E-skimming transformou-se na principal preocupação de especialistas em cibersegurança neste fim de ano, ao contaminar milhares de lojas virtuais legítimas e furtar dados de cartões de crédito antes da conclusão da compra.
Segundo a NordVPN, a técnica – que injeta código JavaScript malicioso diretamente no site de comércio eletrônico – praticamente triplicou em 2024, atingindo mais de 11 mil novos endereços de venda online no mundo.
E-skimming: ataques invisíveis miram cartões em e-commerces
O método funciona como a versão digital do skimming encontrado em caixas eletrônicos. No ambiente online, porém, o golpe é totalmente invisível tanto para o consumidor quanto para o lojista, pois o código se esconde entre scripts legítimos carregados pelo navegador.
Como o ataque acontece
Marijus Briedis, CTO da NordVPN, explica que os cibercriminosos implantam skimmers de JavaScript capazes de capturar, em tempo real, número do cartão, código CVV, e-mail e data de validade “às vezes antes mesmo de o usuário finalizar a compra”. A informação furtada é enviada instantaneamente para servidores controlados pelos invasores e, poucas horas depois, colocada à venda na dark web por cerca de US$ 9.
Grande parte das lojas online utiliza uma combinação complexa de scripts externos – de ferramentas de análise a gateways de pagamento e bibliotecas de experiência do usuário. Um único plugin desatualizado ou uma falha em serviço de terceiros basta para abrir brecha ao código malicioso, que se mistura ao conteúdo legítimo e só é ativado em páginas ou horários específicos, dificultando a identificação.
Por que é difícil detectar
A maioria dos lojistas não possui visibilidade integral sobre o que é executado no navegador do cliente. Ao se comportar como qualquer outro recurso indispensável da página, o e-skimming passa despercebido por soluções de segurança convencionais, remove-se rapidamente após a coleta dos dados e não deixa rastros no servidor da loja.
Impacto financeiro crescente
O Relatório Anual de Inteligência sobre Fraude em Pagamentos aponta o e-skimming como um dos métodos de roubo financeiro mais eficazes da atualidade. O aumento observado em 2024 representa o maior já registrado em um único ano e coincide com a alta temporada de compras, quando o volume de transações online dispara.
Imagem: urlhttps
Dicas para o consumidor se proteger
Diante da escalada dos ataques, a NordVPN recomenda cinco medidas práticas:
- Utilizar cartões virtuais ou de uso único, além de soluções tokenizadas como Apple Pay ou Google Pay.
- Evitar armazenar dados do cartão em sites, mesmo os já conhecidos, e desativar o preenchimento automático de formulários de pagamento.
- Instalar ferramentas de segurança capazes de bloquear scripts e rastreadores suspeitos em tempo real.
- Observar comportamentos incomuns no navegador, como extensões inesperadas ou pop-ups fora do padrão durante a compra.
- Monitorar frequentemente o extrato bancário para identificar rapidamente transações não reconhecidas.
Recomendações para lojistas
Especialistas acrescentam que os comerciantes devem manter todos os componentes da loja – temas, plugins e integrações – atualizados, adotar políticas rígidas de Content Security Policy e realizar auditorias periódicas em scripts de terceiros. Monitoramento contínuo e varreduras automatizadas ajudam a detectar alterações suspeitas antes que causem prejuízo aos clientes.
Com o comércio eletrônico em franca expansão e técnicas criminosas cada vez mais sofisticadas, a atenção redobrada a boas práticas de segurança deve fazer parte da rotina de compras – sobretudo em períodos críticos, como o Natal.
Para aprofundar o conhecimento em proteção digital e aprender outras estratégias de prevenção financeira, confira também nossas dicas especializadas sobre o tema.
Em resumo, o e-skimming cresce em ritmo acelerado e requer vigilância constante de consumidores e lojistas. Adote as recomendações de segurança, mantenha seus sistemas atualizados e acompanhe nossas publicações para ficar sempre um passo à frente dos golpistas.



