Samenvatting
- Online card skimming is kwaadaardige JavaScript op de betaalpagina van een handelaar die betaalkaartgegevens kopieert terwijl de klant ze typt.
- Aanvallers plaatsen het script door een plugin van derden, een analysebibliotheek of een tagmanager die de site al laadt te compromitteren.
- De gestolen gegevens verlaten de browser rechtstreeks naar een server die door de aanvaller wordt beheerd. Uw backend, WAF en betalingsverwerker zien het nooit.
- Het Halfjaarlijkse Dreigingsrapport van Visa voor voorjaar 2025 identificeert digitale skimming als "een van de meest prolifieke en consistente dreigingen" in het betalingsecosysteem.
- PCI DSS 4.0.1-vereisten 6.4.3 en 11.6.1, verplicht sinds 31 maart 2025, bestaan specifiek om dit aanvalstype tegen te gaan.
Wat is online card skimming?
- Online card skimming
- Online card skimming is een cyberaanval waarbij kwaadaardige JavaScript wordt uitgevoerd in de browser van een klant op de betaalpagina van een handelaar. Terwijl de gebruiker zijn kaartnummer, vervaldatum, CVV en factuuradres in het betaalformulier invoert, kopieert het script die gegevens en verzendt ze naar een server die de aanvaller beheert, voordat de betaling wordt ingediend.
De term "card skimming" is afkomstig van fysieke fraude: een hardwareapparaat bevestigd aan een geldautomaat of kassaterminal dat de magneetstrip van de kaart leest en de pincode registreert wanneer een klant die invoert. Online card skimming werkt op hetzelfde principe maar heeft geen fysiek apparaat nodig. Een paar regels JavaScript vervangen de hardware. De aanval laat geen fysiek spoor achter, kan maandenlang onopgemerkt blijven en kan tegelijkertijd op duizenden websites worden ingezet via één gecompromitteerd script van derden.
Het Halfjaarlijkse Dreigingsrapport van Visa voor voorjaar 2025 identificeerde digitale skimming als een van de "meest prolifieke en consistente dreigingen" in het betalingsecosysteem, waarbij werd opgemerkt dat het eCommerce Threat Disruption-programma van het bedrijf actief handelaarssites scant op skimmersignaturen in Noord-Amerika en Europa.
Voor een aanvullende blik op de browseruitvoering van deze aanval, zie onze gedetailleerde e-skimminghandleiding.
Hoe aanvallers card skimmingscripts inzetten
Aanvallers hebben codeuitvoering nodig op de doelbetaalpagina. Ze krijgen dit via supply chain-toegangspunten in plaats van de server van de handelaar direct aan te vallen:
- Een gecompromitteerde plugin van derden, CMS-extensie of widget die de site van de handelaar al laadt
- Een kwaadaardige update gepusht naar een CDN-gehoste analyse- of tagmanagerbibliotheek
- Een inbraak in het CMS-beheerderspaneel of de coderepository van de handelaar
Zodra ze controle hebben over een JavaScript-bestand dat wordt uitgevoerd op de betaalpagina, voegen ze de skimmingpayload toe. Het script koppelt zich aan betaalformuliervelden. Terwijl de klant typt, kopieert het script elke waarde, codeert de gegevens en verzendt ze via HTTPS naar een door de aanvaller beheerd domein, typisch een typosquatted look-alike ontworpen om op te gaan in netwerktransactielogboeken. Het exfiltratiereverzoek passeert nooit de server van de handelaar.
Drie eigenschappen maken dit bijna onzichtbaar van buiten de browser: het uitgaande verzoek is versleuteld; het bestemmingsdomein bootst een legitieme verkoper na; en de payload is klein genoeg om te lijken op routinematig analyseverkeer.
Waarom scanners van code in rust het missen
De meeste websitebeveiligingstools halen een pagina op, analyseren de HTML- en JavaScript-broncode en markeren bekende kwaadaardige handtekeningen. Online card skimming ontwijkt deze aanpak om een structurele reden: de skimmer wordt uitgevoerd in de echte browser van een gebruiker, waar de aanvaller voorwaardelijke logica kan toepassen die een scanner nooit activeert.
Een script kan schone code teruggeven aan headless crawlers en alleen activeren wanneer het menselijk gedrag, een echt IP-adres of een specifieke geografische regio detecteert. De WAF, de oorspronkelijke server en de betalingsverwerker van de handelaar ontvangen nooit enig bewijs van de diefstal. Alleen een bewakingslaag die wordt uitgevoerd binnen echte bezoekerssessies kan het script observeren zoals het zich werkelijk gedraagt.
Bekende online card skimming-aanvallen
British Airways (2018). Aanvallers plantten 22 regels JavaScript op ba.com die betaalgegevens exfiltreerden naar een look-alike domein, baways[.]com. Het script liep ongeveer twee maanden onopgemerkt en trof ongeveer 500.000 klanten en medewerkers. Het Information Commissioner's Office van het Verenigd Koninkrijk legde een initiële boete op van £183 miljoen onder de AVG, later verlaagd naar £20 miljoen. De zaak was een van de eerste spraakmakende handhavingsacties van de AVG die direct verband hielden met een beveiligingsfout aan de clientzijde van betalingen.
Magecart (doorlopend). De naam is afkomstig van aanvallen gericht op op Magento gebaseerde winkelwagentjes, maar bestrijkt nu tientallen afzonderlijke dreigingsgroepen die online card skimming gebruiken op vele platforms. Magecart-actoren hebben leveranciers van scripts van derden gecompromitteerd wiens bibliotheken tegelijkertijd op duizenden handelaarssites worden uitgevoerd, waardoor één supply chain-inbreuk wordt omgezet in een massale kaartdiefstalevenement. Zie de grootste Magecart-aanvallen in de geschiedenis.
PCI DSS 4.0.1-vereisten voor preventie van card skimming
PCI DSS 4.0.1 introduceerde twee vereisten die online card skimming rechtstreeks aanpakken. Beide werden verplicht op 31 maart 2025:
Vereiste 6.4.3 verplicht dat elk script dat op een betaalpagina wordt geladen, wordt gedocumenteerd in een inventaris, wordt geautoriseerd met een zakelijke rechtvaardiging en dat de integriteit ervan wordt beschermd. Het doel is te voorkomen dat ongeautoriseerde scripts worden uitgevoerd waar kaartgegevens worden ingevoerd.
Vereiste 11.6.1 verplicht een manipulatiedetectiemechanisme dat waarschuwt voor ongeautoriseerde wijzigingen in betaalpaginascripts en beveiligingsgerelateerde HTTP-headers, ten minste wekelijks of op een risicogeanalyseerd schema geëvalueerd.
Handmatige scriptaudits en eenmalige scans kunnen niet voldoen aan deze vereisten op het volume en de frequentie die ze specificeren. Geautomatiseerde, continue bewaking van wat scripts werkelijk doen in echte browsers is de basislijn die beide vereisten zijn geschreven om te handhaven.
| Vereiste | Wat het verplicht | Verplicht sinds |
|---|---|---|
| 6.4.3 | Scriptinventaris, autorisatie en integriteit op betaalpagina's | 31 maart 2025 |
| 11.6.1 | Manipulatiedetectie met waarschuwingen voor wijzigingen op betaalpagina's | 31 maart 2025 |
Hoe online card skimming te detecteren
Detectie vereist zichtbaarheid in wat scripts doen binnen echte bezoekersbrowsers, niet alleen hoe hun broncode eruitziet tijdens scantijd. cside zet een enkel JavaScript-fragment van eerste partij in (geen proxy, geen DNS-wijzigingen) dat scriptgedrag op browserniveau bewaakt bij elke echte paginalaadbeurt.
De signalen die cside detecteert voor online card skimming-detectie:
- Nieuwe of gewijzigde scripts die zonder autorisatie op betaalpagina's verschijnen
- Onverwachte luisteraars op invoervelden die kaartgegevens verwerken
- Uitgaande verzoeken naar domeinen buiten een geautoriseerde acceptatielijst
- Scriptgedrag dat verschilt tussen geautomatiseerde sessies en echte gebruikerssessies
Dit produceert het continue, realtime record dat PCI DSS 4.0.1 vereist: een geautoriseerde scriptinventaris voor 6.4.3 en manipulatiedetectiebewijs voor 11.6.1.
Verder lezen:





