在今天的数字时代，金钱已不再局限于传统银行和实体店铺，而是转移到网上银行和电子商务平台上。而随着这一变化，网络犯罪也从现实世界的抢劫演变成了数字世界中的“数字扒窃”。这意味着，几乎每个商业实体，无论大小，都可能成为数字扒窃的目标。

什么是数字小偷？

数字小偷（Digital Skimming），也叫电子扒窃、数据扒窃或表单劫持，是指黑客通过网络攻击手段，窃取用户在网站表单中输入的敏感数据。最常见的攻击方式是盗取支付信息，尤其是在电商网站的结账页面。此外，个人身份信息（PII）也是黑客的目标，黑客通过恶意代码暗中收集这些数据。

这一类攻击的特征是，用户在支付时并未察觉任何异常，依然完成交易，而商家也照常收到款项。然而，黑客早已窃取了客户的支付信息，潜伏在背后进行非法操作。

数字小偷问题有多严重？

数字小偷带来的损失不容小觑。2024年，全球多起重大数据泄露事件令企业和用户遭受严重损失。例如，通信巨头AT&T遭遇黑客攻击，客户的通话和短信数据在2022年被非法访问，波及超过1亿人。而英国的Synnovis实验室也在一次网络攻击中泄露了3亿条患者数据，影响了整个伦敦的医疗服务。

此外，2024年，Ticketmaster也成为受害者，约5.6亿名客户的个人数据被盗。无论是大公司还是小型企业，数字小偷都可能成为他们的噩梦。

数字小偷的商业影响

数字小偷的成本远超预期，除了直接的经济损失（如收入减少、罚款、事故响应等），还有间接的品牌声誉和客户信任损失。例如，美国的保险公司Kaiser因为在线追踪技术导致患者隐私信息泄露，损失巨大；澳大利亚的MediSecure因为遭受勒索病毒攻击，导致1300万名用户数据泄露，公司最终宣告破产。

数字小偷如何运作？

数字小偷攻击通常分为四个阶段：

1.初步入侵：黑客通过漏洞或第三方供应商入侵网站服务器，获得控制权。

2.代码注入：恶意代码被注入到支付页面，黑客通过JavaScript等脚本劫持支付信息。

3.数据提取：当用户在支付页面输入卡号、有效期等信息时，恶意代码会悄悄窃取数据并发送到黑客控制的服务器。

4.货币化：黑客利用窃取的数据进行非法购买或转售，获取现金。

哪些企业是数字小偷的主要目标？

几乎所有企业都有可能成为数字小偷的目标。无论是大企业、慈善机构，还是教育和政府部门，黑客都不挑选目标。对于客户来说，支付信息和个人身份信息都极具价值，因此保护这些数据是企业面临的首要任务。

如何防范数字小偷？

要保护客户的数据和企业安全，第一步是了解面临的威胁，包括数字小偷、网络应用攻击、恶意软件等。接下来，企业需要采取防护措施，如安装防火墙、使用强密码、部署加密技术、定期进行安全评估和第三方审核等。

此外，企业还应遵循支付卡行业数据安全标准（PCI DSS）。特别是2025年4月1日起实施的新要求，要求加强支付页面的JavaScript管理和支付页面篡改检测。

PCI DSS v4的数字小偷新要求

2025年起，PCI DSS v4.0将要求所有处理卡支付的企业采取措施，减少数字小偷的风险：

要求6.4.3：最小化支付页面JavaScript的攻击面，管理所有JavaScript代码。

要求11.6.1：检测支付页面的篡改行为，并在检测到时发出警报。

如何通过技术防范数字小偷？

如今，许多技术解决方案可以帮助企业防范数字小偷。例如，通过加强第一方代码的加密和混淆保护，企业可以减少恶意篡改的可能性。同时，提供网页脚本的完整可视性和第三方代码的管理，也能有效避免攻击的发生。

企业还可以通过强大的规则引擎实时监控和阻止恶意脚本，如数字小偷、DOM篡改或数据泄露。

随着电子支付和数字交易的普及，数字小偷成为了每个在线商家面临的重要威胁。为了保护客户信息和企业的未来，企业必须采取有效的技术防护措施，避免成为网络犯罪的受害者。通过遵循PCI DSS等安全标准，并采取合适的防护工具，企业能在确保合规的同时，为客户提供更加安全的服务。