Představte si, že váš e-shop funguje bezvadně. Stránky se načítají rychle, objednávky chodí, tržby rostou. A přesně v tu chvíli, kdy si zákazník zadává číslo karty, její platnost a bezpečnostní kód CVV, kopíruje tyto údaje neviditelný program běžící na pozadí vaší platební brány – a posílá je přímo hackerům. Web se přitom nezpomalí, nezobrazí žádnou chybovou hlášku, nezačne se chovat podezřele. Tomuto typu útoku se říká web skimming a je to jedna z nejzákeřnějších hrozeb, protože ji majitel e-shopu často odhalí až ve chvíli, kdy mu zákazníci začnou psát, že jim někdo vybral kartu.
Nejhorší na tom je, že poškozený není jen zákazník. Je to i váš e-shop – reputace, důvěra, v horším případě i právní odpovědnost za únik dat. A protože skimming nezanechává na webu žádné viditelné stopy, spoléhat na to, že si toho „všimnete“, se prostě nevyplácí.
Co je skimming a jak funguje
Klasický skimming znáte možná z bankomatů – fyzické zařízení nasazené na čtečku karet. Digitální varianta, často nazývaná Magecart (podle skupiny útočníků, kteří ji proslavili), dělá totéž, ale bez jakéhokoli hardwaru. Útočník najde zranitelnost v e-shopové platformě, v zastaralém pluginu nebo v rozšíření třetí strany a vloží do kódu platební stránky pár řádků škodlivého JavaScriptu.
Tento kód pak v reálném čase „odposlouchává“ formulář, do kterého zákazník zadává platební údaje, a jejich kopii odesílá na server útočníků – zatímco platba samotná proběhne úplně normálně. Zákazník nic nepozná, objednávka dorazí, zboží se odešle. Problém se projeví až později, kdy začnou přicházet neautorizované transakce z karet, které byly použity právě na vašem webu.
Čísla, která by měla znepokojit každého e-shopaře
Podle analýzy společnosti Mastercard souviselo v roce 2022 72 % všech veřejně oznámených úniků platebních dat právě s digitálním skimmingem. Není to tedy okrajová hrozba, ale dominantní způsob, jak dnes útočníci kradou čísla karet.
Bezpečnostní firma Recorded Future navíc v roce 2025 identifikovala přes 10 500 aktivně infikovaných webů po celém světě – v tuto chvíli, v tomto okamžiku, na nich běží skimmovací kód a okrádá jejich zákazníky. Mnoho z těchto webů patří malým a středním e-shopům, které netuší, že se staly součástí této statistiky.
Kauza Ticketmaster: 9,4 milionu postižených zákazníků
Aby bylo jasné, že nejde jen o teoretické riziko, stačí se podívat na konkrétní případy. Prodejce vstupenek Ticketmaster UK měl na své platební stránce zabudovaný chatbot třetí strany. Právě přes tento na první pohled nevinný doplněk se útočníkům podařilo do platebního procesu propašovat skimmovací kód. Výsledek: údaje o platebních kartách unikly u 9,4 milionu zákazníků.
Podobný osud potkal aerolinku British Airways, kde skimming zasáhl desítky tisíc cestujících, kteří si přes web nebo mobilní aplikaci kupovali letenky. V obou případech nešlo o žádnou exotickou techniku – útočníci využili zranitelnosti nebo důvěryhodnosti cizího kódu vloženého do platební stránky, přesně jako u tisíců menších e-shopů dnes.
Obě kauzy mají společného jmenovatele: firmy samy skimming neobjevily. Přišel na něj až někdo zvenčí – bezpečnostní výzkumník, banka sledující podezřelé transakce, nebo až sami postižení zákazníci. To je přesně ten scénář, kterému se chce každý majitel e-shopu vyhnout.
Proč jsou e-shopy tak snadným cílem
Skimming skoro nikdy nevzniká tak, že by si útočník „ručně“ prokousával kód vašeho webu. Většinou funguje automatizovaně – roboti průběžně prohledávají internet a hledají e-shopy postavené na konkrétní zranitelné verzi platformy nebo pluginu. Jakmile takový web najdou, nasadí skimmovací skript během pár minut, a to klidně na tisíce webů najednou.
Bezpečnostní výzkumníci opakovaně popsali kampaně, kde útočníci kompromitovali oblíbená rozšíření e-shopových platforem a přes jednu zranitelnost tak nakazili stovky až tisíce internetových obchodů zároveň – bez ohledu na to, jestli jde o velký řetězec, nebo malý rodinný e-shop. Velikost firmy tu nehraje roli, roli hraje to, jestli má web aktuální software a jestli má vůbec kdo hlídat, co všechno se na platební stránce spouští.
Na co si dát pozor
- Zastaralá platforma nebo pluginy – e-shop na staré verzi WooCommerce, PrestaShopu, Magenta či podobného systému je nejčastější vstupní branou.
- Rozšíření a widgety třetích stran na platební stránce – chatboty, recenzní widgety, marketingové skripty. Čím víc jich tam je, tím víc potenciálních děr.
- Zákaznické stížnosti na podezřelé transakce krátce po nákupu u vás – i jednotlivý případ stojí za prověření.
- Chybějící nebo neaktuální zásady zabezpečení obsahu (CSP), které by cizímu skriptu bránily odesílat data mimo váš web.
- Žádný pravidelný dohled nad tím, jaké skripty se na webu vlastně načítají – většina majitelů e-shopů to nikdy nekontrolovala.
Co s tím
Dobrá zpráva je, že proti skimmingu se dá bránit, aniž byste museli být IT expert. Většina opatření je jednorázová práce nebo věc pravidelné rutiny, ne drahý projekt na měsíce:
- Aktualizujte pravidelně – e-shopovou platformu, pluginy i šablony. Většina skimmovacích útoků cílí na známé, už opravené zranitelnosti ve starých verzích.
- Omezte počet doplňků třetích stran na platebních stránkách na nezbytné minimum a u těch, co zůstanou, sledujte, zda je vývojář stále aktivně podporuje.
- Nasaďte Content Security Policy (CSP), která přesně definuje, odkud smí web načítat skripty – cizí kód se pak nemá kam „přilepit“.
- Nechte si web pravidelně nezávisle zkontrolovat – audit dokáže odhalit zastaralé komponenty, chybějící zabezpečení i podezřelé skripty dřív, než to udělá útočník.
- Sledujte zpětnou vazbu od zákazníků a berte vážně i ojedinělé hlášení o zneužité kartě po nákupu u vás.
- Ověřte, přes koho skutečně zpracováváte platby – pokud karta zákazníka prochází přímo přes certifikovanou platební bránu (a ne přes formulář na vašem vlastním webu), snižujete riziko, že se skimmovací kód vůbec dostane k citlivým datům.
Projde váš web technickou kontrolou?
Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.
Zdroje: Dotyk.cz – Malware v e-shopu krade čísla karet, Jiří Vaněk – Co je skimming a jak se chránit, Trend Micro – FIN6 a Magecart skimming.

Napsat komentář