Quem buscar no Google uma forma de doar para as vítimas da enchente no Rio Grande do Sul pode encontrar, entre os resultados, um link para uma página que está hospedada no site da Câmara Municipal de Picos, no Piauí. Um leitor atento observará que, apesar de fazer referência à tragédia climática recente, a descrição replica trechos de uma reportagem do g1 de 2021, sobre como doar para famílias afetadas pela pandemia de Covid-19. Ao clicar no link que aparece no Google, porém, o usuário não consegue nem ler o texto — é redirecionado automaticamente para um cassino online.
A estratégia de roubar conteúdos de portais jornalísticos para promover jogos de azar como o Jogo do Tigrinho — cassino online que é alvo de investigações — não se resume a esse caso: Aos Fatos encontrou ao menos 20 sites de órgãos públicos de sete estados que usavam textos extraídos de portais de notícias para direcionar usuários a cassinos online e sites de apostas.
Em dois desses sites, golpistas se aproveitavam de textos sobre a tragédia no Rio Grande do Sul, uma vez que buscas sobre esse assunto estão em alta no Google. Usar nos links falsos termos relacionados aos assuntos do momento é uma forma de atrair mais cliques. A maioria dos links levantados já saiu do ar, mas novas páginas são criadas a cada dia.
ENTENDA COMO É O GOLPE
Hackers invadem sites de prefeituras e câmaras municipais e configuram páginas que, ao serem acessadas pelo robô de indexação de conteúdo do Google, mostram textos plagiados de portais de notícias. Assim, para a plataforma, o conteúdo parece idêntico ao de sites de jornalismo.
Na busca, como mostra o print acima, o Google exibe um trecho do conteúdo que foi incluído pelos hackers, que corresponde ao termo procurado inicialmente.
Depois do clique, em vez de ter acesso às informações que procurou no Google, o usuário é direcionado a um cassino online — o motivo por que criminosos criam esse tipo de mecanismo.
As reportagens só servem para ranquear as páginas em buscadores como Google e Bing. Não aparecem de fato para o usuário que clicar nos links. Assim, quando procura por conteúdos relacionados, a pessoa acaba por se deparar com as páginas falsas nos resultados das pesquisas.
Nesse tipo de estratégia, conhecida como “cloaking”, criminosos criam versões diferentes de uma mesma página: na versão do buscador, consta o texto plagiado de sites de notícias, que a plataforma usa como critério de indexação no buscador; já no navegador do usuário, as páginas redirecionam para cassinos online.
A estratégia de usar links jornalísticos faz parte de um esquema revelado pelo Aos Fatos no início deste mês. A reportagem mostrou como hackers invadem e criam páginas falsas em sites de órgãos públicos para direcionar ao Jogo do Tigrinho.
A escolha dos criminosos por invadir sites registrados em domínios oficiais, como “.gov” ou “.leg”, se dá porque esses endereços costumam ter bom ranqueamento nos buscadores.
Também foi alvo dos criminosos o antigo portal da Câmara Municipal de Serrinha (BA). A página roubou passagens de um texto do Terra intitulado “Chuvas e enchentes no Rio Grande do Sul: onde deve piorar e onde deve melhorar nos próximos dias” para direcionar a um site de jogos de azar. O link já saiu do ar.
Textos publicados pelo Aos Fatos que não estão relacionados à tragédia gaúcha também foram copiados por hackers e inseridos em páginas falsas do antigo portal da Câmara Municipal de Serrinha (BA). A reportagem que mostrava que o ex-presidente Jair Bolsonaro (PL) havia pagado por 18 anúncios com desinformação durante a corrida eleitoral de 2022, por exemplo, foi hospedada em uma página do site do órgão público para angariar cliques para um cassino. O site não está mais no ar.
Outro alvo foi a página do Núcleo de Hip Hop da Prefeitura de São Paulo. Uma página hospedada no site usava trechos de uma reportagem do Globo Esporte sobre os 80 anos do presidente do clube de futebol Athletico Paranaense para garantir boa indexação no Google, mas redirecionava ao Jogo do Tigrinho.
É comum que esses links falsos fiquem pouco tempo no ar, em parte como uma estratégia de sobrevivência do golpe. É possível que os próprios golpistas retirem os links antes que a invasão seja percebida, ou que os administradores dos sites invadidos ajam ao identificá-la.
VULNERABILIDADES
O cloaking é listado como uma prática de spam proibida pelas políticas do Google. De acordo com a empresa, que fornece um guia para corrigir e barrar esse tipo de ataque, “hackers costumam usar essas técnicas para que os proprietários de um site não percebam que ele foi invadido”.
Em nota enviada em resposta à reportagem anterior do Aos Fatos que identificou a prática, o Google afirmou que seus sistemas avançados de combate a spam permitiam “manter a busca 99% livre de spams". Apesar disso, as páginas públicas seguem sendo alvo de criminosos. O Aos Fatos pediu novas explicações ao Google sobre o golpe envolvendo textos noticiosos, mas não houve resposta até a publicação desta reportagem.
Há algumas vulnerabilidades que são usadas pelos hackers para criar as páginas falsas. Estão entre elas:
- Senhas fracas para acesso ao servidor permitem que os criminosos tenham entrada fácil nos portais;
- Plugins desatualizados, muitos com vulnerabilidades conhecidas, também são uma via de rápido acesso aos controles dos sites;
- Fragilidades nos campos de interação do usuário no site permitem que sejam feitos uploads de arquivos maliciosos capazes de executar comandos indesejados, como a alteração de conteúdo do portal.
Parte dos portais identificados pela reportagem também está desatualizada ou foi desativada – o que também pode permitir que as vulnerabilidades continuem sendo exploradas, por conta da falta de supervisão a eventuais invasões. É o caso do endereço da Câmara Municipal de Serrinha, que já não é mais usado oficialmente desde 2017, como mostram arquivamentos disponíveis na WayBack Machine.
Outro exemplo é o site do Núcleo de HipHop da Prefeitura de São Paulo, que não publica conteúdos novos desde meados de 2023.