Magecart, Skimmer, web-skimmer - разные названия одной техники: внедрение злонамеренного кода на страницу оплаты легального магазина. Покупатель видит привычную форму оплаты, вводит данные карты, отправляет - и параллельно с реальным платежом данные уходят на сервер атакующего. Это происходит уже 10+ лет, и техника эволюционирует.
Как это работает
Атакующий получает доступ к сайту магазина (через уязвимость в Magento, OpenCart, WooCommerce, или через скомпрометированную учётку администратора). Добавляет несколько строк JavaScript в шаблон страницы оплаты или в конфигурацию сторонней библиотеки. Эти строки слушают форму оплаты и при отправке параллельно шлют данные на адрес атакующего.
Магазин обычно не замечает - покупки продолжают проходить, страница выглядит обычно. Часто узнают только когда жертвы (и платёжные системы) начинают репортить серию похожих фрод-операций.
Признаки, на которые можно опереться
Слишком много полей. Обычная форма оплаты карты: номер, срок, CVV, имя владельца. Если страница просит дополнительно PIN-код от карты, password от банка, SSN/паспорт - это скорее всего скимер.
Странный домен на форме. Часто платёжная форма встраивается iframe от реального процессора (Stripe, Adyen, PayPal). Если в карточке iframe (можно посмотреть через DevTools - правый клик → Inspect) домен не stripe.com или adyen.com, а что-то непонятное - повод насторожиться.
Малоизвестный магазин или давно не обновлялся. Сайты на старых версиях CMS с неактуальными плагинами - излюбленная цель. Если интернет-магазин выглядит так, будто ему лет 10 и обновлений не было, вероятность скимера выше.
Что делать, чтобы не попадать
Используйте виртуальную карту с ограниченным лимитом. Если данные виртуальной карты украдены, она быстро блокируется и потери ограничены тем, что было на ней. Стандартную банковскую карту с большим лимитом давать в случайные интернет-магазины - плохая идея в 2026 году.
Пользуйтесь Apple Pay / Google Pay, где доступно. Реальный номер карты при оплате через них не передаётся - вместо него передаётся одноразовый токен. Скимер ничего полезного не перехватит.
3DS-подтверждение. Если ваш банк всегда запрашивает 3DS при онлайн-оплате - даже украденные данные карты атакующий не использует. Включите 3DS в настройках карты.
Подозрительное поведение - выйдите и оплатите по-другому. Если форма оплаты выглядит не так, есть редиректы, слишком много вопросов - откажитесь от оплаты, свяжитесь с магазином по официальному каналу.
Если уже ввели
Срочно блокируйте карту. Проверьте операции - если уже прошли подозрительные, требуйте chargeback через банк. Чем быстрее блокировка, тем меньше потери: атакующие пытаются использовать данные в первые часы после кражи.
