Skip to main content
Blog
Blog Attacks

O que é skimming de cartão online? Como invasores roubam dados de pagamento de sites

JavaScript malicioso em páginas de pagamento captura números de cartão antes da criptografia. Como funciona o skimming de cartão online, exemplos reais e requisitos do PCI DSS 4.0.1.

Jul 08, 2026 7 min read
O que é skimming de cartão online? Como invasores roubam dados de pagamento de sites

Resumo

  • O skimming de cartão online é JavaScript malicioso na página de pagamento de um comerciante que copia dados do cartão de pagamento enquanto o cliente os digita.
  • Os invasores colocam o script comprometendo um plugin de terceiros, uma biblioteca de análise ou um gerenciador de tags que o site já carrega.
  • Os dados roubados saem do navegador diretamente para um servidor controlado pelo invasor. Seu backend, WAF e processador de pagamento nunca os veem.
  • O Relatório Semestral de Ameaças da Visa da Primavera de 2025 identifica o skimming digital como "uma das ameaças mais prolíficas e consistentes" no ecossistema de pagamentos.
  • Os requisitos PCI DSS 4.0.1 6.4.3 e 11.6.1, obrigatórios desde 31 de março de 2025, existem especificamente para combater esse tipo de ataque.

O que é skimming de cartão online?

Skimming de cartão online
O skimming de cartão online é um ciberataque em que JavaScript malicioso é executado no navegador de um comprador na página de pagamento de um comerciante. Enquanto o usuário digita seu número de cartão, data de validade, CVV e endereço de cobrança no formulário de pagamento, o script copia esses dados e os transmite para um servidor controlado pelo invasor, antes que o pagamento seja enviado.

O termo "skimming de cartão" tem origem na fraude física: um dispositivo de hardware fixado a um caixa eletrônico ou terminal de ponto de venda que lê a tarja magnética do cartão e registra o PIN quando um cliente o digita. O skimming de cartão online funciona com o mesmo princípio, mas não precisa de nenhum dispositivo físico. Algumas linhas de JavaScript substituem o hardware. O ataque não deixa rastro físico, pode ser executado sem ser detectado por meses e pode ser implantado em milhares de sites simultaneamente por meio de um único script de terceiros comprometido.

O Relatório Semestral de Ameaças da Visa da Primavera de 2025 identificou o skimming digital como uma das "ameaças mais prolíficas e consistentes" no ecossistema de pagamentos, observando que o programa eCommerce Threat Disruption da empresa verifica ativamente sites de comerciantes em busca de assinaturas de skimmer na América do Norte e na Europa.

Para uma visão complementar do lado de execução no navegador deste ataque, veja nosso guia detalhado sobre e-skimming.

Como os invasores implantam scripts de skimming de cartões

Os invasores precisam de execução de código na página de pagamento alvo. Eles obtêm isso por meio de pontos de entrada na cadeia de fornecimento em vez de atacar diretamente o servidor do comerciante:

  • Um plugin de terceiros, extensão de CMS ou widget comprometido que o site do comerciante já carrega
  • Uma atualização maliciosa enviada para uma biblioteca de análise ou gerenciador de tags hospedada em CDN
  • Uma violação do painel de administração do CMS ou repositório de código do comerciante

Uma vez que controlam um arquivo JavaScript executado na página de pagamento, eles adicionam o payload de skimming. O script se conecta aos campos do formulário de pagamento. Enquanto o cliente digita, o script copia cada valor, codifica os dados e os envia via HTTPS para um domínio controlado pelo invasor, tipicamente um domínio semelhante com typosquatting projetado para se misturar nos logs de tráfego de rede. A solicitação de exfiltração nunca passa pelo servidor do comerciante.

Três propriedades tornam isso quase invisível de fora do navegador: a solicitação de saída é criptografada; o domínio de destino imita um fornecedor legítimo; e o payload é pequeno o suficiente para parecer tráfego de análise rotineiro.

Por que scanners de código em repouso não o detectam

A maioria das ferramentas de segurança de sites busca uma página, analisa o código-fonte HTML e JavaScript e sinaliza assinaturas maliciosas conhecidas. O skimming de cartão online evita essa abordagem por uma razão estrutural: o skimmer é executado no navegador real de um usuário, onde o invasor pode aplicar lógica condicional que um scanner nunca aciona.

Um script pode retornar código limpo para rastreadores headless e se ativar apenas quando detecta comportamento humano, um endereço IP real ou uma região geográfica específica. O WAF, o servidor de origem e o processador de pagamento do comerciante nunca recebem nenhuma evidência do roubo. Apenas uma camada de monitoramento executada dentro de sessões reais de visitantes pode observar o script como ele realmente se comporta.

Ataques de skimming de cartão online conhecidos

British Airways (2018). Invasores plantaram 22 linhas de JavaScript em ba.com que exfiltravam dados de pagamento para um domínio semelhante, baways[.]com. O script funcionou sem ser detectado por aproximadamente dois meses e afetou cerca de 500.000 clientes e funcionários. O Escritório do Comissário de Informação do Reino Unido emitiu uma multa inicial de £183 milhões sob o RGPD, posteriormente reduzida para £20 milhões. O caso foi uma das primeiras ações de aplicação do RGPD de alto perfil diretamente ligadas a uma falha de segurança de pagamento no lado do cliente.

Magecart (em andamento). O nome se originou de ataques visando carrinhos de compras baseados em Magento, mas agora abrange dezenas de grupos de atores de ameaça distintos usando skimming de cartão online em muitas plataformas. Os atores Magecart comprometeram fornecedores de scripts de terceiros cujas bibliotecas são executadas simultaneamente em milhares de sites de comerciantes, transformando uma única violação na cadeia de fornecimento em um evento massivo de roubo de cartões. Veja os maiores ataques Magecart já registrados.

Requisitos do PCI DSS 4.0.1 para prevenção de skimming de cartões

O PCI DSS 4.0.1 introduziu dois requisitos que abordam diretamente o skimming de cartões online. Ambos se tornaram obrigatórios em 31 de março de 2025:

O requisito 6.4.3 exige que cada script carregado em uma página de pagamento seja documentado em um inventário, autorizado com justificativa de negócios e que sua integridade seja protegida. A intenção é impedir que scripts não autorizados sejam executados onde dados do cartão são inseridos.

O requisito 11.6.1 exige um mecanismo de detecção de adulteração que alerte sobre alterações não autorizadas em scripts de páginas de pagamento e cabeçalhos HTTP que afetam a segurança, avaliado pelo menos semanalmente ou em um cronograma analisado por risco.

Auditorias manuais de scripts e varreduras pontuais não podem satisfazer esses requisitos no volume e frequência que especificam. O monitoramento automatizado e contínuo do que os scripts realmente fazem em navegadores reais é a linha de base que ambos os requisitos foram escritos para impor.

RequisitoO que exigeObrigatório desde
6.4.3Inventário de scripts, autorização e integridade nas páginas de pagamento31 de março de 2025
11.6.1Detecção de adulteração com alertas para alterações nas páginas de pagamento31 de março de 2025

Como detectar o skimming de cartão online

A detecção requer visibilidade do que os scripts fazem dentro dos navegadores reais dos visitantes, não apenas a aparência do código-fonte no momento da varredura. O cside implanta um único snippet JavaScript próprio (sem proxy, sem alterações de DNS) que monitora o comportamento de scripts no nível do navegador em cada carregamento de página real.

Os sinais que o cside detecta para detecção de skimming de cartão online:

  • Scripts novos ou modificados aparecendo nas páginas de pagamento sem autorização
  • Ouvintes inesperados em campos de entrada que lidam com dados do cartão
  • Solicitações de saída para domínios fora de uma lista de permissões autorizada
  • Comportamento de script que difere entre sessões automatizadas e sessões de usuários reais

Isso produz o registro contínuo em tempo real que o PCI DSS 4.0.1 exige: um inventário de scripts autorizado para o 6.4.3 e evidências de detecção de adulteração para o 11.6.1.

Leitura relacionada:

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

O skimming de cartão online é um ciberataque em que JavaScript malicioso é executado na página de pagamento de um comerciante e copia dados do cartão de pagamento enquanto o cliente os digita. Os dados roubados, incluindo o número do cartão, data de validade, CVV e endereço de cobrança, são transmitidos em tempo real para um servidor controlado pelo invasor. O roubo ocorre antes que o pagamento seja enviado e antes que qualquer criptografia do lado do servidor seja aplicada. Ao contrário do skimming físico de cartões, o skimming online não requer hardware, não deixa rastro físico e pode ser executado em milhares de sites simultaneamente por meio de um único script de terceiros comprometido.

O skimming físico de cartões usa um dispositivo de hardware fixado a um caixa eletrônico ou terminal de ponto de venda. O dispositivo lê a tarja magnética e uma câmera oculta ou sobreposição de teclado captura o PIN. O skimming de cartão online é totalmente baseado em software: JavaScript malicioso no navegador captura dados do cartão digitados em um formulário de pagamento. O skimming físico visa um terminal por vez. O skimming online pode ser implantado por meio de um único script de terceiros comprometido e executado simultaneamente em milhares de sites sem esforço adicional do invasor.

Os invasores geralmente comprometem um plugin de terceiros, extensão de CMS ou biblioteca de gerenciador de tags que o site do comerciante já carrega. Eles também podem violar diretamente o painel de administração do CMS ou o repositório de código do comerciante. Uma vez que controlam um arquivo JavaScript executado na página de pagamento, eles o modificam para incluir o payload de skimming. Como o script comprometido frequentemente pertence a um fornecedor de análise ou marketing, o próprio código do comerciante não é tocado e os logs do lado do servidor não mostram nada incomum.

Qualquer site que carregue JavaScript de terceiros em páginas onde clientes inserem dados de pagamento está em risco. Isso inclui lojas de e-commerce construídas em Magento, WooCommerce, Shopify com checkouts personalizados e plataformas proprietárias, bem como serviços de assinatura e sites de reserva de viagens. A superfície de ataque é o navegador, não o servidor, portanto a infraestrutura de hospedagem do comerciante, a configuração do WAF e o processador de pagamento não determinam o risco.

Normalmente semanas a meses. Scripts de skimming de cartões são projetados para ser silenciosos: eles exfiltram dados para domínios semelhantes a fornecedores de análise legítimos, enviam pequenos payloads criptografados e frequentemente são ativados apenas sob condições de usuário real (como detectar movimento do mouse ou um IP fora de datacenter) para evitar detecção por scanners. Os comerciantes geralmente ficam sabendo de uma violação por meio de reclamações de fraude de clientes ou alertas de rede de cartões, que podem surgir 30 a 90 dias após o comprometimento inicial.

Sim. Os requisitos 6.4.3 e 11.6.1, ambos obrigatórios desde 31 de março de 2025, foram escritos especificamente para abordar o skimming de cartões online e ataques à cadeia de fornecimento no estilo Magecart. O requisito 6.4.3 exige um inventário documentado de cada script nas páginas de pagamento, com autorização e proteção de integridade para cada um. O requisito 11.6.1 exige um mecanismo de detecção de adulteração que alerta sobre alterações não autorizadas em scripts e cabeçalhos HTTP que afetam a segurança nas páginas de pagamento.

Scripts de skimming de cartões geralmente capturam tudo que um cliente digita em um formulário de pagamento: o número completo do cartão (PAN), data de validade, CVV/CVC, nome do titular do cartão, endereço de cobrança e às vezes endereço de e-mail e número de telefone. Algumas variantes também interceptam tokens de sessão ou credenciais de login em páginas de conta próximas aos fluxos de pagamento. Os dados roubados são usados diretamente para fraude sem cartão presente ou vendidos em mercados da dark web, frequentemente dentro de horas após a coleta.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração