Sites de órgãos públicos são substituídos por links de esquemas de apostas; conheça o golpe
Prefeituras, universidades, Corpo de Bombeiros e outras entidades aparecem vinculados às páginas, mesmo sem qualquer relação oficial.
Aparentemente, o ocorrido é uma consequência do aproveitamento de uma vulnerabilidade na estrutura de páginas antigas. Uma simples pesquisa pelos termos “jogo do tigre” ou “bet” já revela alguns das páginas oficiais afetadas pela vulnerabilidade.
Ao clicar em um dos links anexados no Google, o usuário é encaminhado para a página oficial, mas logo redirecionado para o site malicioso.
Criminosos abusam de brechas em servidores oficiais para injetar páginas de sites de apostas. (Imagem: Igor Almenara/TecMundo)Fonte: Igor Almenara/TecMundo
É impossível contabilizar quantas plataformas oficiais foram afetadas pelo problema e, por enquanto, não há um levantamento oficial de quantos portais estão infectados.
O TecMundo apurou o problema e encontrou páginas com domínio da Universidade Federal do Rio de Janeiro (UFRJ), da prefeitura de Governador Edison Lobão (MA) e do Corpo de bombeiros do Acre vinculadas a sites de apostas.
Do que consiste a brecha?
Esse tipo de ataque é popularmente conhecido como “defacement” (“desfiguração”, em português). A prática basicamente envolve alterar a aparência de um site da internet por meio de injeções em servidores.
Não está claro qual brecha foi aproveitada para atingir tantos sites com domínios oficiais — e, provavelmente, mais de uma falha foi explorada para afetar tantas páginas. Segundo Renato Borbolla, especialista em cibersegurança ouvido pelo TecMundo, os métodos são vários.
“Tanto pode ser por vulnerabilidade [nos servidores] ou ele [cibercriminoso] pode ter pego alguma credencial vazada de algum servidor web reservado à manutenção, criação de páginas ou administração. Com isso, é montada outra estrutura falsa, seja de pornografia, apostas ou pishing, só que vinculado ao site ‘gov.br'”, disse Borbolla.
O objetivo, porém, é claro: abusar da relevância e autoridade dessas páginas no ranqueamento do Google e aproveitar da confiança do usuário em domínios oficiais para atrair visitantes.
O “defacing” usa um endereço oficial para redirecionar o usuário para uma página maliciosa. (Imagem: Igor Almenara/TecMundo)
Fonte: Carlos Palmeira/TecMundo
“Eles se aproveitam disso: usar o site governamental que é exibido logo no começo de alguma pesquisa no Google e usam estratégias de SEO e Google Analytics para criar metatags e aparecerem como respostas para buscas”, explicou o especialista.
Para fazer essa desfiguração do site, o invasor nem mesmo precisa das credenciais do administrador. Ele precisa apenas encontrar e abusar de brechas contidas nos servidores e injetar o próprio endereço, assim aproveitando da relevância dos endereços URL.
Segundo o site Terra, a maioria dos sites afetados são de prefeituras. Ouvida pelo portal, a coordenadora de tecnologias e governos do Centro de Estudos de Administração Pública e Governo da Fundação Getúlio Vargas, Maria Alexandra da Cunha, menciona que essas páginas costumam não ter boas proteções contra esse tipo de vulnerabilidade por isso acabam sendo presas fáceis.
Invasões aos montes
Somente uma investigação profunda sobre as invasões consegue traçar o caminho até o autor da injeção criminosa. Por enquanto, porém, essa questão não foi apurada por autoridades.
Contudo, a abundância desse tipo de invasão mostra que o usuário precisa ter atenção nos links que encontra na internet, até mesmo quando se trata de um domínio do governo. É importante checar, por diferentes caminhos, se a página em questão é oficial.
Clicar nos links geralmente não oferece perigo, mas é importante se atentar ao fornecimento de informações pessoais. (Imagem: Igor Almenara/TecMundo)Fonte: Igor Almenara/TecMundo
“A segurança hoje em dia é uma utopia, mas tentamos dificultar ao máximo as tentativas de invasão do atacante”, alegou Borbolla. “O grande problema é que ‘segurança’ é visto como gasto, não como investimento”, defendeu.
Derrubar uma página falsa também não é uma tarefa tão simples, apontou Borbolla. Uma vez que a página apresenta domínio governamental, é necessária uma investigação aprofundada para entender a legitimidade da invasão, sua origem e a devida sanitização do servidor.
Quais os riscos de acessar uma página falsa?
O simples clique em uma dessas páginas não traz nenhum perigo, na maioria dos casos. Uma vez que essas páginas de divulgação de sites de apostas ou esquemas de pirâmide têm objetivo puramente publicitário, eles não devem representar ameaças para um computador com sistema operacional devidamente atualizado. Isso não significa, porém, que você deva ficar desatento.
“O risco para o usuário é grande, tanto para a perda de dados, quanto financeiro, como na entrega de informações do cartão de crédito ou transferência Pix”, pontuou o especialista em cibersegurança.
Repassar qualquer informação pessoal para estes sites pode indicar o risco de grandes perdas financeiras. (Imagem: Kayoko Hayashi/Getty Images)
De toda forma, é essencial ficar atento às páginas acessadas por aí e evitar clicar em links de download. Páginas irregulares como essa podem aproveitar desse caminho para, de fato, invadir o computador da vítima.
Outro lado
O TecMundo entrou em contato com as assessorias da prefeitura de Governador Edison Lobão, Corpo de Bombeiros do Acre e UFRJ. Até o fechamento desta matéria, nenhuma entidade havia retornado com respostas sobre o caso.
A reportagem também entrou em contato com o Google, que por nota se pronunciou sobre a história. A big tech comentou que possui “sistemas avançados de combate a spam” que “permitem manter a Busca 99% livre de spams”.
“Estamos melhorando de forma contínua esses sistemas para combater o crescente volume de conteúdo com esse tipo de ameaça, incluindo spam hackeado que pode aparecer quando há vulnerabilidades na segurança de um site. Também trabalhamos para notificar os sites quando nossos sistemas detectam que eles podem ter sido invadidos e fornecemos dicas para ajudar os proprietários a garantir e melhorar a segurança de suas páginas”, diz o restante da nota da empresa.
*Matéria atualizada em 22/05/2024, às 12h24, com a nota do Google.
Fonte: TecMundo