おそらく、スキミングについて聞いたことがあるでしょう。スキミングは、犯罪者が ATM、給油ポンプ、POS 端末に支払いカードの詳細を取得できる物理デバイスを設置する一種の詐欺です。これらの偽のカード リーダーの 1 つにデビット カードまたはクレジット カードを入力すると、データは後でダウンロードできるように保存されるか、詐欺師が制御するデバイスにワイヤレスでリアルタイムに送信され、その情報を使用してアカウントから盗もうとします。
残念ながら、オンライン買い物客もこの制度の影響を受けないわけではありません。 Web スキミングは、悪意のあるコードを使用してチェックアウト時にカード データを盗むサイバー攻撃の一種であり、研究者らは、主要な決済プロバイダー、ひいては消費者をターゲットとした進行中のキャンペーンを特定しました。
Web スキミング攻撃は、広く「Magecart」キャンペーンと呼ばれ、悪意のある JavaScript が電子商取引 Web サイトや支払いポータルに挿入されると開始されます。チェックアウト ページが読み込まれると、スキマーはそのページを、カード番号、有効期限、カード確認コード、請求先住所または配送先住所を収集する偽のフォームに置き換えます。脅威アクターが振り向いて、不正な購入にカードを使用するために必要なものすべてが収集されます。
偽の支払いフォームは、疑惑を最小限に抑えるために、正当に見えるブランドとスタイルを使用しています。支払いの詳細が攻撃者に送信されると、ユーザーはエラー メッセージを受け取り、実際のチェックアウト ページにリダイレクトされます。このフローは、単に情報が間違って入力されたと思わせるように設計されています。
Web スキマーは通常、検出を回避するように設計されており、さらには自己破壊する可能性があるため、サイト管理者でも識別することが困難になります。また、サイバー攻撃者を削除要求や法執行機関の行動から守る防弾ホスティングも利用しています。
残念ながら、消費者は Web スキマーの存在に対して何もできませんが、Web スキマーに対して防御策を講じることはできます。オンライン ショッピング詐欺の危険信号は、スキミングの危険信号でもあります。たとえば、真実とは思えないような取引や割引は、詐欺業者や悪意のあるサイトの可能性を示しており、カード情報が盗まれる可能性が高くなります。信頼できるベンダーから購入すると、リスクが軽減されます (完全に排除されるわけではありません)。また、リダイレクトやエラー メッセージなど、チェックアウト中の異常な手順に注意し、疑わしい取引を放棄する必要があります。
支払いの詳細が盗まれた可能性があると思われる場合は、銀行やクレジット カードの明細書に不正行為がないか常に監視し、リアルタイム更新のトランザクション アラートを有効にしてください。クレジット カードはデビット カードよりも優れたセキュリティ保護を備えていることに注意してください。オンライン購入にバーチャル カードを使用することもできます。これにより、実際のカードの詳細を非公開にし、さらなる詐欺から守ることができます。 (ただし、バーチャル カードにはいくつかの欠点があることに注意してください。たとえば、主要なカード プロバイダーが提供する一部の保護が失われ、払い戻しを受けるのが難しくなる可能性があります。)