Skimming – krađa kartičnih podataka kroz kompromitirane web stranice – jedna je od najraširenijih cybersigurnosnih prijetnji online trgovini. U sezoni Black Fridaya i predblagdanskog razdoblja broj pokušaja višestruko raste.

Kako web skimming radi

Najraširenija forma je Magecart ili formjacking:

  1. Napadač pronađe ranjivost u softveru webshopa (najčešće Magento, ali i WooCommerce, PrestaShop, OpenCart).
  2. Ubacuje malicioznu skriptu u checkout – često jedan red JavaScripta.
  3. Kupac unosi karticu – skripta paralelno šalje kopiju napadaču.
  4. Transakcija prolazi uspješno, kupac ne primijeti ništa.
  5. Napadač prodaje podatke na dark webu.

Webshop radi normalno – ranjivost se otkriva tek kad kupci masovno prijave neovlaštene transakcije.

Koji webshopovi su najčešća meta

  • Mala i srednja poduzeća bez dediciranog sigurnosnog tima.
  • Webshopovi na zastarjelim verzijama platformi.
  • Webshopovi s puno trećestranskih skripti.
  • Webshopovi koji ne prate integritet kartičnih formi.

Što PCI DSS 4.0.1 sada zahtijeva

PCI DSS 4.0.1, obavezujuća od ožujka 2025., uvodi nove zahtjeve:

  • Zahtjev 6.4.3 – svi skripti na kartičnoj formi moraju biti autorizirani i s praćenim integritetom.
  • Zahtjev 11.6.1 – mehanizam za detekciju neautoriziranih izmjena na HTTP headerima i kartičnim formama.

Pet konkretnih koraka za zaštitu webshopa

  1. Ažurirajte platformu i plug-inove.
  2. Smanjite broj trećestranskih skripti.
  3. Implementirajte Content Security Policy (CSP).
  4. Pratite integritet kartičnih formi.
  5. Koristite iframe za kartičnu formu.

Šire o sigurnosti u tekstovima Zlatna pravila za sigurnu naplatu i Sigurnost online naplate: PCI DSS, DORA, NIS2.

Što kupci mogu napraviti

  • Provjeravajte URL u checkoutu (HTTPS, domena trgovca).
  • Koristite digitalne novčanike – kartična forma ne prolazi kroz webshop.
  • Pratite izvode kartice nakon online kupnji.

 

Kako Monri pristupa zaštiti od skimminga

Kroz Monri online plaćanja kartični podaci nikad ne ulaze u HTML vašeg webshopa – uneseni su kroz izolirani payment iframe na PCI DSS Level 1 infrastrukturi. Usklađeno s PCI DSS 4.0.1 anti-skimming zahtjevima (6.4.3, 11.6.1).

Ako razmišljate kako pojačati zaštitu prije sezone, kontaktirajte naš tim.