Skip to main content
Blog
Blog Attacks

Wat is online card skimming? Hoe aanvallers betaalkaartgegevens stelen van websites

Kwaadaardige JavaScript op betaalpagina's legt kaartnummers vast vóór versleuteling. Hoe online card skimming werkt, echte voorbeelden en PCI DSS 4.0.1-vereisten.

Jul 08, 2026 6 min read
Wat is online card skimming? Hoe aanvallers betaalkaartgegevens stelen van websites

Samenvatting

  • Online card skimming is kwaadaardige JavaScript op de betaalpagina van een handelaar die betaalkaartgegevens kopieert terwijl de klant ze typt.
  • Aanvallers plaatsen het script door een plugin van derden, een analysebibliotheek of een tagmanager die de site al laadt te compromitteren.
  • De gestolen gegevens verlaten de browser rechtstreeks naar een server die door de aanvaller wordt beheerd. Uw backend, WAF en betalingsverwerker zien het nooit.
  • Het Halfjaarlijkse Dreigingsrapport van Visa voor voorjaar 2025 identificeert digitale skimming als "een van de meest prolifieke en consistente dreigingen" in het betalingsecosysteem.
  • PCI DSS 4.0.1-vereisten 6.4.3 en 11.6.1, verplicht sinds 31 maart 2025, bestaan specifiek om dit aanvalstype tegen te gaan.

Wat is online card skimming?

Online card skimming
Online card skimming is een cyberaanval waarbij kwaadaardige JavaScript wordt uitgevoerd in de browser van een klant op de betaalpagina van een handelaar. Terwijl de gebruiker zijn kaartnummer, vervaldatum, CVV en factuuradres in het betaalformulier invoert, kopieert het script die gegevens en verzendt ze naar een server die de aanvaller beheert, voordat de betaling wordt ingediend.

De term "card skimming" is afkomstig van fysieke fraude: een hardwareapparaat bevestigd aan een geldautomaat of kassaterminal dat de magneetstrip van de kaart leest en de pincode registreert wanneer een klant die invoert. Online card skimming werkt op hetzelfde principe maar heeft geen fysiek apparaat nodig. Een paar regels JavaScript vervangen de hardware. De aanval laat geen fysiek spoor achter, kan maandenlang onopgemerkt blijven en kan tegelijkertijd op duizenden websites worden ingezet via één gecompromitteerd script van derden.

Het Halfjaarlijkse Dreigingsrapport van Visa voor voorjaar 2025 identificeerde digitale skimming als een van de "meest prolifieke en consistente dreigingen" in het betalingsecosysteem, waarbij werd opgemerkt dat het eCommerce Threat Disruption-programma van het bedrijf actief handelaarssites scant op skimmersignaturen in Noord-Amerika en Europa.

Voor een aanvullende blik op de browseruitvoering van deze aanval, zie onze gedetailleerde e-skimminghandleiding.

Hoe aanvallers card skimmingscripts inzetten

Aanvallers hebben codeuitvoering nodig op de doelbetaalpagina. Ze krijgen dit via supply chain-toegangspunten in plaats van de server van de handelaar direct aan te vallen:

  • Een gecompromitteerde plugin van derden, CMS-extensie of widget die de site van de handelaar al laadt
  • Een kwaadaardige update gepusht naar een CDN-gehoste analyse- of tagmanagerbibliotheek
  • Een inbraak in het CMS-beheerderspaneel of de coderepository van de handelaar

Zodra ze controle hebben over een JavaScript-bestand dat wordt uitgevoerd op de betaalpagina, voegen ze de skimmingpayload toe. Het script koppelt zich aan betaalformuliervelden. Terwijl de klant typt, kopieert het script elke waarde, codeert de gegevens en verzendt ze via HTTPS naar een door de aanvaller beheerd domein, typisch een typosquatted look-alike ontworpen om op te gaan in netwerktransactielogboeken. Het exfiltratiereverzoek passeert nooit de server van de handelaar.

Drie eigenschappen maken dit bijna onzichtbaar van buiten de browser: het uitgaande verzoek is versleuteld; het bestemmingsdomein bootst een legitieme verkoper na; en de payload is klein genoeg om te lijken op routinematig analyseverkeer.

Waarom scanners van code in rust het missen

De meeste websitebeveiligingstools halen een pagina op, analyseren de HTML- en JavaScript-broncode en markeren bekende kwaadaardige handtekeningen. Online card skimming ontwijkt deze aanpak om een structurele reden: de skimmer wordt uitgevoerd in de echte browser van een gebruiker, waar de aanvaller voorwaardelijke logica kan toepassen die een scanner nooit activeert.

Een script kan schone code teruggeven aan headless crawlers en alleen activeren wanneer het menselijk gedrag, een echt IP-adres of een specifieke geografische regio detecteert. De WAF, de oorspronkelijke server en de betalingsverwerker van de handelaar ontvangen nooit enig bewijs van de diefstal. Alleen een bewakingslaag die wordt uitgevoerd binnen echte bezoekerssessies kan het script observeren zoals het zich werkelijk gedraagt.

Bekende online card skimming-aanvallen

British Airways (2018). Aanvallers plantten 22 regels JavaScript op ba.com die betaalgegevens exfiltreerden naar een look-alike domein, baways[.]com. Het script liep ongeveer twee maanden onopgemerkt en trof ongeveer 500.000 klanten en medewerkers. Het Information Commissioner's Office van het Verenigd Koninkrijk legde een initiële boete op van £183 miljoen onder de AVG, later verlaagd naar £20 miljoen. De zaak was een van de eerste spraakmakende handhavingsacties van de AVG die direct verband hielden met een beveiligingsfout aan de clientzijde van betalingen.

Magecart (doorlopend). De naam is afkomstig van aanvallen gericht op op Magento gebaseerde winkelwagentjes, maar bestrijkt nu tientallen afzonderlijke dreigingsgroepen die online card skimming gebruiken op vele platforms. Magecart-actoren hebben leveranciers van scripts van derden gecompromitteerd wiens bibliotheken tegelijkertijd op duizenden handelaarssites worden uitgevoerd, waardoor één supply chain-inbreuk wordt omgezet in een massale kaartdiefstalevenement. Zie de grootste Magecart-aanvallen in de geschiedenis.

PCI DSS 4.0.1-vereisten voor preventie van card skimming

PCI DSS 4.0.1 introduceerde twee vereisten die online card skimming rechtstreeks aanpakken. Beide werden verplicht op 31 maart 2025:

Vereiste 6.4.3 verplicht dat elk script dat op een betaalpagina wordt geladen, wordt gedocumenteerd in een inventaris, wordt geautoriseerd met een zakelijke rechtvaardiging en dat de integriteit ervan wordt beschermd. Het doel is te voorkomen dat ongeautoriseerde scripts worden uitgevoerd waar kaartgegevens worden ingevoerd.

Vereiste 11.6.1 verplicht een manipulatiedetectiemechanisme dat waarschuwt voor ongeautoriseerde wijzigingen in betaalpaginascripts en beveiligingsgerelateerde HTTP-headers, ten minste wekelijks of op een risicogeanalyseerd schema geëvalueerd.

Handmatige scriptaudits en eenmalige scans kunnen niet voldoen aan deze vereisten op het volume en de frequentie die ze specificeren. Geautomatiseerde, continue bewaking van wat scripts werkelijk doen in echte browsers is de basislijn die beide vereisten zijn geschreven om te handhaven.

VereisteWat het verplichtVerplicht sinds
6.4.3Scriptinventaris, autorisatie en integriteit op betaalpagina's31 maart 2025
11.6.1Manipulatiedetectie met waarschuwingen voor wijzigingen op betaalpagina's31 maart 2025

Hoe online card skimming te detecteren

Detectie vereist zichtbaarheid in wat scripts doen binnen echte bezoekersbrowsers, niet alleen hoe hun broncode eruitziet tijdens scantijd. cside zet een enkel JavaScript-fragment van eerste partij in (geen proxy, geen DNS-wijzigingen) dat scriptgedrag op browserniveau bewaakt bij elke echte paginalaadbeurt.

De signalen die cside detecteert voor online card skimming-detectie:

  • Nieuwe of gewijzigde scripts die zonder autorisatie op betaalpagina's verschijnen
  • Onverwachte luisteraars op invoervelden die kaartgegevens verwerken
  • Uitgaande verzoeken naar domeinen buiten een geautoriseerde acceptatielijst
  • Scriptgedrag dat verschilt tussen geautomatiseerde sessies en echte gebruikerssessies

Dit produceert het continue, realtime record dat PCI DSS 4.0.1 vereist: een geautoriseerde scriptinventaris voor 6.4.3 en manipulatiedetectiebewijs voor 11.6.1.

Verder lezen:

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Online card skimming is een cyberaanval waarbij kwaadaardige JavaScript wordt uitgevoerd op de betaalpagina van een handelaar en betaalkaartgegevens kopieert terwijl de klant ze typt. De gestolen gegevens, inclusief het kaartnummer, vervaldatum, CVV en factuuradres, worden in real-time verzonden naar een server die de aanvaller beheert. De diefstal vindt plaats voordat de betaling wordt ingediend en voordat enige versleuteling aan de serverzijde wordt toegepast. In tegenstelling tot fysieke card skimming vereist online card skimming geen hardware, laat geen fysiek spoor achter en kan tegelijkertijd op duizenden websites worden uitgevoerd via één gecompromitteerd script van derden.

Fysieke card skimming gebruikt een hardwareapparaat dat is bevestigd aan een geldautomaat of kassaterminal. Het apparaat leest de magneetstrip en een verborgen camera of toetsenbordbedekking legt de pincode vast. Online card skimming is volledig op software gebaseerd: kwaadaardige JavaScript in de browser legt kaartgegevens vast die zijn ingevoerd in een betaalformulier. Fysieke skimming richt zich op één terminal tegelijk. Online card skimming kan worden ingezet via één gecompromitteerd script van derden en tegelijkertijd op duizenden websites worden uitgevoerd zonder extra inspanning van de aanvaller.

Aanvallers compromitteren gewoonlijk een plugin van derden, een CMS-extensie of een tagmanagerbibliotheek die de site van de handelaar al laadt. Ze kunnen ook rechtstreeks het CMS-beheerderspaneel of de coderepository van de handelaar binnendringen. Zodra ze controle hebben over een JavaScript-bestand dat wordt uitgevoerd op de betaalpagina, passen ze het aan om de skimmingpayload op te nemen. Omdat het gecompromitteerde script vaak toebehoort aan een analyse- of marketingverkoper, blijft de eigen code van de handelaar onaangeroerd en tonen serverlogboeken niets ongewoons.

Elke website die JavaScript van derden laadt op pagina's waar klanten betaalgegevens invoeren, loopt risico. Dit omvat e-commercewinkels gebouwd op Magento, WooCommerce, Shopify met aangepaste checkouts en propriëtaire platforms, evenals abonnementsdiensten en reisBoeking-sites. Het aanvalsoppervlak is de browser, niet de server, dus de hostinginfrastructuur van de handelaar, WAF-configuratie en betalingsverwerker bepalen het risico niet.

Doorgaans weken tot maanden. Card skimmingscripts zijn ontworpen om stil te zijn: ze exfiltreren gegevens naar look-alike domeinen die lijken op legitieme analyseverkoper, sturen kleine versleutelde payloads en activeren vaak alleen onder echte gebruikersomstandigheden (zoals het detecteren van muisbeweging of een niet-datacenter IP-adres) om scannerdetectie te vermijden. Handelaars leren gewoonlijk van een inbreuk via klachten over klantfraude of netwerkmeldingen van kaartnetwerken, die 30 tot 90 dagen na de initiële compromis kunnen opduiken.

Ja. De vereisten 6.4.3 en 11.6.1, beide verplicht sinds 31 maart 2025, zijn specifiek geschreven om online card skimming en Magecart-stijl supply chain-aanvallen aan te pakken. Vereiste 6.4.3 verplicht een gedocumenteerde inventaris van elk script op betaalpagina's, met autorisatie en integriteitsbescherming voor elk. Vereiste 11.6.1 verplicht een manipulatiedetectiemechanisme dat waarschuwt voor ongeautoriseerde wijzigingen in scripts en beveiligingsgerelateerde HTTP-headers op betaalpagina's.

Card skimmingscripts leggen doorgaans alles vast wat een klant in een betaalformulier typt: het volledige kaartnummer (PAN), vervaldatum, CVV/CVC, naam van de kaarthouder, factuuradres en soms e-mailadres en telefoonnummer. Sommige varianten onderscheppen ook sessietokens of inloggegevens op accountpagina's nabij betaalstromen. De gestolen gegevens worden direct gebruikt voor fraude zonder aanwezige kaart of verkocht op dark web-markten, vaak binnen enkele uren na verzameling.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo