Skip to main content
Blog
Blog Attacks

Formjacking vs Magecart vs digital skimming: qual a diferença?

O digital skimming é o resultado do roubo de dados, o formjacking é a técnica de captura e o Magecart é o ecossistema de atacantes. Veja como se relacionam.

Jul 10, 2026 10 min read
Formjacking vs Magecart vs digital skimming: qual a diferença?

Formjacking, Magecart e digital skimming são três camadas de uma única ameaça. O digital skimming é o resultado: dados de pagamento ou pessoais roubados de um site por código malicioso do lado do cliente. O formjacking é uma técnica de captura que sequestra os campos de formulário. Magecart designa os grupos de atacantes que conduzem estas campanhas. Um grupo Magecart conduz uma campanha de digital skimming que muitas vezes usa formjacking.

Os termos são trocados livremente nos cabeçalhos das notícias, o que torna a ameaça mais difícil de defender. Trate-os como uma única coisa e pode acabar por comprar uma ferramenta que aborda a camada errada. Este guia separa o resultado, a técnica e o ator e, depois, explica porque é que estes ataques escapam aos controlos do lado do servidor e como a monitorização do lado do cliente os apanha.

O que é o digital skimming?

O digital skimming, também chamado de e-skimming ou web skimming, é o roubo de dados sensíveis diretamente de um site, usando código malicioso que executa no navegador do visitante. O alvo clássico são os dados de cartão de pagamento numa página de checkout: número do cartão, validade e CVV. Os skimmers também recolhem credenciais de início de sessão, moradas e outras informações pessoais escritas num formulário.

O nome vem dos skimmers físicos de cartões fixados em multibancos e bombas de combustível. A versão digital obtém o mesmo resultado sem hardware. O JavaScript malicioso lê os dados à medida que o utilizador os introduz e envia discretamente uma cópia para um domínio controlado pelo atacante. A transação continua a concluir-se normalmente, por isso as vítimas e os donos dos sites muitas vezes não notam nada durante semanas.

O digital skimming descreve o resultado. Nada diz sobre como o código chegou ali ou quem o colocou. É aí que entram os outros dois termos.

O que é o formjacking?

O formjacking é uma técnica para capturar dados de formulários web. O atacante injeta código que se liga aos campos do formulário, sequestrando ou sobrepondo os campos de entrada de modo que as teclas digitadas são copiadas à medida que o utilizador escreve. O formulário legítimo continua a funcionar, e o atacante limita-se a obter uma cópia paralela de tudo o que é introduzido.

O formjacking é uma das formas mais comuns de levar a cabo o digital skimming, mas não é a única. Os skimmers também podem:

  • Ler o DOM diretamente, raspando os valores dos campos quando o utilizador clica em "pagar"
  • Interceptar event listeners no botão de submissão para capturar a carga útil do formulário
  • Interceptar pedidos de rede (por exemplo, modificando o fetch ou o XMLHttpRequest)
  • Sobrepor um iframe de pagamento falso por cima do verdadeiro para capturar os dados do cartão

O formjacking insere-se na categoria mais ampla das técnicas de skimming. Todo o ataque de formjacking é um ataque de skimming, mas nem todo o ataque de skimming usa formjacking. Para uma análise completa de como o formjacking funciona a nível técnico — as rotas de injeção, os sinais de deteção e os controlos de prevenção —, consulte o nosso guia completo sobre formjacking.

O que é o Magecart?

O Magecart não é um único software malicioso nem um único grupo. É o nome genérico que os investigadores de segurança deram ao ecossistema difuso de atacantes que conduzem campanhas de digital skimming, originalmente contra lojas de comércio eletrónico Magento (daí o "Mage"). A RiskIQ e outras empresas rastrearam-nos como grupos numerados, cada um com a sua própria infraestrutura, estilo de código e alvos.

Uma operação Magecart decorre normalmente em quatro fases:

  1. Comprometer um script que o alvo carrega, muitas vezes uma tag de terceiros (análise, chat, testes A/B) ou um ficheiro JavaScript alojado internamente
  2. Injetar um skimmer que é ativado nas páginas de checkout ou de início de sessão
  3. Capturar os dados, frequentemente usando formjacking, e enviá-los para um domínio do atacante
  4. Monetizar os cartões ou as credenciais roubados

O Magecart aponta para quem e para a campanha. O formjacking aponta para como os dados são capturados. O digital skimming aponta para o resultado. Estes termos não competem entre si. Empilham-se.

Como se relacionam os três termos: uma tabela comparativa

Mapear cada termo para a camada que descreve mantém tudo claro, a par de um exemplo real e da forma como os defensores os apanham.

TermoO que éExemplo realComo é detetado
Digital skimmingO resultado: dados de pagamento ou dados pessoais roubados através de código malicioso do lado do clienteBritish Airways em 2018, onde JavaScript injetado fez skimming dos dados de cartão e colocou 429.612 clientes em riscoMonitorização do lado do cliente que sinaliza dados enviados para domínios não autorizados
FormjackingUma técnica: sequestrar ou sobrepor os campos de formulário para capturar dados à medida que são escritosSkimmers que se ligam aos campos do formulário de checkout para copiar os dados do cartão na submissãoDeteção em tempo de execução de listeners inesperados e alterações nos campos de formulário
MagecartOs grupos de atacantes e o ecossistema mais amplo de e-skimmingGrupos Magecart associados às violações da British Airways e da TicketmasterRastreio de scripts de terceiros comprometidos e de infraestrutura de atacantes conhecida

A relação numa única frase: um grupo Magecart (o ator) conduz uma campanha de digital skimming (o resultado) que muitas vezes usa formjacking (a técnica).

Incidentes reais conhecidos

Duas violações de 2018 continuam a ser os exemplos canónicos e mostram como as camadas se encaixam.

British Airways (2018). Os atacantes modificaram o JavaScript no fluxo de pagamento da companhia aérea, de modo que os dados dos cartões eram copiados para um domínio do atacante enquanto as reservas eram concluídas normalmente. A violação colocou em risco os dados pessoais de 429.612 clientes entre junho e setembro de 2018, e a RiskIQ e outros investigadores associaram-na ao Magecart. O Information Commissioner's Office (ICO) do Reino Unido aplicou uma sanção de 20 milhões de libras em outubro de 2020, reduzida de um valor inicialmente proposto de 183,39 milhões de libras, tornando-a uma das consequências regulatórias mais citadas do skimming do lado do cliente. (British Airways data breach, Wikipedia; The Register)

Ticketmaster (2018). A Ticketmaster divulgou inicialmente que cerca de 40.000 clientes no Reino Unido foram afetados por código injetado maliciosamente nas páginas de pagamento; o incidente mais amplo foi depois avaliado como podendo afetar até 5% da sua base global de clientes. O skimmer chegou à Ticketmaster através de um script comprometido de um fornecedor terceiro, e não de um comprometimento direto do código da própria Ticketmaster. (Magecart, Wikipedia)

Esse detalhe sobre os terceiros é importante. Pode escrever código próprio perfeito e, ainda assim, entregar um skimmer aos seus utilizadores porque um script de um fornecedor em que confia foi comprometido a montante. A maioria das equipas carrega dezenas de scripts de terceiros em páginas sensíveis, e qualquer um deles é um potencial ponto de injeção. É por isso que proteger os scripts de terceiros é um controlo por si só.

Porque é que as ferramentas do lado do servidor e os WAFs não detetam estes ataques

O skimming, o formjacking e o Magecart executam todos no navegador, depois de o seu servidor ter cumprido a sua função. É essa propriedade que faz com que os controlos tradicionais tenham dificuldades:

  • As firewalls de aplicações web inspecionam os pedidos que chegam à sua origem. Um skimmer lê o campo do formulário e envia os dados diretamente para um domínio do atacante, por isso o tráfego malicioso nunca passa pelo WAF.
  • Os scanners do lado do servidor verificam o código nos seus servidores. Uma tag de terceiros comprometida carrega a partir do domínio do fornecedor em tempo de execução, por isso nunca está no seu repositório nem na sua origem para ser analisada.
  • A monitorização de rede vê tráfego HTTPS encriptado entre o navegador e vários domínios. A exfiltração para um domínio do atacante parece-se muitas vezes com um beacon de análise comum.

O Data Breach Investigations Report da Verizon tem sinalizado repetidamente os ataques a aplicações web e o abuso de código de terceiros como um dos principais vetores de violação, e a resposta dos organismos de normalização confirma onde está a lacuna. (Verizon DBIR) O PCI DSS 4.0.1 acrescentou os requisitos 6.4.3 e 11.6.1 para abordar diretamente o risco do lado do cliente: as organizações têm de gerir e monitorizar cada script nas páginas de pagamento e detetar alterações não autorizadas a essas páginas. (PCI Security Standards Council) Esses requisitos existem porque o Magecart provou que a segurança do lado do servidor não é suficiente.

Como a monitorização do lado do cliente deteta o skimming em tempo real

Se o ataque executa no navegador, a defesa tem de ver o navegador. A monitorização do lado do cliente observa cada script à medida que executa para o utilizador, que é o único lugar onde um skimmer se revela. Uma deteção eficaz abrange:

  • Inventário de scripts e deteção de alterações. Conheça cada script em execução em páginas sensíveis e seja alertado no momento em que um é adicionado, modificado ou começa a comportar-se de forma diferente.
  • Comportamento dos campos de formulário. Sinalize listeners inesperados ligados a campos de entrada, sobreposições colocadas em campos de pagamento e código que lê valores de formulário que não deveria tocar.
  • Monitorização de exfiltração. Detete dados enviados para domínios que não estão na sua lista de permissões, que é o movimento característico de um skimmer.

A cside atua nesta camada. Analisa scripts e monitoriza o comportamento em tempo de execução, por isso consegue detetar o Magecart em tempo real e apanhar um script de terceiros adulterado quando muda, e não semanas mais tarde, quando os cartões já foram vendidos. Para as páginas de pagamento, o PCI Shield mapeia esta monitorização para os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1, e a solução mais abrangente de segurança do lado do cliente cobre o início de sessão e outros fluxos sensíveis.

Para uma visão mais ampla do panorama de ferramentas, consulte o nosso guia de ferramentas de segurança do lado do cliente.

Juntando tudo

Formjacking, Magecart e digital skimming não são três problemas distintos que exigem três produtos distintos. São três perspetivas de uma única ameaça que vive no navegador: o ator, a técnica e o resultado. Defender-se de todos eles resume-se a uma única capacidade: visibilidade em tempo real sobre o que cada script faz nos navegadores dos seus utilizadores.

Os controlos do lado do servidor continuam a ser necessários, mas estão cegos para a camada onde estes ataques operam. As equipas que apanham skimmers cedo são as que observam o comportamento dos scripts em tempo de execução, comparando-o com uma linha de base conhecida como boa e alertando no momento em que um script de confiança começa a fazer algo que nunca fez antes.

Marque uma demonstração para ver como a cside deteta formjacking, Magecart e digital skimming nas suas páginas ativas, ou explore o panorama mais amplo de ferramentas no nosso guia de ferramentas de segurança do lado do cliente.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

O digital skimming é o resultado: o roubo de dados de pagamento ou pessoais de um site através de código malicioso do lado do cliente. O formjacking é uma técnica comum usada para o alcançar, sequestrando ou sobrepondo os campos de formulário para capturar dados à medida que o utilizador os escreve. Magecart é o nome que os investigadores de segurança dão aos grupos de atacantes e ao ecossistema mais amplo de e-skimming. Na prática, um grupo Magecart conduz uma campanha de digital skimming que muitas vezes usa formjacking para capturar os dados.

Não. O formjacking é uma técnica. Magecart é um nome para os grupos e o ecossistema por detrás de muitas campanhas de skimming. Um ator Magecart pode usar formjacking, mas o skimming também funciona lendo pedidos de rede, raspando o DOM ou interceptando event listeners. Os termos sobrepõem-se na imprensa, mas descrevem camadas diferentes: quem está a atacar (Magecart), como capturam os dados (formjacking) e qual é o resultado (digital skimming).

Investigadores da RiskIQ e de outras empresas associaram a violação de dados da British Airways de 2018 ao Magecart. Os atacantes modificaram o JavaScript no fluxo de pagamento da companhia aérea, de modo que os dados dos cartões eram copiados para um domínio do atacante enquanto as reservas eram concluídas normalmente. A violação colocou em risco os dados pessoais de 429.612 clientes, e o ICO do Reino Unido aplicou uma sanção de 20 milhões de libras em outubro de 2020 (reduzida de um valor inicialmente proposto de 183,39 milhões de libras). Continua a ser um dos exemplos mais citados de digital skimming do lado do cliente.

O skimming e o formjacking executam no navegador do utilizador, depois de o conteúdo sair do seu servidor. Uma firewall de aplicações web inspeciona os pedidos que chegam à sua origem, mas um skimmer consegue ler o campo do formulário e enviar os dados diretamente para um domínio do atacante sem nunca tocar no seu backend. Os controlos do lado do servidor não têm qualquer visibilidade sobre o comportamento do JavaScript em tempo de execução no navegador, que é exatamente onde estes ataques operam.

Detete-os com monitorização do lado do cliente que observa cada script à medida que executa no navegador. Uma deteção eficaz sinaliza scripts de terceiros novos ou modificados, listeners inesperados em campos de formulário e dados enviados para domínios não autorizados. A cside analisa scripts e monitoriza o comportamento em tempo de execução, por isso um script de terceiros adulterado é apanhado quando muda, e não semanas mais tarde, após uma violação.

Sim. Os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1 exigem que as organizações giram e monitorizem os scripts em execução nas páginas de pagamento e detetem alterações não autorizadas a essas páginas. Estes requisitos existem em grande medida por causa do skimming ao estilo Magecart e empurram as equipas para a monitorização contínua de scripts do lado do cliente, em vez de revisões manuais periódicas.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração