Blog

Wat zijn digitale skimmers?

Onlangs lazen we over een nieuwe, grootschalige cyberaanvalscampagne die honderden webwinkels trof door kwetsbaarheden in scripts en plug-ins van derden te misbruiken. Dit is een perfect voorbeeld van een 'digitale skimmer'. Digitale skimmers zijn stukjes code die kwaadaardig worden geïnjecteerd in legitieme websites. Ze zijn gericht op persoonlijke gegevens en creditcardinformatie. Dit probleem neemt toe en is een van de redenen waarom cside is opgericht. Onze proxy kan deze kwaadaardige code detecteren en voorkomen dat deze gebruikers op websites treft.

Aug 29, 2024 • 4 min read

Simon Wijckmans Founder & CEO

Onlangs lazen we over een nieuwe, grootschalige cyberaanvalscampagne die honderden webwinkels trof door kwetsbaarheden in scripts en plug-ins van derden te misbruiken.

Dit is een perfect voorbeeld van een 'digitale skimmer'.

Digitale skimmers zijn stukjes code die kwaadaardig worden geïnjecteerd in legitieme websites. Ze zijn gericht op persoonlijke gegevens en creditcardinformatie.

Dit probleem neemt toe en is een van de redenen waarom cside is opgericht. Onze proxy kan deze kwaadaardige code detecteren en voorkomen dat deze gebruikers op websites treft.

Deze code wordt geladen aan de client-side (de browser) van de gebruiker, in plaats van op de server van de website. Dat maakt het bijzonder moeilijk te detecteren, omdat de meeste websites geen tool zoals cside hebben om de client-side ervaring van hun gebruikers te beschermen.

De meeste van onze concurrenten controleren deze code nadat deze al in de browser van de gebruiker is geladen — ze voorkomen de aanval dus niet, maar waarschuwen alleen de betrokken website. Wij laden alle scripts eerst in een proxy en serveren ze pas aan de gebruiker nadat ze als veilig zijn beoordeeld. Waar mogelijk optimaliseren we scripts ook, zodat ze sneller worden geleverd dan via een Content Delivery Network (CDN), waardoor latentieproblemen worden vermeden. In de praktijk verhogen we de leveringssnelheid van deze scripts zelfs vaak.

Wat er bij deze aanval gebeurde

Deze aanval werd bekendgemaakt door MalwareBytes en was tot voor kort de meest recente in een reeks aanvallen op e-commercesites die gebruikmaken van Magento.

We hebben hier destijds niet over bericht, omdat geen van onze gebruikers momenteel Magento gebruikt.

In ander nieuws merkten we onlangs dat Malwarebytes(.)fr was ingericht als een domeinverkooppagina met een IP-logger. Die stuurde de verzamelde gegevens door naar een Discord-webhook. De webhook werd snel verwijderd of verbannen van Discord. Lees hier waarom verlopen domeinen een groot probleem kunnen zijn en vaak worden gebruikt bij dit soort aanvallen.

Hier is bewijs van die webhook:

Terug naar het verhaal.

Een web supply chain-aanval zoals deze vindt plaats doordat aanvallers Magento (of een plug-in daarin) compromitteren en op afstand simpelweg één regel JavaScript invoegen. Bij de meeste van deze aanvallen — en ook bij deze meest recente — passen de aanvallers een legitiem script aan om zo lang mogelijk onopgemerkt te blijven.

De code is ook geobfusceerd om het nog moeilijker te maken te begrijpen wat er precies wordt uitgevoerd. Dit is een legitieme manier om code te beschermen, en bedrijven gebruiken dit regelmatig om hun code te beveiligen tegen kopiëren of manipulatie.

Vervolgens is de aanval vrij eenvoudig. De code laadt een functie die informatie ophaalt van de betreffende site — informatie die wordt ingevoerd in allerlei formulieren. Het domein in de kwaadaardige code ontvangt die informatie, waarna de aanvallers er toegang toe hebben.

Bij deze aanval richtten ze zich op creditcardinformatie van nietsvermoedende mensen die online aankopen deden. Die mensen kunnen er zelf weinig aan doen, maar de websites waarop de aanval plaatsvindt zijn aansprakelijk en ontvangen vaak boetes van PCI DSS en soms ook rechtszaken.

In dit geval werd de betaalstroom onderbroken tijdens het afrekenen. Er werd een nep-betalingsmethodenvenster ingevoegd en mensen vulden dit formulier in in plaats van het echte. Dit werd gedaan via een eenvoudige image-tag die in één enkele JavaScript-regel was verwerkt.

Dit ziet er zo uit: {domain}.{shop|online)/img/

Kwaadaardige domeinen die tot nu toe bij deze aanvallen zijn aangetroffen:

codcraft(.)shop
codemingle(.)shop
datawiz(.)shop
deslgnpro(.)shop
happywave(.)shop
luckipath(.)shop
pixelsmith(.)shop
salesguru(.)online
statlstic(.)shop
statmaster(.)shop
trendset(.)website
vodog(.)shop
artvislon(.)shop
statistall(.)com
analytlx(.)shop

Dit is wederom een aanval in een reeks die de directe noodzaak onderstreept voor bedrijven om de client-side ervaring van hun gebruikers te beveiligen. Als sites een tool zoals cside hadden geïnstalleerd, zouden hun gebruikers beschermd zijn geweest.

Regelgeving is er al

Vanaf maart 2025 verplicht PCI DSS 4.0 websites met online afrekenpagina's om scripts van derden op hun betaalpagina's te monitoren.

Wij pleiten ervoor om deze scripts niet alleen te monitoren, maar ook te beveiligen voor volledige veiligheid. We schreven hier over het risico van het alleen beveiligen van betaalpagina's en niet de gehele website. Aanvallers passen zich eenvoudig aan en met een snelle doorlooptijd zullen aanvallen waarschijnlijk toch blijven plaatsvinden.

Weet dat door cside te gebruiken, uw gehele website beschermd is.

U kunt gratis aan de slag en binnen enkele minuten beveiligd zijn.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Account sharing detectie: hoe de handhavingskloof te sluiten die gelijktijdige sessielimieten missen

Gelijktijdige sessielimieten signaleren het voor de hand liggende geval.

Hoe Applebot-Extended op Je Website te Blokkeren

Applebot-Extended is Apples AI-trainingscrawler die Apple Intelligence voedt. Leer hoe het verschilt van Applebot en hoe je je afmeldt via robots.txt.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over monitoring van scripts van derden op casinodomeinen

Hoe u scripts van derden kunt monitoren in 100 of meer casinodomeinen

Gids voor het monitoren van scripts van derden op 100+ casinodomeinen: scriptwildgroei, waarschuwingen tussen domeinen en schalen met cside.

Beveiligingsrisico's van agentische AI voor websites: privacy, compliance en detectie

Agentische AI-browsers omzeilen cookietoestemming, voeren echte JavaScript uit en creëren AVG-nalevingslacunes die CDN-level botdetectie niet kan zien.

Illustratie van een tweetraps neuraal botdetectiesysteem dat menselijke en bot-browsersessies van elkaar scheidt

Bots vangen die niet gevangen willen worden: in een tweetraps neurale detectiestack

Hoe een tweetraps neuraal model stealth browsers, geproxyde scrapers en LLM-agents vangt die elke fingerprintcheck doorstaan, plus de grenzen ervan.

Hoe DeepSeekBot op Je Website te Blokkeren

DeepSeekBot crawlt je site voor een Chinees AI-bedrijf. Leer hoe je het blokkeert met robots.txt, IP-regels en de echte datasoevereiniteitsrisico's.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptcompliance voor de Malta Gaming Authority

Malta Gaming Authority-naleving en client-side scriptbeveiliging: wat MGA-gelicentieerde operators moeten afdekken

MGA-regels vereisen een veilig, controleerbaar platform. JavaScript van derden is een nalevingslacune die de meeste operators niet hebben geauditeerd.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over aanvallen via scripts van derden op iGaming-platforms

Scriptaanvallen van derden op iGaming-platforms in 2026: het nieuwe aanvalsoppervlak dat operators over het hoofd zien

JavaScript van derden is het grootste onbewaakte aanvalsoppervlak op iGaming-platforms. De zeven aanvalsklassen en waarom standaardtools ze missen.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

HIPAA-naleving voor websitetracering: de gids voor zorginstellingen over scripts van derden

HHS OCR stelde vast dat trackingpixels en scripts van derden op zorgwebsites PHI kunnen blootstellen. Dit moeten gedekte entiteiten doen om te voldoen.