Este método sofisticado injeta código malicioso em lojas online legítimas para roubar dados de cartões de crédito em tempo real, muitas vezes antes mesmo de a compra ser finalizada. Monitorizado pela empresa de segurança NordVPN, o e-skimming funciona como a versão digital do skimming tradicional em caixas multibanco.

O seu perigo reside na sua invisibilidade, tanto para os consumidores como para os próprios comerciantes.

De acordo com o Relatório Anual de Inteligência sobre Fraude em Pagamentos, a atividade de e-skimming quase triplicou em 2024, com mais de 11.000 novos sites de comércio eletrónico infetados. Marijus Briedis, CTO da NordVPN, explica que "os ciberdelinquentes implantam skimmers de JavaScript que se executam silenciosamente no navegador e capturam, em tempo real, números de cartões, códigos CVV, emails, datas de validade e outra informação confidencial". O ataque é difícil de detetar porque a maioria das lojas online utiliza uma combinação complexa de scripts externos para análise, widgets de pagamento e marketing. Um único plugin desatualizado ou uma falha num serviço de terceiros pode abrir a porta.

O código malicioso mistura-se com scripts legítimos e pode ser ativado apenas em horários ou locais específicos, dificultando a sua deteção.

Uma vez roubados, os dados são rapidamente vendidos em mercados da dark web.

Os especialistas recomendam medidas de prevenção práticas, incluindo o uso de cartões virtuais ou de utilização única, a opção por pagamentos tokenizados como Apple Pay ou Google Pay, e a utilização de ferramentas de segurança que bloqueiem scripts maliciosos.