גנבה מקוונת של אמצעי תשלום

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

גנבה מקוונת של אמצעי תשלום (נקראת גם בשמות "סקימינג" או "Formjacking") היא סוג של הונאה באינטרנט, בה נגנב למעשה כל המידע הקשור לאמצעי התשלום של הלקוח, בדרך כלל כרטיס אשראי. הגנבה מתבצעת באמצעות הזרקת קוד זדונית לדף התשלום, והפעלת סקריפט שגונב את הפרטים של אמצעי התשלום.

המונח "skimming" תיאר בעבר את העתקת הפס המגנטי מכרטיס מגנטי אחד לכרטיס אחר על ידי עובד בחנות, שהיה משתמש בו לאחר מכן כדי לבצע רכישת מוצרים. המונח "web skimming" מתאר גנבה מקוונת של פרטי אמצעי התשלום, ללא צורך בגישה פיזית לכרטיס עצמו.

בדו"ח של סימנטק משנת 2019 נטען כי כ-4,800 אתרי מסחר אלקטרוני נפגעים מדי חודש בתקיפה כזו.[1]

בשנת 2018 נגנבו בשיטה זו פרטי כרטיס אשראי של 380,000 לקוחות מהאתר של בריטיש איירווייז.[2] הקוד שהוזרק לדפי התשלום ניתב את פרטי כרטיסי האשראי לאתר אינטרנט בשם baways.com, אשר נראה בעיניי הלקוחות כאחד מאתרי החברה. מתקפות דומות התרחשו באתרי סחר אלקטרוני נוספים, בהם "בסט ביי", "סירס", דלתא איירליינס ו"טיקטמאסטר".[3]

תוכנת Magecart

קבוצות תקיפה נוהגות להזריק קוד זדוני לאתרי מסחר אלקטרוני כדי לגנוב את פרטי אמצעי התשלום. התוכנה הנפוצה להזרקת קוד מסוג זה נקראת Magecart.

בשנת 2017 דיווחה חברת האבטחה DefenseCode כי חנויות וירטואליות שמשתמשות במערכת המסחר האלקטרוני של מג'נטו חשופות לגנבה מקוונת של אמצעי תשלום באמצעות Magecart. מספר אתרים שהשתמשו במג'נטו כבר נפגעו מתקיפה כזו, בהם חברת Newegg (אנ') המשווקת מחשבים וחומרה, ואתר האינטרנט InfoWars (אנ').

הגנה

חברות אבטחת מידע מספקות כיום מערכות בגנה מפני גנבה מקוונת של אמצעי תשלום. כמו כן, חלק מהשיטות המקובלות באבטחת מידע יכולות לספק הגנה מפני תקיפה כזו, בהן הערכת ספק, הקשחת שרתים, בקרת גישה ובדיקת חדירות חיצונית. בנוסף, פעולות כמו החלת מדיניות אבטחת תוכן ובדיקת תקינות משאבים (אנ') יכולות למנוע שינויי סקריפט זדוניים.

הערות שוליים

Logo hamichlol 3.png
הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0