Eskimming is een browserlaagaanval waarbij kwaadaardige JavaScript betaalgegevens steelt uit checkout- of betaalformulieren terwijl gebruikers typen.

Waarom missen WAFs eskimming?

Een WAF ziet verkeer naar je servers, maar eskimming stuurt data vaak direct van de browser van de klant naar een server van de aanvaller.

Hoe stopt cside betaal-skimmers?

cside monitort echte gebruikerssessies, inspecteert scripts en blokkeert kwaadaardig browsergedrag voordat kaartdata de browser verlaat.

Use case

Eskimming-bescherming voor checkoutpagina's en betaalformulieren

Kwaadaardige JavaScript steelt kaartgegevens rechtstreeks uit de browser, voordat je server de transactie verwerkt. cside monitort elk script in echte gebruikerssessies en blokkeert skimmers voordat ze kunnen afgaan.

Boek een demo

Gratis starten

Betaalpagina-monitor

Dekking in echte browsersessies

Beschermd

Scriptgedrag Gemonitord

Betaalvelden Bewaakt

Verdachte exfiltratie Geblokkeerd

Wat is eskimming?

Eskimming is een cyberaanval waarbij kwaadaardige JavaScript wordt geinjecteerd in een checkout- of betaalpagina om kaartgegevens te stelen terwijl gebruikers typen. Het script draait in de browser van de klant en kopieert kaartnummers, vervaldatums, CVV-codes en factuurgegevens in real time.

De transactie wordt normaal afgerond. De klant krijgt een orderbevestiging en de merchant ziet een schone betaling. Er gaat geen server-side alarm af. Tegen de tijd dat gestolen kaarten opduiken op criminele markten, kan de aanval al weken lopen.

Eskimming wordt ook web skimming, digital skimming, formjacking of een Magecart-aanval genoemd. Die namen beschrijven dezelfde browserlaagdreiging.

23M+ online transacties werden in 2025 gecompromitteerd door actieve Magecart-hacks, volgens Mastercard. Bron 416,582 gevallen van identiteitsdiefstal in de VS in 2023 werden mogelijk gemaakt door geskimde kaartdata, volgens Mastercard. Bron 72,000+ websites werden in Q2 2025 gecompromitteerd door client-side aanvallen, volgens onderzoek van cside. Bron

Hoe een eskimming-aanval je checkout bereikt

Aanvallers hebben niet altijd toegang tot je eigen codebase nodig. De betrouwbaarste route loopt vaak via third-party scripts die je site al vertrouwt.

Supply-chain aanvallen

Een vertrouwde analytics pixel, A/B-testbibliotheek, tag manager of CDN-script wordt bij de leverancier gecompromitteerd. Het script komt van een goedgekeurd domein, passeert CSP-controles en gedraagt zich normaal tot de browser een betaalformulier bereikt. De Polyfill.io-aanval liet zien hoe snel een vertrouwde JavaScript-afhankelijkheid een brede distributieroute kan worden.

Directe injectie

Aanvallers misbruiken een CMS-kwetsbaarheid, een ongepatchte plugin of phishing van admingegevens om kwaadaardige code in templates of tag-managerconfiguraties te schrijven. De skimmer wordt dan first-party geserveerd.

Fourth-party blootstelling

Je third-party scripts laden hun eigen afhankelijkheden. De Web Almanac 2025 vond dat de mediane diepte van third-party inclusion chains 3 is, waardoor extra injectiepunten ontstaan die mogelijk nooit zijn geaudit.

De blinde vlek die veel security stacks delen

Eskimming leeft volledig in de browser, aan de client side, tijdens een echte gebruikerssessie. Precies daar stoppen veel enterprise securitytools met kijken.

WAFs en server-side monitoring

Een WAF monitort verkeer naar je servers. Eskimming-exfiltratie loopt van de browser van de klant direct naar een server van de aanvaller, dus je WAF ziet die verbinding niet. ISACA beschrijft waarom provider-side tools beperkte zichtbaarheid hebben in web client runtime risk.

Content Security Policy

CSP is waardevol, maar keurt domeinen goed, niet wat die domeinen serveren. Een gecompromitteerd script vanaf een toegestaan domein kan zonder waarschuwing door CSP komen.

Periodieke externe scanners

Scanners draaien vanaf bekende cloudinfrastructuur en op vaste momenten. Geavanceerde aanvallers kunnen die herkomst herkennen en schone code aan scanners serveren terwijl ze echte bezoekers targeten.

Hoe cside helpt

Browserlaagverdediging op echte gebruikerssessies

cside combineert gedragsmonitoring in echte gebruikerssessies met diepe scriptinspectie op de infrastructuur van cside.

Gedragsmonitoring op elke echte sessie

Een licht cside-script observeert hoe elk script zich in de browser gedraagt: welke DOM-elementen het benadert, welke velden het leest en met welke externe domeinen het contact maakt.

Diepe scriptinspectie

cside haalt scriptinhoud op binnen de eigen infrastructuur voor AI-gedreven analyse en vergelijkt payloads met dreigingsinformatie uit gemonitorde websites.

Blokkeren voor impact

Wanneer kwaadaardig gedrag wordt gedetecteerd, voorkomt cside dat het script zijn actie afrondt. De checkout blijft werken terwijl kaartdata de browser niet verlaat.

Inventaris en wijzigingsdetectie

cside inventariseert scripts continu, volgt payloadwijzigingen en alarmeert wanneer ongeautoriseerde scripts, domeinen of wijzigingen in HTTP-securityheaders verschijnen.

Eskimming-preventie en PCI DSS 6.4.3 / 11.6.1

PCI DSS 4.0.1 vereisten 6.4.3 en 11.6.1 formaliseren wat een degelijk eskimming-preventieprogramma al zou moeten doen. PCI SSC bevestigt dat de toekomstig gedateerde vereisten op 31 maart 2025 van kracht werden. cside's PCI Shield verzorgt de workflow van scriptinventaris tot automatische wekelijkse rapporten.