A NordVPN alertou, esta terça-feira, para o crescimento acelerado dos ataques de e-skimming, uma técnica que injeta código JavaScript malicioso em sites legítimos de comércio eletrónico para roubar dados de cartões de crédito durante o processo de compra.
O alerta surgiu numa altura em que a época natalícia leva o volume de compras online a níveis recorde.
O e-skimming funciona como o equivalente digital dos dispositivos físicos usados para desviar dados em caixas multibanco. O método é particularmente perigoso por ser invisível, permitindo que os utilizadores continuem a navegar sem qualquer indício de que os seus dados estão a ser recolhidos. Também as empresas afetadas raramente recebem notificações imediatas de que a informação dos clientes está a ser comprometida.
Crescimento expressivo de casos em 2024
O Relatório Anual de Inteligência sobre Fraude em Pagamentos indica que este é atualmente um dos métodos mais eficazes para o roubo de dados financeiros. A atividade de e-skimming quase triplicou em 2024 face ao ano anterior, com mais de 11 mil novos domínios infetados — o valor anual mais elevado alguma vez registado.
Marijus Briedis, CTO da NordVPN, explicou que os cibercriminosos implantam skimmers que capturam números de cartão, nomes, códigos CVV, datas de validade e outros dados sensíveis “em tempo real e, por vezes, antes mesmo de a compra ser concluída”. Sublinha que é possível comprar num site legítimo e ser alvo de roubo “sem pop-ups, sem avisos, apenas um roubo silencioso”.
Como o ataque acontece
As páginas de pagamento das lojas online recorrem a diversos scripts externos — desde etiquetas analíticas a widgets de pagamento ou ferramentas de marketing — que nem sempre são monitorizados. Um único fornecedor comprometido ou um plugin desatualizado pode infetar todas as lojas que dependem desse serviço. Misturado entre scripts legítimos, o código malicioso pode ser ativado apenas em regiões, horários ou etapas específicas do checkout, tornando a deteção ainda mais difícil.
Depois de recolhidos, os dados roubados entram rapidamente na economia paralela da dark web. Investigações recentes da NordVPN mostram que um cartão de crédito pode ser vendido por valores tão baixos quanto 9 dólares, sendo depois usado para compras fraudulentas, levantamentos ou esquemas de lavagem de dinheiro, normalmente poucas horas após o ataque.
Briedis sublinha que o e-skimming é eficaz porque se esconde “nos scripts que as lojas online precisam para funcionar”, e que muitas empresas não têm visibilidade sobre o que acontece no navegador do utilizador.
Recomendações de segurança para consumidores
A NordVPN partilhou um conjunto de recomendações para minimizar riscos durante as compras online. Entre elas está a utilização de cartões virtuais ou de uso único, ou de métodos de pagamento tokenizados, que impedem a exposição dos dados reais do cartão. A empresa aconselhou ainda a não guardar informações bancárias em sites, a desativar o preenchimento automático dos formulários de pagamento, a instalar ferramentas de segurança capazes de bloquear scripts maliciosos em tempo real e a estar atento a comportamentos invulgares do navegador durante a compra. Recomendou por último também a revisão frequente dos movimentos bancários para identificar eventuais transações suspeitas.
