Formjacking (Magecart attack)

Formjacking é categoria operacional com tipificação clara mas implicações dogmáticas relevantes para defesa.

(i) Mecânica técnica: atacante (a) compromete site da vítima corporativa via vulnerabilidade web, credenciais comprometidas ou comprometimento de dependências (verbete supply chain attack); (b) injeta script JavaScript malicioso em página de checkout ou formulário; (c) script captura dados durante digitação — número de cartão, CVV, validade, nome, endereço, CPF/CNPJ; (d) envia dados a servidor C2 controlado pelo atacante via XHR ou WebSocket; (e) transação prossegue normalmente para o site legítimo, sem alerta à vítima; (f) dados são monetizados via venda em mercados clandestinos (carding markets) ou uso direto em fraudes.

(ii) Caso British Airways (2018): paradigma. Atacantes (atribuídos a Magecart Group 6) injetaram 22 linhas de JavaScript em página de pagamento da British Airways em agosto-setembro de 2018, capturando dados de 380.000 transações. ICO britânico aplicou multa inicial de £183 milhões em julho/2019 (reduzida posteriormente para £20 milhões em outubro/2020 considerando impacto da pandemia). Caso é referência sobre responsabilidade civil e administrativa de empresas vítimas com falhas defensivas.

(iii) Tipificação aplicável no Brasil: clara. (a) Furto mediante fraude eletrônica (art. 155, §4º-B do CP) é o tipo central — captura subreptícia de dados para subtração patrimonial subsequente; (b) Estelionato eletrônico (art. 171, §2º-A) quando há indução fraudulenta direta; (c) Invasão de dispositivo informático (art. 154-A) tanto contra empresa-vítima quanto contra cada consumidor; (d) Organização criminosa (Lei 12.850/2013) em estruturas como Magecart; (e) Lavagem de dinheiro (Lei 9.613/1998) na monetização. Concurso material é típico.

(iv) Articulação com supply chain attack: vetor frequente. Magecart Groups operam frequentemente via comprometimento de dependências de terceiros — bibliotecas JavaScript, scripts de analytics (Google Analytics maliciosos), chatbots, ferramentas de marketing. Comprometimento de um fornecedor compartilhado atinge centenas de sites simultaneamente. Casos paradigmáticos — comprometimento de Inbenta Technologies (2018) atingiu Ticketmaster e dezenas de outros.

(v) Defesa técnica — desafios: defesa contra formjacking é estruturalmente difícil porque (a) script malicioso opera no navegador da vítima, fora do controle da loja; (b) detecção exige análise contínua de scripts carregados; (c) CSP (Content Security Policy) robusto pode mitigar mas implementação adequada é complexa; (d) SRI (Subresource Integrity) para scripts externos é defesa importante; (e) PCI DSS v4.0 (em vigor desde abril/2024) exige inventário e monitoramento de scripts em páginas de pagamento.

(vi) Brasil — Pix e cartão: Brasil tem peculiaridade. Pix reduziu uso relativo de cartão em pagamentos digitais (representava 45% em 2024 segundo BCB). Formjacking pode operar contra chaves Pix em formulários, mas mecânica MED (Mecanismo Especial de Devolução, Resolução BCB 103/2021) facilita reversão em alguns casos. Casos documentados pela Polícia Federal envolvem comprometimento de e-commerces brasileiros com captura de cartão internacional.

(vii) Responsabilidade da vítima corporativa: zona dogmática ativa. (a) CDC estabelece responsabilidade objetiva por falha na segurança do serviço (art. 14); (b) LGPD (art. 46, art. 48) exige medidas técnicas adequadas e comunicação de incidentes; (c) PCI DSS estabelece padrão técnico para tratamento de dados de cartão; (d) falhas demonstráveis em adoção de defesas conhecidas geram responsabilidade reforçada. Casos brasileiros têm aplicado responsabilidade objetiva.

(viii) Magecart como ecossistema criminoso: literatura especializada (RiskIQ, Sansec, Trustwave) documenta mais de 12 grupos distintos sob denominação Magecart, com especialização operacional — alguns focam em comprometimento, outros em monetização, outros em desenvolvimento de skimmers. Estrutura modular e profissionalizada análoga a Ransomware-as-a-Service.

(ix) PCI DSS v4.0 e formjacking: padrão técnico específico. Em vigor desde 31/março/2024, com requisitos novos focados em e-skimming — (a) inventário de scripts em páginas de pagamento; (b) monitoramento de mudanças não autorizadas; (c) resposta a comprometimento de scripts; (d) requisitos reforçados de SRI e CSP. Adoção é referência crescente.

(x) Implicações dogmáticas: formjacking é categoria operacional com tipificação clara mas com implicações para responsabilidade civil e regulatória da vítima corporativa. Construção dogmática brasileira deve articular (a) standard técnico progressivamente alinhado com PCI DSS v4.0; (b) responsabilidade objetiva consistente com CDC e LGPD; (c) cooperação internacional dado caráter transnacional; (d) paridade de armas processual em casos com elementos técnicos densos; (e) proteção do consumidor via mecanismos como MED do Pix. Categoria com volume crescente em e-commerce brasileiro.