O comércio eletrônico parece rápido e familiar, mas uma ameaça oculta segue agindo silenciosamente nos bastidores.
Pesquisadores monitoram uma longa campanha de web skimming que tem como alvo empresas ligadas aos principais sistemas de pagamento.
Web skimming é uma técnica na qual criminosos inserem códigos maliciosos discretamente nas páginas de checkout, capturando dados de pagamento enquanto os consumidores os digitam.
Esses ataques ocorrem diretamente no navegador, geralmente sem sinais evidentes.
A maior parte das vítimas só percebe a fraude ao identificar cobranças não autorizadas em seus extratos.
Magecart é o nome dado pelos especialistas aos grupos que se especializam em ataques de web skimming.
Em vez de atacar bancos ou redes de cartões diretamente, esses criminosos inserem código malicioso em JavaScript nas páginas de checkout de lojas virtuais.
Esse código, normalmente usado para tornar as páginas interativas, é abusado para capturar números de cartão, datas de validade, códigos de segurança e informações de faturamento assim que são inseridos.
O termo Magecart, inicialmente associado a ataques a lojas baseadas em Magento, hoje engloba campanhas que atingem diversas plataformas de e-commerce e sistemas de pagamento.
Atualmente, a campanha mira comerciantes vinculados a grandes redes de pagamento, como American Express, Diners Club, Discover (subsidiária do Capital One), JCB Co., Ltd., Mastercard e UnionPay.
Empresas de grande porte enfrentam riscos maiores devido à complexidade de seus sites e às integrações com terceiros.
Os ataques geralmente exploram vulnerabilidades pouco percebidas, como scripts de terceiros desatualizados, plugins vencidos e sistemas de gerenciamento de conteúdo sem patch.
Ao invadir, os criminosos injetam o JavaScript malicioso no fluxo do checkout, monitorando os campos relacionados aos dados do cartão e enviando tudo para servidores sob seu controle.
Para evitar a detecção, o código malicioso costuma ser altamente ofuscado e pode se desativar automaticamente ao identificar sessões administrativas, dificultando inspeções.
Além disso, a campanha utiliza bulletproof hosting — serviços que ignoram relatórios de abuso e pedidos de remoção, garantindo estabilidade aos atacantes.
Por atuar no navegador, o web skimming consegue burlar muitos controles antifraude do lado servidor usados por comerciantes e provedores de pagamento.
Isso afeta simultaneamente consumidores, lojistas e redes de pagamento, dificultando a detecção e a resposta rápida.
Embora o consumidor não possa corrigir páginas comprometidas, hábitos inteligentes reduzem a exposição, limitam o uso indevido dos dados e agilizam a identificação de fraudes.
Cartões virtuais e de uso único geram números digitais vinculados à conta real, sem expor o número verdadeiro.
Eles funcionam normalmente no checkout, oferecendo uma camada extra de proteção.
Muitos usuários já têm acesso a eles por meio de bancos, emissores de cartões, carteiras digitais como Apple Pay e Google Pay, além de apps ou extensões que geram números temporários.
Cartões de uso único geralmente valem para uma compra, enquanto os virtuais podem ser pausados ou cancelados depois.
Se um número for capturado, o criminoso dificilmente poderá usá-lo novamente ou realizar cobranças repetidas, limitando os prejuízos.
Alertas de transação informam imediatamente o consumidor sobre qualquer uso do cartão, mesmo para valores baixos.
Assim, um teste feito por criminosos pode ser detectado antes que ocorram gastos maiores.
É fundamental usar senhas fortes e únicas nos portais bancários e de cartões para evitar invasões.
Gerenciadores de senha auxiliam na criação e armazenamento de credenciais seguras.
Também é importante verificar se seu e-mail foi exposto em vazamentos anteriores, utilizando ferramentas integradas a gerenciadores de senha confiáveis.
Em caso positivo, altere senhas reutilizadas e proteja suas contas.
Softwares antivírus confiáveis bloqueiam conexões com domínios maliciosos usados para coleta dos dados e alertam sobre sites perigosos.
Essa é a proteção mais eficaz contra links que instalam malware, além de prevenir phishing e ransomware, protegendo informações pessoais e digitais.
Serviços de remoção de dados ajudam a reduzir a exposição de informações pessoais na internet, dificultando que criminosos relacionem dados roubados à identidade completa.
Embora não garantam exclusão total, esses serviços monitoram e removem seus dados de centenas de sites, oferecendo mais privacidade e segurança.
Por fim, revise seus extratos regularmente, mesmo para pequenas cobranças, já que criminosos costumam testar cartões furtados com transações de baixo valor.
O web skimming da Magecart exemplifica como atacantes exploram páginas de checkout confiáveis sem interromper a experiência de compra.
Embora o consumidor não tenha controle sobre a segurança do site, medidas simples podem minimizar riscos e agilizar a detecção de fraudes.
O comércio online depende da confiança, mas essa campanha reforça a importância da cautela.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...