Blog

Sequestro de afiliados e sequestro de tráfego: como scripts de fraude redirecionam usuários

O sequestro de afiliados é sequestro de tráfego para fraude de comissão: scripts no navegador redirecionam cliques por links de afiliado controlados por atacantes. Veja como funciona e como detê-lo.

Jul 10, 2025 • 6 min read

Himanshu Anand Software Engineer

banner deste artigo em fundo preto e azul

Você já clicou em um link e acabou em um lugar inesperado? Ou talvez tenha notado um site se comportando de forma estranha, te enviando para outros sites que você não pediu? Isso pode ser sinal de sequestro de tráfego.

Vamos entender o que isso significa, como funciona e como você pode se proteger.

Atualização de 2026: atualizamos este guia para separar o sequestro de afiliados do sequestro de tráfego mais amplo e mostrar por que redirecionamentos no navegador podem acontecer mesmo quando o servidor e a página de pagamento estão limpos.

O que é sequestro de afiliados?

O sequestro de afiliados é uma forma de sequestro de tráfego em que JavaScript injetado altera o clique, o link de saída ou o caminho de sessão do usuário para passar pela URL de afiliado de um atacante antes de chegar ao destino real. O usuário ainda pode chegar ao site esperado, mas a atribuição e o crédito de comissão passam para o atacante. Como o redirecionamento é acionado dentro do navegador, logs do servidor, WAFs e controles focados apenas no checkout costumam ver uma solicitação normal enquanto o roubo de receita acontece entre o clique e o destino.

O que é sequestro de tráfego?

Sequestro de tráfego é quando alguém altera secretamente o destino dos links de um site, redirecionando visitantes para outros sites — geralmente por razões maliciosas. Isso é prejudicial tanto para os usuários (que são enganados ou expostos a riscos) quanto para os donos de sites (que perdem confiança e receita).

Condicionamos os usuários a achar normal que, ao clicar em "Pagar", a tela pisque e uma página completamente nova carregue de um domínio totalmente diferente.

Mas esse é um ponto cego enorme — e os atacantes sabem disso.

Então, se você está protegendo o formulário de pagamento em si — validando scripts naquela página usando o cside, por exemplo — faz todo sentido que um agente malicioso sequestre o clique que leva os usuários até lá.

Aprofundamos essa tática nesta atualização do PCI DSS de janeiro para empresas SAQ A.

Essa tática específica é conhecida como clickjacking (basicamente uma estratégia dentro do sequestro de tráfego) e é amplamente usada para imitar fluxos confiáveis.

Tipos de sequestro em resumo

Termo	O que é	Quem é prejudicado
Sequestro de tráfego	Um código altera secretamente para onde os links ou a navegação de um site enviam os visitantes	Usuários e donos de sites
Clickjacking	Engana o usuário para que clique em algo diferente do que vê, muitas vezes por meio de sobreposições invisíveis	Usuários
Sequestro de afiliados (sequestro de links)	Redireciona um clique ou uma sessão pelo link de afiliado de um atacante para roubar uma comissão	Programas de afiliados e donos de sites
Redirecionamento malicioso	Envia um visitante para uma página de golpe ou malware no meio do fluxo	Usuários e donos de sites

Como funciona a fraude de afiliados?

O sequestro de afiliados é a forma mais comum: um código malicioso força o clique ou a sessão do usuário a passar pelo link de afiliado de um atacante antes que o destino real carregue, de modo que o atacante recolhe uma comissão que o visitante nunca pretendeu gerar. De forma mais ampla, a fraude de afiliados ocorre quando alguém abusa de programas de afiliados (que pagam por cliques ou vendas) forçando usuários a passar pelos seus links especiais, mesmo que o usuário nunca tenha querido ir até lá. Isso é injusto tanto para o site legítimo quanto para as empresas que gerenciam os programas de afiliados.

Uma tática comum é o sequestro de links, em que um script redireciona o usuário pelo link de afiliado do atacante antes de chegar ao destino final. Em casos mais sofisticados, os atacantes inserem links de afiliados dinamicamente apenas para determinados usuários de alto valor, ou com base em sinais do navegador, dificultando a detecção.

Como esses ataques acontecem? (com exemplos de código simples)

Os atacantes utilizam JavaScript oculto nos sites.

Veja como funciona, passo a passo:

1. Detectando seu navegador

O script primeiro verifica qual navegador você está usando:

// Verifica se você está usando Chrome, Firefox, Safari, etc.
function getBrowser() {
  // ...detecta o tipo de navegador...
}

2. Substituindo links de download

Ele encontra todos os links de download e muda o que acontece quando você clica neles:

// Encontra todos os links de download e altera seu comportamento
let links = document.querySelectorAll('a.dlink');
for (let link of links) {
  link.setAttribute('href', 'javascript:void(0);');
  link.addEventListener('click', function () {
    // Em vez de baixar, você é redirecionado
    window.open('https://malicious-redirect[.]com', "_blank");
  });
}

3. Rastreando e limitando redirecionamentos

Para não chamar atenção demais, o script usa cookies para limitar a frequência com que você é redirecionado:

function hasCookie() {
  return document.cookie.includes('wpdlInterval=1');
}

O que isso significa para você?

Para usuários: Você pode acabar em sites fraudulentos ou perigosos, ou seu computador pode ser infectado.
Para donos de sites: Seus visitantes perdem a confiança, sua reputação é prejudicada, você corre risco de violar requisitos de conformidade e perde receita real.

Como identificar e prevenir isso?

Para usuários:

Tenha cuidado com links de download, especialmente em sites desconhecidos.
Use uma extensão de navegador ou bloqueador de anúncios que avise sobre redirecionamentos suspeitos.
Mantenha seu navegador e antivírus atualizados.

Para donos de sites:

Faça varreduras regulares no seu site em busca de scripts desconhecidos.
Use plugins de segurança e mantenha seu software atualizado.
Configure alertas para padrões de tráfego incomuns.

Considerações finais

Sequestro de tráfego e fraude de afiliados são ameaças reais. Ao entender como esses ataques funcionam, você consegue se proteger melhor — e proteger seu site também. Fique atento e sempre desconfie de links desconhecidos.

Para donos de sites, a defesa está na visibilidade na camada do navegador. O código de sequestro de afiliados e de redirecionamento só se revela em tempo de execução no navegador, então o monitoramento de segurança do lado do cliente que inventaria cada script e alerta sobre alterações não autorizadas em links de saída é o que o detecta. O cside também sinaliza os agentes de IA e bots que cada vez mais automatizam esse abuso.

Cadastre-se para começar ou agende uma demonstração.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O sequestro de afiliados é uma forma de fraude de afiliados em que um código malicioso em um site força o clique ou a sessão do usuário a passar pelo link de afiliado do atacante antes de enviá-lo ao destino real, de modo que o atacante ganha uma comissão que o usuário nunca pretendeu gerar. Geralmente é executado como JavaScript injetado que reescreve links de download ou de saída, às vezes apenas para determinados usuários ou sinais do navegador, para evitar a detecção.

Sim. O sequestro de afiliados pode vir de um script de terceiro comprometido, uma entrada não autorizada em um gerenciador de tags ou uma extensão de navegador maliciosa executada no dispositivo do usuário. Nesses casos, o servidor pode parecer limpo enquanto JavaScript no navegador reescreve links, abre redirecionamentos de afiliado ou altera cookies de atribuição.

O clickjacking engana o usuário para que ele clique em algo diferente do que vê, muitas vezes usando sobreposições invisíveis. O sequestro de afiliados redireciona especificamente o clique ou a navegação pelo link de afiliado do atacante para roubar comissões. O clickjacking é uma técnica; o sequestro de afiliados é um dos resultados fraudulentos que os scripts de redirecionamento injetados podem produzir.

Um script injetado encontra links de saída ou de download e os reescreve, ou adiciona um ouvinte de clique que primeiro abre a URL de afiliado do atacante. Ele costuma usar cookies para limitar a frequência com que dispara e verificações de navegador para atingir apenas determinados visitantes, o que torna o comportamento difícil de reproduzir e quase invisível para ferramentas do lado do servidor.

Como o código malicioso é executado no navegador, os controles do lado do servidor não o detectam. Detecte-o com monitoramento do lado do cliente que inventaria todos os scripts, sinaliza alterações não autorizadas em links de saída ou de download e alerta quando o código redireciona usuários para domínios não aprovados. O cside monitora scripts em tempo de execução no navegador para capturar códigos de redirecionamento e de sequestro de afiliados injetados antes que prejudiquem usuários ou a receita.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Conformidade HIPAA com tecnologias de rastreamento web: o guia para organizações de saúde

O OCR do HHS determinou que pixels de rastreamento e scripts de terceiros em sites de saúde podem expor PHI. O que as entidades cobertas precisam fazer para estar em conformidade.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.