Blog

O que são skimmers digitais?

Recentemente, soubemos de uma nova e significativa campanha de ciberataque que teve como alvo centenas de lojas online, explorando vulnerabilidades em scripts e plugins de terceiros. Este é um exemplo perfeito de um 'skimmer digital'. Skimmers digitais são trechos de código injetados maliciosamente em sites legítimos. Eles visam informações pessoais e de cartão de crédito. Esse problema está em crescimento e é parte do motivo pelo qual o cside foi criado. Nosso proxy é capaz de detectar esse código malicioso e impedir que ele afete

Aug 29, 2024 • 4 min read

Simon Wijckmans Founder & CEO

exemplo-de-skimmers-digitais-imagem-capa

Recentemente, soubemos de uma nova e significativa campanha de ciberataque que teve como alvo centenas de lojas online, explorando vulnerabilidades em scripts e plugins de terceiros.

Este é um exemplo perfeito de um 'skimmer digital'.

Skimmers digitais são trechos de código injetados maliciosamente em sites legítimos. Eles visam informações pessoais e de cartão de crédito.

Esse problema está em crescimento e é parte do motivo pelo qual o cside foi criado. Nosso proxy é capaz de detectar esse código malicioso e impedir que ele afete os usuários nos sites.

Esse código é carregado no lado do cliente (o navegador) do usuário, e não no servidor do site. Isso o torna especialmente difícil de detectar, já que a maioria dos sites não conta com uma ferramenta como o cside para proteger a experiência client-side de seus usuários.

A maioria dos nossos concorrentes verifica esse código depois que ele já foi carregado no navegador do usuário — ou seja, não previne o ataque, apenas alerta o site responsável. Nós carregamos todos os scripts primeiro em um proxy e, após serem considerados seguros, os entregamos ao usuário. Também otimizamos os scripts sempre que possível, para servi-los mais rapidamente do que uma Rede de Distribuição de Conteúdo (CDN), mitigando qualquer problema de latência. Na prática, muitas vezes aumentamos a velocidade de entrega desses scripts.

O que aconteceu nesse ataque

Esse ataque foi divulgado pela MalwareBytes e era, até então, o mais recente de uma série de ataques executados em sites de e-commerce que utilizam Magento.

Não reportamos sobre isso anteriormente porque nenhum dos nossos usuários utiliza Magento atualmente.

Em outras notícias, percebemos recentemente que Malwarebytes(.)fr foi configurado como uma página de venda de domínio com um registrador de IP, que enviava os dados para um webhook do Discord. O webhook foi rapidamente deletado ou banido do Discord. Leia aqui por que domínios expirados podem ser um problema enorme e são frequentemente usados nesse tipo de ataque.

Aqui está a evidência desse webhook:

Voltando ao assunto.

Um ataque à cadeia de fornecimento web como esse acontece porque os atacantes comprometem o Magento (ou um plugin do Magento) e simplesmente inserem uma linha de JavaScript remotamente. Na maioria desses casos — e também neste mais recente — os atacantes alteram um script legítimo para permanecerem sem ser detectados pelo maior tempo possível.

O código também é ofuscado para dificultar ainda mais a compreensão do que está sendo executado. Essa é uma prática legítima de proteção de código, usada por empresas o tempo todo para evitar que seu código seja copiado ou adulterado.

A partir daí, o ataque é bastante simples. O código carrega uma função que recupera informações do site onde foi inserido e as envia para todo tipo de formulário. O domínio dentro do código malicioso recebe essas informações, e os atacantes passam a tê-las em mãos.

Nesse ataque, o alvo eram informações de cartão de crédito de pessoas desavisadas realizando compras online. Há muito pouco que essas pessoas possam fazer, mas os sites onde o ataque ocorre são responsabilizados e frequentemente recebem multas do PCI DSS e, às vezes, ações judiciais.

Neste caso, o fluxo de pagamento foi interrompido durante o checkout. Um frame falso de métodos de pagamento foi inserido e as pessoas preencheram esse formulário em vez do real. Isso foi feito por meio de uma simples tag de imagem inserida em uma única linha de JavaScript.

Isso se parecia com: {domain}.{shop|online)/img/

Os domínios maliciosos identificados nesses ataques até o momento incluem:

codcraft(.)shop
codemingle(.)shop
datawiz(.)shop
deslgnpro(.)shop
happywave(.)shop
luckipath(.)shop
pixelsmith(.)shop
salesguru(.)online
statlstic(.)shop
statmaster(.)shop
trendset(.)website
vodog(.)shop
artvislon(.)shop
statistall(.)com
analytlx(.)shop

Este é mais um de uma série de ataques que reforça a necessidade imediata de as empresas protegerem a experiência client-side de seus usuários. Se os sites tivessem instalado uma ferramenta como o cside, seus usuários teriam sido protegidos.

A regulamentação chegou

Até março de 2025, o PCI DSS 4.0 exige que sites com checkouts online monitorem scripts de terceiros em suas páginas de pagamento.

Defendemos não apenas o monitoramento, mas também a proteção desses scripts para garantir total segurança. Escrevemos aqui sobre o risco de proteger apenas as páginas de pagamento e não o site inteiro. Os atacantes simplesmente se adaptam e, com uma rápida mudança de abordagem, os ataques provavelmente continuarão ocorrendo.

Saiba que, ao usar o cside, a totalidade do seu site está protegida.

Você pode começar gratuitamente e estar seguro em minutos.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Detecção de partilha de conta: como fechar a lacuna de execução que os limites de sessões simultâneas não cobrem

Os limites de sessões simultâneas sinalizam o caso óbvio.

Como Bloquear o Applebot-Extended no Seu Site

O Applebot-Extended é o crawler de treino de IA da Apple que alimenta o Apple Intelligence. Saiba como difere do Applebot e como recusar via robots.txt.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre monitoramento de scripts de terceiros em domínios de cassino

Como monitorar scripts de terceiros em 100 ou mais domínios de cassino

Guia prático para monitorar scripts de terceiros em 100+ domínios de cassino: expansão de scripts, alertas entre domínios e escalabilidade cside.

Riscos de segurança da IA agêntica para sites: privacidade, conformidade e detecção

Navegadores de IA agêntica ignoram o consentimento de cookies, executam JavaScript real e criam lacunas de conformidade com o RGPD que a detecção de bots em nível CDN não consegue ver.

Ilustração de um sistema neural de detecção de bots em duas etapas que separa sessões de navegador humanas e de bots

Apanhar bots que não querem ser apanhados: por dentro de uma stack de deteção neural de duas fases

Como uma stack neural de duas fases apanha stealth browsers, scrapers com proxy residencial e agentes LLM que passam as verificações de fingerprint.

Como Bloquear o DeepSeekBot no Seu Website

O DeepSeekBot rastreia o seu site para uma empresa chinesa de IA. Saiba como bloqueá-lo com robots.txt, regras de IP e os reais riscos de soberania de dados que ele levanta.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre conformidade de scripts perante a Malta Gaming Authority

Conformidade com a Malta Gaming Authority e Segurança de Scripts Client-Side: O Que os Operadores Licenciados pela MGA Precisam de Cobrir

As regras da MGA exigem uma plataforma segura e auditável. O JavaScript de terceiros é uma lacuna de conformidade que poucos auditaram.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre ataques de scripts de terceiros em plataformas de iGaming

Ataques de script de terceiros em plataformas iGaming em 2026: a nova superfície de ataque que os operadores ignoram

JavaScript de terceiros é a principal superfície de ataque não monitorada no iGaming. Sete classes de ataque e por que as ferramentas as ignoram.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Conformidade HIPAA com tecnologias de rastreamento web: o guia para organizações de saúde

O OCR do HHS determinou que pixels de rastreamento e scripts de terceiros em sites de saúde podem expor PHI. O que as entidades cobertas precisam fazer para estar em conformidade.