Skimming napadi na webshopove: kako se zaštititi prije sezone kupnji

17.10.2025.

Kartična plaćanja

Monri Payments

Izdano je upozorenje zbog "skimminga" koji cilja kupce uoči predblagdanske kupovine!Izdano je upozorenje zbog "skimminga" koji cilja kupce uoči predblagdanske kupovine!

Skimming je krađa kartičnih podataka putem kompromitovanih web stranica i jedna je od najraširenijih cyber sigurnosnih prijetnji u online trgovini. Tokom Black Fridaya i predblagdanskog perioda broj pokušaja značajno raste.

Kako web skimming funkcioniše

Najčešći oblik je Magecart ili formjacking:

Napadač pronađe ranjivost u softveru webshopa (najčešće Magento, ali i WooCommerce, PrestaShop, OpenCart).
Ubacuje malicioznu skriptu u checkout – često samo jedan red JavaScripta.
Kupac unosi podatke kartice – skripta istovremeno šalje kopiju napadaču.
Transakcija se normalno završava, kupac ne primijeti ništa.
Napadač kasnije prodaje podatke na dark webu.

Webshop u međuvremenu radi normalno – problem se često otkrije tek kada se pojave prijave neovlaštenih transakcija.

Koji webshopovi su najčešća meta

Mala i srednja poduzeća bez posvećenog sigurnosnog tima
Webshopovi na zastarjelim verzijama platformi
Webshopovi sa velikim brojem trećih (third-party) skripti
Webshopovi koji ne prate integritet kartičnih formi

Šta PCI DSS 4.0.1 sada zahtijeva

PCI DSS 4.0.1, obavezan od marta 2025., uvodi nove zahtjeve:

Zahtjev 6.4.3 – sve skripte na kartičnoj formi moraju biti autorizirane i imati praćen integritet
Zahtjev 11.6.1 – mehanizam za detekciju neovlaštenih izmjena HTTP headera i kartičnih formi

Pet konkretnih koraka za zaštitu webshopa

Redovno ažurirajte platformu i plug-inove
Smanjite broj trećih skripti
Implementirajte Content Security Policy (CSP)
Pratite integritet kartičnih formi
Koristite iframe za kartičnu formu

Šire o sigurnosti

Više o temi možete pronaći u tekstovima: Zlatna pravila za sigurnu naplatu i Sigurnost online naplate: PCI DSS, DORA, NIS2.

Šta kupci mogu uraditi

Provjeravajte URL u checkoutu (HTTPS, domena trgovca)
Koristite digitalne novčanike – kartični podaci tada ne prolaze kroz webshop
Redovno provjeravajte izvode kartice nakon online kupovine

Kako Monri pristupa zaštiti od skimminga

Kroz Monri online plaćanja, kartični podaci nikada ne ulaze u HTML vašeg webshopa – unos se odvija kroz izolovani payment iframe na PCI DSS Level 1 infrastrukturi. Sistem je usklađen sa PCI DSS 4.0.1 anti-skimming zahtjevima (6.4.3, 11.6.1).

Ako razmišljate kako dodatno ojačati sigurnost prije sezone, kontaktirajte naš tim.