Imagem da matéria: Cassinos rivais da Blaze invadem sites do governo para manipular o Google

Uma série de cassinos online rivais da Blaze encontrou uma nova forma de arrancar dinheiro de brasileiros, atraindo-os às suas plataformas através de sites do governo que utilizam o domínio “.gov”.

Uma busca rápida no Google por palavras-chave como  “Blaze” — um dos cassinos mais acessados no Brasil, cercado de polêmicas — e “aposta online”, retornam nos resultados links para sites de prefeituras e outras organizações ligadas ao governo que foram “sequestrados” por golpistas.

Publicidade

Os sites autênticos das organizações ainda estão operando normalmente, porém alguns links dentro desses portais levam os usuários a outro destino quando são clicados.

No exemplo abaixo, foi pesquisado no Google o termo “aposta online”, usando como filtro as publicações feitas nas últimas 24 horas.

Nas primeiras páginas dos resultados de busca, aparecem sites que possuem o domínio “.gov”, como o da prefeitura de Buriti dos Lopes/PI; das Câmaras Municipais de Porto Real/RJ, Guaçui/ES, Rio Bananal/ES e Santa Luzia/MG; e do EMATER de Rondônia. 

Também aparecem sites que usam o domínio “.org”, como o da Confederação Brasileira de Atletismo (cbat.org.br) e da Associação de Direito de Família e das Sucessões (adfas.org.br). 

Publicidade

Quando o usuário clica nesses sites, ele é direcionado a cassinos online fraudulentos. Os domínios citados acima levam os usuários aos sites SSSBet e Bet55. Esse último chega ao ponto de exibir propagandas falsas que simulam celebridades, como Anitta e Lionel Messi, promovendo a plataforma desconhecida.

Apuração do Portal do Bitcoin identificou que sites do governo têm sido “sequestrados” desde maio e também levam usuários a outras casas de apostas, como Bet.cc, 99.Bet e AFun.

Sites do domínio ".gov' foram manipulados para direcionar leitor a cassinos online (Fonte: Google)
Sites do domínio “.gov’ foram manipulados para direcionar leitor a cassinos online (Fonte: Google)

A origem do tráfego

A maioria dos acessos desses cassinos online vem de usuários direcionados a partir de sites com domínio “.gov”. Uma análise dos dados de tráfego feita através do SimilarWeb do cassino online bet55, por exemplo, mostra que o esquema é capaz de gerar bastante tráfego.

No total, 77% dos acessos ao site que chegam via links de referência são de sites ligados ao estado de Minas Gerais, sendo 63% vindos da prefeitura de Guaxupe e 13% da Câmara Municipal dessa mesma cidade.

Publicidade
77% dos acessos ao bet55.com parte de sites do governo brasileiro (Fonte: SimilarWeb)
77% dos acessos ao bet55.com parte de sites do governo brasileiro (Fonte: SimilarWeb)

AFun é outra casa de apostas que também “sequestra” sites do governo. O site atingiu 1,7 milhão de visitantes em maio. Do total, 170 mil vieram dos links ligados aos sites do governo.

Na liderança está o estado do Espírito Santo (ES), dos quais 28,1% cliques vieram do mesmo destino: prefeitura de Anchieta. Outros 13% vem de sites do estado da Bahia — sendo 10,5% das prefeituras de Guanambi e Bom Jesus da Lapa. Prefeituras de Minas Gerais e Pernambuco também aparecem na lista:

Sites do estado de Espirito Santo, Bahia, Minas Gerais e Pernambuco direcionam para o AFun (Fonte: SimilarWeb)
Sites do estado de Espirito Santo, Bahia, Minas Gerais e Pernambuco direcionam para a AFun (Fonte: SimilarWeb)

Dos sites de envolvidos nesse esquema, a AFun é a maior já que é o 11º cassino online mais acessado do país. A plataforma inclusive tem como garoto-propaganda o jogador da seleção brasileira Raphinha, que atualmente joga no Barcelona.  

No passado, a AFun chegou a fechar uma parceria com a Braiscompany — pirâmide financeira da Paraíba derrubada pela Polícia Federal — para patrocinar o torneio de futebol “Amigos do Ronaldinho Gaúcho x Estrelas”. Fotos do jogo que aconteceu em outubro de 2022 mostram figuras como Ronaldinho e o agora foragido dono da Braiscompany, Antônio Neto Ais, com camisas com o logo da AFun ao lado da pirâmide financeira.

Ronaldinho Gaúcho e Antônio Neto Ais antes de uma partida de futebol (Foto: Instagram/@antonionetoais)
Ronaldinho Gaúcho e Antônio Neto Ais antes de uma partida de futebol (Foto: Instagram/@antonionetoais)

A reportagem tentou contato com as prefeituras citadas acima e as que responderam, disseram não ter conhecimento do problema e que vão investigar. A AFun também foi procurada para explicar por que usa sites do governo para captar usuários, mas não enviou uma resposta até a publicação.

Publicidade

Os problemas com sites do governo

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR), publicou em 7 de junho um alerta de segurança que pode ser o que abriu a brecha para que invasores usassem sites do governo para redirecionar usuários a sites de apostas. 

Trata-se de uma vulnerabilidade crítica do tipo SQL Injection, identificada como CVE-2023-25157, que afeta as versões anteriores dos servidores GeoServer, um software livre de soluções de webmapping, usado por sites governamentais do Brasil.

O site do governo norte-americano, National Vulnerability Database (NVD), que cataloga vulnerabilidades de cibersegurança, classifica essa vulnerabilidade como crítica, dando uma nota 9.8 numa escala de gravidade que vai até 10.

“A exploração bem-sucedida da vulnerabilidade permite que um invasor remoto injete códigos e execute comandos maliciosos no servidor comprometido, potencialmente resultando em acesso não autorizado, exfiltração de informações e comprometimento do sistema operacional”, diz o alerta do governo brasileiro.

O comunicado então pede que instituições da administração pública identifiquem e corrijam a vulnerabilidade citada, atualizando os servidores GeoServer para versões mais recentes em que o erro já foi corrigido.

O pesquisador de segurança conhecido pelo pseudônimo Brute Bee, havia identificado as vulnerabilidades no site do governo mais cedo naquele dia 7 de junho, como escreveu no Twitter o editor de cibersegurança do TecMundo, Felipe Payão.

Publicidade

Na ocasião, foram identificados cerca de 11 mil sites que usavam o GeoServer no Brasil e que plataformas de entidades como SIGA, do Ministério do Meio Ambiente, a Companhia de Tecnologia da Informação e Comunicação do Paraná (CELEPAR), bem como Serpro e FUNAI, haviam sido afetados.

Na ocasião, no entanto, não foi identificado que os sites em questão foram invadidos para direcionar os usuários a plataformas fraudulentas de apostas.

“Muitos sites de governo estão vulneráveis a SQLinjection, possibilitando a criminosos realizar mudanças nos sites, mudanças no layout, enviar email com contas governamentais e hospedar outros conteúdos também”, explicou ao Portal do Bitcoin o hacker ético BruteBee.

“Nós já reportamos alguns domínios, porém somente a polícia internacional consegue arrumar “força” para que o governo brasileiro consiga então uma força-tarefa para resolver o problema. Fizemos contato com algumas pessoas dos órgãos afetados que também estão investigando internamente”, contextualizou o especialista.

Ele apontou que existe uma outra vulnerabilidade, identificada como CVE-2023-29489, que também pode estar sendo explorada para invadir sites do governo brasileiro. Desta vez, o problema foi encontrado no cPanel, um software de painel de controle de hospedagem na web, usado em aproximadamente 1,4 milhão de sites.

“O impacto dessa vulnerabilidade é que um invasor é capaz de executar JavaScript arbitrário e fazer pré-autenticação em quase todas as portas de um servidor web usando cPanel dentro de sua configuração padrão. […] Um invasor pode aproveitar essa vulnerabilidade para sequestrar a sessão do cPanel de um usuário legítimo”, explica a análise do site Assetnote.

Vulnerabilidades disparam em maio

A reportagem tentou o contato com o  Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR), bem como com a Secretaria de Segurança da Informação e Cibernética, porém não obteve uma resposta oficial até a publicação.

Um agente público familiarizado com o assunto mas que pediu para não ter o nome divulgado, explicou que quando os órgãos de cibersegurança do governo recebem o reporte de um possível incidente em um site, os dados da notificação são de acesso restrito ao público em um primeiro momento, por questão de segurança, até que a vulnerabilidade seja investigada e resolvida.

Estatísticas do site CTIR Gov mostram que apenas em 2023, o órgão recebeu 3,3 mil notificações de incidentes cibernéticos de governo, sendo 2,3 mil vulnerabilidades — quando o sistema corre risco de ser atacado —  e 1 mil incidentes — quando o ataque já aconteceu.

Só em maio deste ano foram 830 vulnerabilidades denunciadas ao governo, um crescimento de 442% em relação às notificações de fevereiro (153). O tipo de incidente mais comum no ano foi o de vulnerabilidade de criptografia, seguido de abuso de sítio web.

Procurado, o governo brasileiro enviou a seguinte resposta:

“Sobre o tema, o GSI informa que a Secretaria de Segurança da Informação e Cibernética  do Gabinete de Segurança Institucional da Presidência da República (SSIC/GSI/PR), por intermédio do CTIR Gov, tem por objetivo coordenar e integrar as ações destinadas à gestão de incidentes cibernéticos em órgãos ou entidades da Administração Pública Federal (APF) e trabalha de forma colaborativa com outros poderes, estados e municípios, particularmente quanto às ações de prevenção. Do exposto, quando identificados incidentes, o responsável pelo ativo é notificado para que proceda o devido tratamento e resposta”.

VOCÊ PODE GOSTAR
Imagem da matéria: Deputado apresenta projeto de lei para criar Reserva Nacional de Bitcoin no Brasil

Deputado apresenta projeto de lei para criar Reserva Nacional de Bitcoin no Brasil

Fundo se chamaria Reserva Estratégica Soberana de Bitcoins (RESBit) e teria como objetivo principal diversificar o Tesouro Nacional
Ilustração mostra moeda à frente da lua

Bitcoin supera R$ 600 mil no Brasil e comunidade comemora: “É só o começo”

Especialistas explicam por que 2025 pode ser o melhor ano de todos para o Bitcoin
celular com logo do itau ao lado de criptomoedas e bitcoin

Itaú libera compra de Bitcoin no app, mas sem saques para carteira externa

O “wallet out”, que permite o envio de criptomoedas do banco para uma carteira externa, ainda está em fase de avaliação
mulher desesperada sentada em mesa de escritório

Genro é acusado de roubar R$ 12 milhões da sogra para investir em Bitcoin

A mulher de 63 anos assinou contratos sem ler e perdeu toda a herança para o genro