Bets ilegais se escondem em sites do governo para aparecer no Google
Sites mal desenvolvidos, muitas vezes por programadores incompetentes, são atacados por hackers vinculados à BETs
Invasores usam sites vinculados a governos do Brasil para veicular links para sites de apostas irregulares e ganhar destaque na busca do Google. A medida afeta páginas de serviços municipais, estaduais e federais que usam o domínio gov.br, criado para endereços governamentais.
Uma fonte anônima mapeou os sites afetados pelos links de apostas e revelou ter encontrado mais de 200 URLs afetadas com o redirecionamento para as bets, a maioria com domínio gov.br.
A prática se tornou cada vez mais frequente no país em 2024. O Portal de Notícias de Tecnologia Canal Tech noticiou um caso parecido em junho deste ano. Normalmente, os sites do governo apareciam em buscas sobre termos de apostas, mas agora os invasores ampliam o alcance com mais palavras-chave.
A invasão pode receber os nomes de cloaking (“camuflar” um link dentro de outro domínio para destacá-lo em buscadores) e open redirect (redirecionar um site para outra página com propósito diferente).
Funciona da seguinte forma: o usuário pesquisa por um termo específico, como “apostas”, e encontra um link de um site governamental entre os primeiros resultados da busca do Google. Porém, o endereço não leva ao site mencionado, e sim à página de uma casa de apostas.
Não vamos entrar no mérito sobre essas casas de apostas que são clandestinas e servem para instalar malwares no seu dispositivo e roubar o seu dinheiro. O foco desse texto é a vulnerabilidade encontrada nos sites de domínio .gov.br.
O ataque também pode ser usado para redirecionar termos mais genéricos, normalmente em alta no buscador do Google. É o caso de um episódio que envolveu sites da prefeitura e da Defesa Civil do município de Itajaí (SC), relatado pelo CT: algumas páginas apareceram em destaque no Google Notícias com o termo "Jogo Xbox 360", também levando o usuário a sites de apostas irregulares.
Marcos Pires - head de cibersegurança da empresa Think IT - reforçou que os sites com domínio governamental podem ser alvos comuns por conta da alta credibilidade, o que chama a atenção dos usuários e também pode ser um fator para o algoritmo do Google colocá-lo em destaque. “Os domínios gov.br transmitem confiança, o que aumenta a chance de clicarem nos links”, pontuou.
Para o pesquisador de cibersegurança da ESET Brasil, Daniel Barbosa, o alto índice de buscas é outro motivo para os sites governamentais estarem na mira dos invasores. “Após as modificações, o site fraudulento pode ser aberto por uma quantidade maior de vítimas sem que os cibercriminosos tenham que enviar o link ativamente”, detalhou.
A fonte anônima ouvida pela reportagem, responsável por compilar domínios afetados, ainda explicou que o “cloaking” pode acontecer de duas formas diferentes: os invasores podem redirecionar a página para um site de apostas ou podem publicar conteúdo sobre o tema diretamente na página governamental. Em ambos os casos, o mecanismo de buscas do Google destaca o resultado na pesquisa.
Não há um padrão sobre os sites expostos aos ataques, desde que usem o domínio gov.br: secretarias, prefeituras, universidades, institutos de previdência e até órgãos policiais são alguns exemplos. Na maioria dos casos, a equipe responsável por gerir o site pode remover o redirecionamento, mas ainda é possível ver o ataque em ação para diferentes palavras-chave.
Quando um site é atacado, a primeira coisa que acontece é a URL ser banida do Google. Ao pesquisar por qualquer coisa ligada aquele site você notará que não aparecerá mais nenhum resultado na busca. Porém, o malware está presente no site, o que permite o hacker voltar à URL e reprogramar novos redirecionamentos de conteúdo.
É cada vez mais necessário FISCALIZAR a capacidade de prestadores de serviços que se comprometem em desenvolver sites governamentais. Muitos ganham licitações a "preço de banana", desclassificando empresas competentes para dar lugar a um site vulnerável, cheio de problemas e que colocam em risco a população que os acessa.
A fonte que compilou os sites informou à reportagem que denunciou os links expostos para o Google Search Console, serviço da empresa que identifica possíveis problemas na exibição de links na busca, mas não teve retorno sobre o andamento das queixas. Também foram enviadas denúncias à PRODESP, que até agora não se posicionou sobre um possível bloqueio dos domínios contaminados no estado de São Paulo.
Já o Google, informou que trabalha no combate a spam e procura aprimorar sistemas que limitem esse tipo de ameaça. Veja a nota na íntegra:
“Nossos sistemas avançados de combate a spam nos permitem manter a Busca 99% livre de spams. Estamos melhorando de forma contínua esses sistemas para combater o crescente volume de conteúdo com esse tipo de ameaça, incluindo spam hackeado que pode aparecer quando há vulnerabilidades na segurança de um site. Também trabalhamos para notificar os sites quando nossos sistemas detectam que eles podem ter sido invadidos e fornecemos dicas para ajudar os proprietários a garantir e melhorar a segurança de suas páginas.”