Oiça este artigo aqui:
Com a época de compras natalícias no auge, especialistas em cibersegurança alertam para uma ameaça silenciosa que está a crescer rapidamente no comércio eletrónico: o e-skimming. Trata-se de um método sofisticado que injeta código JavaScript malicioso em sites legítimos de e-commerce, capaz de roubar dados de cartões de crédito antes mesmo de a compra ser concluída.
Segundo a NordVPN, que tem monitorizado o fenómeno, este tipo de ataque funciona como a versão digital do skimming tradicional, utilizado em caixas multibanco. A diferença é que, no ambiente online, o processo é totalmente invisível – tanto para consumidores como para os próprios comerciantes.
Técnica triplicou em apenas um ano
De acordo com o Relatório Anual de Inteligência sobre Fraude em Pagamentos, o e-skimming é hoje um dos métodos mais eficazes para roubo de dados financeiros. A atividade quase triplicou em 2024, com mais de 11 mil novos sites de comércio eletrónico infetados, o número mais elevado já registado num único ano.
“Os ciberdelinquentes implantam skimmers de JavaScript que se executam silenciosamente no navegador e capturam, em tempo real, números de cartões, códigos CVV, emails, datas de validade e outra informação confidencial – às vezes antes de o utilizador finalizar a compra”, explica Marijus Briedis, CTO da NordVPN, que acxrescenta que “pode estar a comprar num site legítimo sem qualquer aviso, e mesmo assim ser vítima de um roubo silencioso”.
Porquê tão difícil de detetar?
Grande parte das lojas online funciona com uma combinação complexa de scripts externos – desde ferramentas de analytics a widgets de pagamento, rastreadores de marketing ou bibliotecas de UX. Estes fornecedores são, em regra, confiáveis, mas nem sempre têm monitorização contínua.
Um único plugin desatualizado ou uma falha num serviço externo pode abrir as portas ao ataque. Uma vez infiltrado, o código malicioso mistura-se com scripts legítimos e pode ser ativado apenas em determinados locais ou horários, dificultando a sua deteção. O roubo pode ocorrer mesmo antes de o utilizador carregar no botão “Confirmar compra”.
Depois de recolhida, a informação roubada entra rapidamente nos mercados da dark web. Investigações recentes mostram que dados de cartões de crédito podem ser vendidos por cerca de 9 dólares, sendo depois usados para compras fraudulentas, esvaziamento de contas ou lavagem de dinheiro através de cartões-presente – normalmente poucas horas após o ataque.
“O e-skimming é eficaz porque se esconde nos scripts necessários ao funcionamento das lojas online”, sublinha Briedis. “Muitos comerciantes não têm visibilidade sobre o que é executado no navegador do utilizador – e é nesse vazio que o código injetado atua e desaparece sem deixar rasto”.
Como proteger-se durante as compras online
Com o aumento dos ataques, os especialistas recomendam medidas práticas de prevenção. Marijus Briedis deixa cinco conselhos essenciais para consumidores:
- Usar cartões virtuais ou de utilização única, ou optar por pagamentos tokenizados como Apple Pay ou Google Pay.
- Evitar guardar dados do cartão em sites, mesmo os habituais, e desligar o preenchimento automático dos formulários de pagamento.
- Instalar ferramentas de segurança que bloqueiem scripts e rastreadores maliciosos em tempo real.
- Ficar atento a comportamentos estranhos do navegador, como extensões inesperadas ou pop-ups fora do normal durante a compra.
- Monitorizar regularmente os movimentos bancários, para detetar rapidamente transações suspeitas.
Com o comércio eletrónico a crescer e os ataques a tornarem-se cada vez mais sofisticados, especialistas reforçam que a vigilância digital e a adoção de boas práticas de segurança devem ser encaradas como parte essencial da rotina de compras online – sobretudo em períodos de maior atividade, como o Natal.
Siga-nos no:
