Scanner de Magecart para Magento
Analisa os scripts, o Google Tag Manager e os destinos de rede da página em busca de padrões de skimmer de cartão de crédito (Magecart) que roubam dados no checkout.
Pare de testar na mão — monitore 24/7
Esta ferramenta é um retrato de agora. A Especialista Loja Virtual roda navegação real na sua loja a cada poucos minutos e te alerta no Discord, Slack ou e-mail com screenshot do problema. Comece grátis.
Como funciona o Scanner Magecart
Buscamos a página informada e baixamos os scripts que ela carrega. Em cima desse conteúdo, rodamos uma análise estática que procura padrões de skimmer de cartão (Magecart): containers de Google Tag Manager maliciosos conhecidos, domínios de exfiltração, chaves secretas do Stripe expostas no navegador, código que lê os campos de cartão no checkout e ofuscação típica de payloads de skimmer.
Cada achado vem com severidade (crítico, alto, médio), a evidência exata encontrada e o que fazer para remediar. Importante: esta análise é estática — ela não executa a página. Skimmers entregues via Google Tag Manager só são montados quando a página roda no navegador, então para detecção completa e contínua use o teste de monitoramento Magecart no painel, que abre a loja num navegador real e observa o comportamento em runtime.
Perguntas frequentes
O que é Magecart?
Magecart é o nome dado a grupos que injetam scripts maliciosos (skimmers) em lojas online para roubar dados de cartão digitados no checkout. Em Magento/Adobe Commerce, o código costuma ser plantado em core_config_data, blocos de CMS, templates do tema ou — cada vez mais — via uma tag maliciosa no Google Tag Manager da loja.
Como o Google Tag Manager é usado no ataque?
O atacante invade a conta do GTM da loja e cria uma tag custom que, no checkout, captura os campos de cartão e envia para um servidor dele. Como o código é servido pelo domínio confiável googletagmanager.com, passa despercebido. Por isso é essencial habilitar 2FA na conta do GTM e revisar quem tem acesso de publicação.
Este scanner garante que minha loja está limpa?
Não. Um resultado "sem indícios" significa que nenhum padrão conhecido foi encontrado na análise estática daquela página — mas skimmers via GTM só aparecem em runtime e a injeção pode acontecer a qualquer momento. Segurança de e-commerce exige monitoramento contínuo, não uma checagem única.
Encontrou um indício. O que faço agora?
Aja como se a loja estivesse comprometida: audite e remova tags suspeitas no Google Tag Manager, troque a senha da conta Google e do admin do Magento, revise core_config_data e blocos de CMS, rotacione chaves de pagamento e procure backdoors (ex.: arquivos PHP estranhos em media/). Em caso de roubo confirmado, comunique a adquirente e os clientes afetados.
Funciona em WooCommerce e outras plataformas?
As assinaturas de skimmer e os indícios de exfiltração são detectados em qualquer loja. Os seletores de campo de cartão são otimizados para Magento 2/Adobe Commerce, mas a maioria das regras (GTM malicioso, domínio de exfiltração, chave secreta exposta, ofuscação) é independente de plataforma.
Referências oficiais
Fontes primárias usadas na construção desta ferramenta. Use-as para aprofundar ou validar os critérios técnicos.
Ferramentas relacionadas
Scanner vulnerabilidades
Verifica exposições conhecidas da sua loja Magento: backups, .git, env.php, phpinfo, webshells, headers e versão desatualizada.
Abrir
Headers HTTP
Veja todos os headers HTTP que seu servidor envia — cache, segurança, compressão, cookies.
Abrir
SEO on-page
Auditoria instantânea de title, description, canonical, headings, imagens sem alt e mais.
Abrir