Att skriva in kortnumret manuellt i kassan kan vara betydligt mer riskfyllt än många tror. En ny varning från NordVPN pekar på en kraftig ökning av så kallad e-skimming, attacker där betaluppgifter fångas upp i det tysta, ibland innan köpet ens är slutfört.
E-skimming bygger på skadlig JavaScript-kod som injiceras i fullt legitima e-handelswebbplatser. För kunden ser allt normalt ut, sidan laddar som vanligt, inga varningar visas, men i bakgrunden samlas kortnummer, CVV-koder, namn, e-postadresser och utgångsdatum in i realtid.
Enligt The Annual Payment Fraud Intelligence Report nästan tredubblades e-skimmingen under 2024 jämfört med året innan. Över 11 000 nya e-handelsdomäner infekterades, den högsta siffran som hittills uppmätts.
– Angripare planterar JavaScript-skimmers som körs tyst i din webbläsare och fångar upp fullständiga kortuppgifter, ibland redan innan köpet är avslutat, säger Marijus Briedis, CTO på NordVPN. Du kan handla på en seriös webbplats och ändå få dina uppgifter stulna, helt utan synliga tecken.
Ett hot som gömmer sig i kassan
Moderna kassasidor laddar ofta in stora mängder extern kod, allt från analysverktyg och betalwidgets till marknadsföringsskript och A/B-tester. Varje extern leverantör blir en potentiell attackyta. En komprometterad tredjepart eller ett föråldrat tillägg kan i praktiken sprida skadlig kod till hundratals webbutiker samtidigt.
När skimmern väl är på plats smälter den in bland övriga skript och kan aktiveras selektivt, till exempel bara i vissa regioner eller vid specifika tidpunkter. Resultatet är att kortuppgifter kan avläsas utan att vare sig kunden eller butiken märker något.
De stulna uppgifterna hamnar snabbt i den kriminella ekonomin. Enligt NordVPN säljs kompletta betalningskort ibland för runt 90 kronor på mörka webben, billigare än en biobiljett. Därefter används de för snabba bedrägeriköp, kontokapningar eller penningtvätt via presentkort, ofta inom bara några timmar.
Därför är Apple Pay säkrare
Mot den bakgrunden lyfts Apple Pay fram som ett betydligt säkrare alternativ än att skriva in kortuppgifter manuellt. Vid betalning med Apple Pay skickas aldrig ditt faktiska kortnummer till webbplatsen. I stället används tokenisering, en engångsidentifierare som inte kan återanvändas om den skulle snappas upp.
Även om en e-skimmer finns på plats får angriparen då ingen användbar kortdata, eftersom det inte finns något kortnummer att stjäla.
– Använd tokeniserade betalningar som Apple Pay eller Google Pay, eller virtuella engångskort som inte exponerar ditt riktiga kortnummer, säger Briedis.
Så minskar du risken att drabbas
Utöver att använda Apple Pay rekommenderar säkerhetsexperter att:
- Aldrig spara kortuppgifter på webbplatser, även sådana du litar på
- Stänga av autofyll för betalningsfält i webbläsaren
- Använda säkerhetsverktyg som blockerar skadliga skript i realtid
- Vara vaksam på oväntade popup-fönster eller tillägg
- Regelbundet kontrollera kontoutdrag efter okända transaktioner
I en tid där även seriösa webbutiker kan bära på osynliga hot framstår rådet som tydligt: ju mindre ditt riktiga kortnummer exponeras i kassan, desto bättre.
