גנבה מקוונת של אמצעי תשלום

From האנציקלופדיה היהודית
Jump to: navigation, search

גנבה מקוונת של אמצעי תשלום (נקראת גם בשמות "סקימינג" או "Formjacking") היא סוג של הונאה באינטרנט, בה נגנב למעשה כל המידע הקשור לאמצעי התשלום של הלקוח, בדרך כלל כרטיס אשראי. הגנבה מתבצעת באמצעות הזרקת קוד זדונית לדף התשלום, והפעלת סקריפט שגונב את הפרטים של אמצעי התשלום.

המונח "skimming" תיאר בעבר את העתקת הפס המגנטי מכרטיס מגנטי אחד לכרטיס אחר על ידי עובד בחנות, שהיה משתמש בו לאחר מכן כדי לבצע רכישת מוצרים. המונח "web skimming" מתאר גנבה מקוונת של פרטי אמצעי התשלום, ללא צורך בגישה פיזית לכרטיס עצמו.

בדו"ח של סימנטק משנת 2019 נטען כי כ-4,800 אתרי מסחר אלקטרוני נפגעים מדי חודש בתקיפה כזו.[1]

בשנת 2018 נגנבו בשיטה זו פרטי כרטיס אשראי של 380,000 לקוחות מהאתר של בריטיש איירווייז.[2] הקוד שהוזרק לדפי התשלום ניתב את פרטי כרטיסי האשראי לאתר אינטרנט בשם baways.com, אשר נראה בעיניי הלקוחות כאחד מאתרי החברה. מתקפות דומות התרחשו באתרי סחר אלקטרוני נוספים, בהם "בסט ביי", "סירס", דלתא איירליינס ו"טיקטמאסטר".[3]

תוכנת Magecart

קבוצות תקיפה נוהגות להזריק קוד זדוני לאתרי מסחר אלקטרוני כדי לגנוב את פרטי אמצעי התשלום. התוכנה הנפוצה להזרקת קוד מסוג זה נקראת Magecart.

בשנת 2017 דיווחה חברת האבטחה DefenseCode כי חנויות וירטואליות שמשתמשות במערכת המסחר האלקטרוני של מג'נטו חשופות לגנבה מקוונת של אמצעי תשלום באמצעות Magecart. מספר אתרים שהשתמשו במג'נטו כבר נפגעו מתקיפה כזו, בהם חברת Newegg (אנ') המשווקת מחשבים וחומרה, ואתר האינטרנט InfoWars (אנ').

הגנה

חברות אבטחת מידע מספקות כיום מערכות בגנה מפני גנבה מקוונת של אמצעי תשלום. כמו כן, חלק מהשיטות המקובלות באבטחת מידע יכולות לספק הגנה מפני תקיפה כזו, בהן הערכת ספק, הקשחת שרתים, בקרת גישה ובדיקת חדירות חיצונית. בנוסף, פעולות כמו החלת מדיניות אבטחת תוכן ובדיקת תקינות משאבים (אנ') יכולות למנוע שינויי סקריפט זדוניים.

הערות שוליים

  1. ^ Symantec’s 2019 Internet Security Threat Report, באתר חברת סימנטק (באנגלית).
  2. ^
    שגיאות פרמטריות בתבנית:כלכליסט

    לא נמצא templatedata תקין
    שירות כלכליסט, בריטיש איירווייז חשופה לקנס של 230 מיליון דולר בשל גנבת מידע, באתר כלכליסט, 8 ביולי 2019.
  3. ^ אמיתי זיו, סורס דיפנס מגייסת 10 מיליון דולר כדי להגן על אתרים מרכיבי צד שלישי, באתר TheMarker‏, 26 בספטמבר 2018.

ערך זה מוגש באדיבות ויקיפדיה העברית. (הדף המקורי, רשימת התורמים)
הערך בוויקיפדיה גדול מערך זה ב +233 תווים

לעדכון מוויקיפדיה, לחץ כאן.

NivdakVeushar.png