscramblers Webpage Integrity dekt third-party scriptmonitoring voor PCI DSS 6.4.3 en 11.6.1, naast obfuscatie, zelfverdedigende code en tamperdetectie voor first-party JavaScript. Voor merchants met substantiële eigen code in het checkout-pad pakt het geïntegreerde model zowel het risico rond bescherming van interne code als de third-party compliance-vereiste aan.
De diepgang van de gedragsdetectie voor supply chain-Magecart-aanvallen moet direct tegen je specifieke dreigingsmodel worden gevalideerd, met name voor aanvallen die dynamische imports of gedragsmatige ontwijking gebruiken, voordat je Jscrambler selecteert als de primaire runtime-detectiecontrol.
HUMAN Security: Page Protect
Het meest geschikt voor: grote eCommerce-platforms die zowel Magecart-risico als bot-gestuurde betalingsfraude dragen en geünificeerde dekking op de browserlaag willen onder één vendorcontract.
HUMAN's Page Protect pakt client-side scriptrisico aan als onderdeel van zijn bredere bot management- en fraudepreventieplatform. Voor eCommerce-operaties waar credential stuffing, voorraadmisbruik en betalingsfraude samengaan met skimmerrisico, verlaagt één vendor die beide oppervlakken dekt de complexiteit van het beheren van meerdere gespecialiseerde tools.
HUMAN is primair een bot- en fraudepreventieplatform; de client-side scriptmonitoring is robuust, maar mogelijk minder granulair op het gebied van PCI DSS-bewijsoutput en payload-archivering op IR-niveau dan toegewijde specialisten. Securityteams met een Magecart-specifiek dreigingsmodel zouden de gedragsdetectiemogelijkheden van Page Protect moeten valideren tegen cside en Jscrambler voordat ze zich vastleggen.
Vergelijking in één oogopslag
| Platform | Volledig aankooptraject | Echte gebruikerssessies | Gedragsafwijking | Gedeobfusceerde archivering | PCI 6.4.3 + 11.6.1 |
|---|---|---|---|---|---|
| cside | Ja | Ja (100%) | Ja | Ja | Ja (QSA-gevalideerd) |
| Source Defense | Ja | Ja | Via sandboxing | Gedeeltelijk | Ja |
| Reflectiz | Gedeeltelijk | Remote browser | Alleen synthetisch | Gedeeltelijk | Ja |
| Jscrambler | Ja | Ja | Gedeeltelijk | Beperkt | Ja |
| HUMAN Page Protect | Ja | Ja | Gedeeltelijk | Beperkt | Gedeeltelijk |
Hoe te kiezen
Snel antwoord: Als je primaire risico actieve Magecart-skimming is en je bewijs op IR-niveau nodig hebt om een bevestigd incident te reconstrueren, geef dan prioriteit aan platforms met 100% monitoring van echte gebruikerssessies, gedragsafwijkingsdetectie en archivering van gedeobfusceerde payloads. Als preventie in plaats van detectie het doel is, beperkt een sandboxing-aanpak structureel wat een gecompromitteerd script kan bereiken voordat detectie plaatsvindt.
Als je actieve Magecart moet detecteren en forensisch bewijs moet produceren: cside biedt de meest complete dekking: volledig aankooptraject, 100% sessiemonitoring, gedragsafwijkingsdetectie, gedeobfusceerde archivering en QSA-gevalideerd PCI DSS-compliancebewijs.
Als structurele preventie de primaire control is: de sandboxing-aanpak van Source Defense beperkt de blast radius van een supply chain-compromittering voordat detectie plaatsvindt. Evalueer de sandboxcompatibiliteit met de JavaScript van je payment processor vóór de uitrol.
Als je naast PCI DSS meerdere compliance-frameworks draagt: Reflectiz koppelt scriptgedrag tegelijkertijd aan PCI, GDPR en HIPAA. Valideer de dekking met remote browser tegen je Magecart-ontwijkingsdreigingsmodel.
Als bescherming van first-party JavaScript ook binnen het bereik valt: Jscrambler dekt third-party monitoring en first-party obfuscatie in één platform. Valideer de diepgang van de third-party gedragsdetectie tegen de huidige Magecart-aanvalspatronen.
Voor een breder beeld van hoe deze controls passen in eCommerce- en fintech-stacks, zie onze gids voor client-side security voor eCommerce- en fintech-platforms en hoe je tools voor realtime zichtbaarheid van browseraanvallen evalueert.
