Skimming, auch als Skimming-Attacke bekannt, ist eine Form des digitalen Diebstahls, bei dem Cyberkriminelle illegale Datenlesegeräte (Skimmer) einsetzen, um vertrauliche Informationen von Zahlungskarten zu stehlen. Dabei kommen Geräte meist an Geldautomaten oder POS-Terminals zum Einsatz. Jedoch hat sich die Skimming-Landschaft mit der Evolution der Technologie und den veränderten Zahlungsgewohnheiten weiterentwickelt.
Mit dem Aufkommen von EMV-Chip-Technologie haben Skimming-Angriffe eine neue Gestalt angenommen. Cyberkriminelle verlagern ihren Fokus zunehmend auf weniger gesicherte Kanäle wie das Online-Skimming. E-Commerce-Skimming, auch bekannt als „Magecart“-Angriffe, tritt auf, wenn Angreifer schädlichen Code in die Webseiten von Händlern einschleusen, meist durch Kompromittierung von Drittanbieter-Skripten. Dieser Code erfasst die Kartendaten, sobald der Kunde sie bei einer Online-Transaktion eingibt.
Kontinuierlichen Security Audits und Penetrationstests sind wichtig, um solche Angriffe zu erkennen und zu verhindern. Die Implementierung von strengen Sicherheitsmaßnahmen, wie der Einsatz von Subresource Integrity (SRI) Checks für Skripte, die Verwendung von Content Security Policy (CSP)-Headern, und die Einführung von sicheren Entwicklungszyklen sind nur einige der Abwehrstrategien, um die Angriffsfläche für Skimming zu reduzieren.
Im Bereich der physischen Skimming-Vorkehrungen könnten Sie Technologien wie die Jamming-Technik kennen, welche die Skimming-Versuche durch das Senden von Störsignalen, die die illegitime Datenerfassung verhindern, bekämpft. Zusätzlich ist das Aufkommen von kontaktlosen Zahlungen und Mobiltelefon-basierten Zahlungssystemen, die Tokenisierung und starke Kundenauthentifizierung (SCA) nutzen, eine weitere Herausforderung für Skimmer, da diese Methoden zusätzliche Sicherheitsebenen hinzufügen.
Angesichts der Tatsache, dass keine Sicherheitsmaßnahme 100% Schutz bietet, ist es sinnvoll, auch einen starken Incident-Response-Plan zu erstellen. Dieser sollte nicht nur die unmittelbare Reaktion auf einen Skimming-Vorfall beinhalten, sondern auch Vorkehrungen für das Krisenmanagement, die Kommunikation mit Stakeholdern und die Berichterstattung an relevante Behörden umfassen.
Mit der wachsenden Verlagerung hin zu digitalen Zahlungsplattformen und der Zunahme von IoT-Geräten wird es immer wichtiger, proaktiv in neue Sicherheitstechnologien zu investieren und die bestehenden Verteidigungsmaßnahmen kontinuierlich zu überdenken und anzupassen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: