Skip to main content
Blog
Blog Attacks

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Jun 17, 2026 12 min read
Capa escura do blog com três ameaças de scripts de afiliados comprometidos: redirecionamentos silenciosos de jogadores, roubo de comissões via UTM e injecção de ID de afiliado fraudulento
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

O modelo de afiliados em casinos é um dos canais de aquisição de clientes mais eficientes no iGaming, e também uma das maiores superfícies de ataque de terceiros não fiáveis em qualquer sector. Os parceiros afiliados incorporam pixels de rastreamento e JavaScript em fontes de tráfego por toda a web, e esses mesmos scripts acabam frequentemente por ser carregados nas próprias páginas do casino através de tag managers e parâmetros de rastreamento de referência. Quando um script de afiliado é comprometido, o operador concedeu efectivamente a um actor hostil acesso directo à execução de scripts na sua plataforma. O ENISA Threat Landscape for Supply Chain Attacks identifica o código de terceiros como o vector principal em compromissos da cadeia de fornecimento, e a pilha de afiliados de casino é um exemplo clássico do porquê.

Como os Scripts de Afiliados Entram na Pilha Tecnológica do Casino

Resposta Rápida: Os scripts de afiliados entram na pilha tecnológica do casino por três vias principais: tag managers que carregam pixels de afiliados em todo o site, parâmetros de rastreamento de referência que desencadeiam a execução de scripts em páginas de destino, e mecanismos de deep-link que incorporam identificadores de afiliados na jornada do jogador. Cada via concede ao código do afiliado acesso de execução ao ambiente da própria página do operador.

A relação de afiliado requer medição, e a medição requer código. Para rastrear que um jogador chegou de um parceiro específico, converteu e gerou receita, o script de rastreamento do afiliado deve executar em algum momento da jornada do jogador no site do operador. Isso não é um erro técnico. É a arquitectura pretendida.

O problema é o que essa arquitectura permite. Um script de afiliado carregado via Google Tag Manager na página de lobby do casino tem o mesmo acesso ao DOM, a mesma capacidade de ler cookies, e as mesmas permissões de pedidos de rede que o próprio JavaScript do operador. O operador carregou-o intencionalmente. A relação de confiança significa que nenhuma regra CSP o bloqueia e nenhuma regra WAF dispara quando é executado.

Os pontos de entrada comuns incluem:

  • Contentores de tag manager que carregam pixels de afiliados em todas as páginas ou em eventos de conversão específicos (primeiro depósito, registo)
  • Páginas de destino de referência que lêem parâmetros UTM e disparam chamadas de rastreamento de afiliados antes de o jogador chegar ao lobby principal
  • Páginas de redirecionamento de deep-link que resolvem IDs de afiliados e definem cookies de rastreamento antes de encaminhar o jogador para o site

Cada ponto de entrada é um local onde um script de afiliado comprometido pode ser executado com a confiança implícita do operador. O mecanismo de entrada é por design; é o abuso desse mecanismo que importa.

Os Padrões de Ataque: O Que os Scripts de Afiliados Comprometidos Fazem Realmente

Resposta Rápida: Scripts de afiliados comprometidos executam quatro ataques principais contra operadores de casino: redirecionando silenciosamente jogadores para plataformas concorrentes em momentos de alta intenção, roubando comissões de referência ao sobrescrever parâmetros UTM e valores de cookie, abusando de mecanismos de deep-link para injectar IDs de afiliados fraudulentos, e carregando payloads maliciosos adicionais que persistem durante a sessão do jogador.

O compromisso do Polyfill.js em Junho de 2024 demonstrou em escala como um único script confiável, utilizado por mais de 100.000 sites, pôde ser transformado num mecanismo de entrega de redirecionamentos maliciosos depois de o projecto original mudar de proprietário. Os scripts de afiliados enfrentam o mesmo risco: o operador confia no parceiro, a infraestrutura do parceiro é comprometida, e o atacante herda essa relação de confiança.

Redirecionamento de jogadores. Durante um momento de alta intenção, tipicamente na página de login, no fluxo de depósito, ou depois de um bónus ser aplicado, o script comprometido detecta o estado comportamental do jogador e inicia um evento de navegação para um casino concorrente ou um clone de phishing. O redirecionamento é suficientemente rápido para que muitos jogadores assumam que se trata de um redirecionamento legítimo. A análise do operador mostra uma sessão abandonada em vez de um redirecionamento.

Roubo de comissão via manipulação de UTM. As comissões de afiliados são calculadas com base em parâmetros UTM e cookies de rastreamento que identificam o parceiro de referência. Um script comprometido pode sobrescrever valores de document.cookie ou modificar parâmetros URL em tempo real, substituindo um ID de afiliado legítimo pelo do atacante. O operador paga comissão à parte errada. Isto é particularmente difícil de detectar porque o evento de receita ainda ocorre, mas apenas a atribuição está errada.

Abuso de deep-link. Os deep-links de afiliados resolvem um parâmetro de ID e definem um cookie de rastreamento antes de encaminhar o jogador. Um script que intercepta este fluxo pode injectar um ID de afiliado fraudulento no cookie antes de o encaminhamento ser concluído, sequestrando a atribuição de receita para toda a relação com o jogador.

Entrega de payloads adicionais. A capacidade mais perigosa do script comprometido é carregar JavaScript adicional a partir de infraestrutura controlada pelo atacante. Um pequeno script stub, confiável por transportar a identidade do afiliado, obtém um payload completo que pode executar qualquer um dos ataques acima e mais, incluindo keylogging durante o registo ou roubo de credenciais. Esta é a cadeia de carregamento de fornecedor em acção: o script de afiliado é o pai, carrega scripts filhos, e esses filhos podem carregar netos. O cside mapeia a cadeia completa, não apenas a dependência de primeiro grau, que é onde o payload malicioso real normalmente reside.

Por Que Scripts de Afiliados Comprometidos Diferem de Outros Ataques à Cadeia de Fornecimento

Resposta Rápida: Ao contrário de scripts de terceiros que entram na pilha sem intenção explícita, os scripts de afiliados são deliberadamente carregados com amplo acesso à página porque a medição assim o exige. A relação de confiança é intencional, o que significa que o script contorna os controlos que normalmente capturariam código não confiável. Um script de afiliado comprometido é um vector confiável transformado em hostil, mais difícil de detectar e mais difícil de bloquear sem quebrar a relação de afiliado.

O Verizon 2024 DBIR identifica consistentemente os ataques a aplicações web como o vector de ataque externo mais comum. O que torna o compromisso de afiliados distinto nessa categoria é o diferencial de confiança.

A maioria dos ataques à cadeia de fornecimento explora o facto de os operadores carregarem scripts de terceiros sem os rever. O compromisso de scripts de afiliados é diferente: o operador reviu e aprovou activamente a relação. O script tem uma conta, um contrato e um âmbito acordado. Quando o script é comprometido, o atacante não está a explorar uma lacuna nos processos de aprovação. Está a explorar a aprovação que já existe.

Isto cria vários desafios de detecção:

  • Bloquear o script quebra uma relação de afiliado geradora de receita
  • As chamadas de rede do script para o seu próprio domínio parecem legítimas, porque o domínio é o domínio real do afiliado
  • A entrega de payload a partir de um segundo domínio é o primeiro indicador comportamental de que algo mudou, e requer monitorização em runtime para capturar
  • A manipulação de UTM e as escritas de cookie não geram qualquer erro de rede ou entrada no log do servidor

As plataformas de casino white-label que servem múltiplas marcas enfrentam uma versão composta deste problema. Um único script de afiliado comprometido carregado em 20 marcas através de configuração partilhada de tag manager afecta todas as 20 simultaneamente. O relatório IBM 2024 Cost of a Data Breach situa o custo médio global de uma violação em $4,88M, mas para operadores multi-marca o raio de explosão multiplica significativamente essa exposição. Detectar estas mudanças comportamentais antes de se propagarem requer instrumentação na camada de execução.

Como o cside Detecta Mudanças Comportamentais em Scripts de Afiliados

Resposta Rápida: O cside monitoriza scripts de afiliados na camada de execução em 100% das sessões de utilizadores reais. Estabelece uma linha de base do que cada script de afiliado normalmente faz (quais domínios contacta, quais elementos DOM lê ou escreve, quais pedidos de rede inicia) e alerta quando o comportamento em runtime desvia dessa linha de base, sem necessidade de bloquear o script ou quebrar a relação de afiliado.

O insight fundamental é que um script comprometido comporta-se de forma diferente. Antes do compromisso, o script do afiliado dispara um pixel de rastreamento para o seu próprio domínio e define um cookie. Após o compromisso, contacta um segundo domínio, modifica um cookie que não tocou anteriormente, ou inicia um redirecionamento que não estava no seu padrão de execução anterior. Essas mudanças comportamentais são detectáveis sem saber antecipadamente que ocorreu um compromisso.

A abordagem do cside à monitorização de scripts de afiliados inclui:

  • Mapeamento completo da cadeia de carregamento: o cside mapeia a cadeia de carregamento de fornecedor completa para cada script de afiliado, incluindo scripts filhos e netos carregados dinamicamente. Se um script de afiliado estiver limpo mas o filho que carrega for malicioso, o cside vê a árvore de dependências completa e atribui o comportamento à origem correcta
  • Inventário de scripts em cada tipo de página: o cside identifica cada script de primeira, terceira e quarta parte que é executado em cada página (lobby, depósito, levantamento, registo) e sinaliza novos scripts que aparecem sem uma alteração correspondente na própria implementação do operador
  • Monitorização de chamadas de rede: quando um script de afiliado começa a contactar um domínio que não contactava anteriormente, o cside expõe isso como um evento de mudança que requer revisão
  • Monitorização de escritas no DOM: escritas em valores de cookie ou armazenamento relacionado com UTM que são inconsistentes com o comportamento anterior do script são sinalizadas como anómalas
  • Detecção de redirecionamentos: chamadas a window.location ou mutações da API de navegação que não são iniciadas pelo próprio código do operador são apresentadas com contexto completo sobre qual script as iniciou

O cside observou mais de 300.000 sinais de ataque em sites monitorizados no Q1 2025, uma proporção significativa dos quais envolveu mudanças de comportamento de scripts de terceiros consistentes com compromisso da cadeia de fornecimento.

O Impacto no Negócio: Perda de Receita, Disputas e Exposição Regulatória

Resposta Rápida: O impacto no negócio de scripts de afiliados comprometidos inclui perda directa de receita proveniente de redirecionamentos de jogadores, disputas de comissão com afiliados legítimos cujos IDs foram sobrescritos, exposição a estornos de jogadores que foram redirecionados para sites de phishing, e potencial acção regulatória ao abrigo do PCI DSS e do GDPR por falha no controlo do acesso de scripts de terceiros aos fluxos de pagamento.

A exposição financeira raramente é visível numa única transacção. Os ataques de redirecionamento removem jogadores no momento de maior intenção, tipicamente logo antes do depósito. O operador vê taxas de abandono aumentadas e menor conversão, que podem ser atribuídas a problemas de UX ou qualidade de campanha antes de um compromisso de script ser considerado.

A fraude de comissão via manipulação de UTM é frequentemente descoberta apenas quando um afiliado legítimo reporta ganhos abaixo do esperado e inicia uma disputa. Nesse ponto, a manipulação pode já estar a decorrer há semanas.

A exposição regulatória é uma camada separada de risco. O PCI Security Standards Council exige que todos os scripts executados em páginas de pagamento sejam autorizados e monitorizados, ao abrigo do requisito 6.4.3 do PCI DSS. Um script de afiliado comprometido executado numa página de depósito é uma falha de conformidade directa. As obrigações do GDPR ao abrigo do Artigo 32 aplicam-se quando os dados dos jogadores são expostos através do payload do script comprometido.

Para operadores licenciados pela UK Gambling Commission ou pela Malta Gaming Authority, a postura de segurança do lado do cliente é cada vez mais parte das avaliações técnicas de conformidade. Demonstrar que todos os scripts de terceiros, incluindo pixels de afiliados, são monitorizados na camada de execução está a tornar-se uma expectativa base, não um diferenciador.

O Que os Operadores Devem Fazer Agora

O canal de afiliados não vai desaparecer, e monitorizá-lo não deve exigir a perturbação das relações existentes com afiliados ou a renegociação de contratos. A questão operacional é se as suas ferramentas de segurança actuais lhe fornecem visibilidade sobre o que os scripts de afiliados fazem em runtime, não apenas de que domínios os carregam.

As ferramentas de camada de rede como o Cloudflare Page Shield rastreiam quais URLs de script aparecem numa página. Não rastreiam o que esses scripts fazem depois de serem executados: se sobrescrevem um cookie, modificam um parâmetro UTM, lêem o armazenamento de sessão, ou iniciam um redirecionamento. As ferramentas construídas para fins de auditoria de conformidade tipicamente amostram uma percentagem de sessões e produzem relatórios periódicos; não são concebidas para expor uma mudança de comportamento de script na primeira sessão afectada em que ocorre.

O cside instrumenta cada sessão na camada de execução, estabelece uma linha de base do comportamento do script de afiliado na implementação, e alerta sobre desvios em tempo real. Isto significa que um script de afiliado comprometido — mesmo um que obtém o seu payload de um segundo domínio apenas em condições específicas do jogador — é detectado na sessão em que primeiro executa esse comportamento, em vez de quando um relatório de auditoria for executado no próximo mês.

Se gerir uma plataforma de casino multi-marca ou white-label com rastreamento de afiliados activo entre marcas, contacte o cside para perceber como a monitorização na camada de execução pode ser implementada sem alterações à sua pilha de afiliados.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Os scripts de afiliados ficam comprometidos quando a própria infraestrutura do afiliado é violada e o ficheiro do script é modificado na origem, quando a conta CDN do afiliado é sequestrada, ou quando a empresa afiliada vende o activo do script a um novo proprietário que o modifica com intenção hostil. O caso Polyfill.js em Junho de 2024 é o exemplo público mais claro, afectando mais de 100.000 sites simultaneamente.

Uma CSP pode limitar quais domínios têm permissão para carregar scripts, mas não protege contra um compromisso na origem. Se o script de um afiliado é carregado a partir de um domínio aprovado e o conteúdo desse domínio é modificado por um atacante, a CSP permite o script modificado porque o domínio ainda está na lista de permissões. A CSP é um controlo de base útil mas não é suficiente por si só para cenários de ataque à cadeia de fornecimento.

Os passos imediatos devem incluir remover o script comprometido do contentor de tag manager, notificar o parceiro afiliado e preservar uma cópia do payload malicioso para análise forense. Os operadores devem depois rever quais IDs de afiliados receberam atribuição inflacionada durante a janela de compromisso, e rever as sessões dos jogadores para obter evidências de actividade de redirecionamento ou exfiltração de dados.

Não. O cside opera como uma camada de observabilidade nas próprias páginas do operador e monitoriza o que os scripts fazem em runtime sem requerer alterações a contratos de afiliados, configurações de tag manager, ou implementações de rastreamento de afiliados. A única mudança é que o operador ganha visibilidade em runtime sobre o comportamento do script que anteriormente não era monitorizado.

Sim. As plataformas white-label tipicamente partilham configurações de tag manager entre múltiplas marcas, o que significa que um único script de afiliado comprometido pode afectar todas as marcas simultaneamente. A infraestrutura partilhada também significa que um compromisso que afecte a configuração de rastreamento de uma marca pode propagar-se para outras através de contentores partilhados ou bibliotecas comuns, multiplicando significativamente o impacto no negócio.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Agende uma demonstração
Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração