Imagem da matéria: Cassinos rivais da Blaze invadem sites do governo para manipular o Google

Uma série de cassinos online rivais da Blaze encontrou uma nova forma de arrancar dinheiro de brasileiros, atraindo-os às suas plataformas através de sites do governo que utilizam o domínio “.gov”.

Uma busca rápida no Google por palavras-chave como  “Blaze” — um dos cassinos mais acessados no Brasil, cercado de polêmicas — e “aposta online”, retornam nos resultados links para sites de prefeituras e outras organizações ligadas ao governo que foram “sequestrados” por golpistas.

Publicidade

Os sites autênticos das organizações ainda estão operando normalmente, porém alguns links dentro desses portais levam os usuários a outro destino quando são clicados.

No exemplo abaixo, foi pesquisado no Google o termo “aposta online”, usando como filtro as publicações feitas nas últimas 24 horas.

Nas primeiras páginas dos resultados de busca, aparecem sites que possuem o domínio “.gov”, como o da prefeitura de Buriti dos Lopes/PI; das Câmaras Municipais de Porto Real/RJ, Guaçui/ES, Rio Bananal/ES e Santa Luzia/MG; e do EMATER de Rondônia. 

Também aparecem sites que usam o domínio “.org”, como o da Confederação Brasileira de Atletismo (cbat.org.br) e da Associação de Direito de Família e das Sucessões (adfas.org.br). 

Publicidade

Quando o usuário clica nesses sites, ele é direcionado a cassinos online fraudulentos. Os domínios citados acima levam os usuários aos sites SSSBet e Bet55. Esse último chega ao ponto de exibir propagandas falsas que simulam celebridades, como Anitta e Lionel Messi, promovendo a plataforma desconhecida.

Apuração do Portal do Bitcoin identificou que sites do governo têm sido “sequestrados” desde maio e também levam usuários a outras casas de apostas, como Bet.cc, 99.Bet e AFun.

Sites do domínio ".gov' foram manipulados para direcionar leitor a cassinos online (Fonte: Google)
Sites do domínio “.gov’ foram manipulados para direcionar leitor a cassinos online (Fonte: Google)

A origem do tráfego

A maioria dos acessos desses cassinos online vem de usuários direcionados a partir de sites com domínio “.gov”. Uma análise dos dados de tráfego feita através do SimilarWeb do cassino online bet55, por exemplo, mostra que o esquema é capaz de gerar bastante tráfego.

No total, 77% dos acessos ao site que chegam via links de referência são de sites ligados ao estado de Minas Gerais, sendo 63% vindos da prefeitura de Guaxupe e 13% da Câmara Municipal dessa mesma cidade.

Publicidade
77% dos acessos ao bet55.com parte de sites do governo brasileiro (Fonte: SimilarWeb)
77% dos acessos ao bet55.com parte de sites do governo brasileiro (Fonte: SimilarWeb)

AFun é outra casa de apostas que também “sequestra” sites do governo. O site atingiu 1,7 milhão de visitantes em maio. Do total, 170 mil vieram dos links ligados aos sites do governo.

Na liderança está o estado do Espírito Santo (ES), dos quais 28,1% cliques vieram do mesmo destino: prefeitura de Anchieta. Outros 13% vem de sites do estado da Bahia — sendo 10,5% das prefeituras de Guanambi e Bom Jesus da Lapa. Prefeituras de Minas Gerais e Pernambuco também aparecem na lista:

Sites do estado de Espirito Santo, Bahia, Minas Gerais e Pernambuco direcionam para o AFun (Fonte: SimilarWeb)
Sites do estado de Espirito Santo, Bahia, Minas Gerais e Pernambuco direcionam para a AFun (Fonte: SimilarWeb)

Dos sites de envolvidos nesse esquema, a AFun é a maior já que é o 11º cassino online mais acessado do país. A plataforma inclusive tem como garoto-propaganda o jogador da seleção brasileira Raphinha, que atualmente joga no Barcelona.  

No passado, a AFun chegou a fechar uma parceria com a Braiscompany — pirâmide financeira da Paraíba derrubada pela Polícia Federal — para patrocinar o torneio de futebol “Amigos do Ronaldinho Gaúcho x Estrelas”. Fotos do jogo que aconteceu em outubro de 2022 mostram figuras como Ronaldinho e o agora foragido dono da Braiscompany, Antônio Neto Ais, com camisas com o logo da AFun ao lado da pirâmide financeira.

Ronaldinho Gaúcho e Antônio Neto Ais antes de uma partida de futebol (Foto: Instagram/@antonionetoais)
Ronaldinho Gaúcho e Antônio Neto Ais antes de uma partida de futebol (Foto: Instagram/@antonionetoais)

A reportagem tentou contato com as prefeituras citadas acima e as que responderam, disseram não ter conhecimento do problema e que vão investigar. A AFun também foi procurada para explicar por que usa sites do governo para captar usuários, mas não enviou uma resposta até a publicação.

Publicidade

Os problemas com sites do governo

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR), publicou em 7 de junho um alerta de segurança que pode ser o que abriu a brecha para que invasores usassem sites do governo para redirecionar usuários a sites de apostas. 

Trata-se de uma vulnerabilidade crítica do tipo SQL Injection, identificada como CVE-2023-25157, que afeta as versões anteriores dos servidores GeoServer, um software livre de soluções de webmapping, usado por sites governamentais do Brasil.

O site do governo norte-americano, National Vulnerability Database (NVD), que cataloga vulnerabilidades de cibersegurança, classifica essa vulnerabilidade como crítica, dando uma nota 9.8 numa escala de gravidade que vai até 10.

“A exploração bem-sucedida da vulnerabilidade permite que um invasor remoto injete códigos e execute comandos maliciosos no servidor comprometido, potencialmente resultando em acesso não autorizado, exfiltração de informações e comprometimento do sistema operacional”, diz o alerta do governo brasileiro.

O comunicado então pede que instituições da administração pública identifiquem e corrijam a vulnerabilidade citada, atualizando os servidores GeoServer para versões mais recentes em que o erro já foi corrigido.

O pesquisador de segurança conhecido pelo pseudônimo Brute Bee, havia identificado as vulnerabilidades no site do governo mais cedo naquele dia 7 de junho, como escreveu no Twitter o editor de cibersegurança do TecMundo, Felipe Payão.

Publicidade

Na ocasião, foram identificados cerca de 11 mil sites que usavam o GeoServer no Brasil e que plataformas de entidades como SIGA, do Ministério do Meio Ambiente, a Companhia de Tecnologia da Informação e Comunicação do Paraná (CELEPAR), bem como Serpro e FUNAI, haviam sido afetados.

Na ocasião, no entanto, não foi identificado que os sites em questão foram invadidos para direcionar os usuários a plataformas fraudulentas de apostas.

“Muitos sites de governo estão vulneráveis a SQLinjection, possibilitando a criminosos realizar mudanças nos sites, mudanças no layout, enviar email com contas governamentais e hospedar outros conteúdos também”, explicou ao Portal do Bitcoin o hacker ético BruteBee.

“Nós já reportamos alguns domínios, porém somente a polícia internacional consegue arrumar “força” para que o governo brasileiro consiga então uma força-tarefa para resolver o problema. Fizemos contato com algumas pessoas dos órgãos afetados que também estão investigando internamente”, contextualizou o especialista.

Ele apontou que existe uma outra vulnerabilidade, identificada como CVE-2023-29489, que também pode estar sendo explorada para invadir sites do governo brasileiro. Desta vez, o problema foi encontrado no cPanel, um software de painel de controle de hospedagem na web, usado em aproximadamente 1,4 milhão de sites.

“O impacto dessa vulnerabilidade é que um invasor é capaz de executar JavaScript arbitrário e fazer pré-autenticação em quase todas as portas de um servidor web usando cPanel dentro de sua configuração padrão. […] Um invasor pode aproveitar essa vulnerabilidade para sequestrar a sessão do cPanel de um usuário legítimo”, explica a análise do site Assetnote.

Vulnerabilidades disparam em maio

A reportagem tentou o contato com o  Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR), bem como com a Secretaria de Segurança da Informação e Cibernética, porém não obteve uma resposta oficial até a publicação.

Um agente público familiarizado com o assunto mas que pediu para não ter o nome divulgado, explicou que quando os órgãos de cibersegurança do governo recebem o reporte de um possível incidente em um site, os dados da notificação são de acesso restrito ao público em um primeiro momento, por questão de segurança, até que a vulnerabilidade seja investigada e resolvida.

Estatísticas do site CTIR Gov mostram que apenas em 2023, o órgão recebeu 3,3 mil notificações de incidentes cibernéticos de governo, sendo 2,3 mil vulnerabilidades — quando o sistema corre risco de ser atacado —  e 1 mil incidentes — quando o ataque já aconteceu.

Só em maio deste ano foram 830 vulnerabilidades denunciadas ao governo, um crescimento de 442% em relação às notificações de fevereiro (153). O tipo de incidente mais comum no ano foi o de vulnerabilidade de criptografia, seguido de abuso de sítio web.

Procurado, o governo brasileiro enviou a seguinte resposta:

“Sobre o tema, o GSI informa que a Secretaria de Segurança da Informação e Cibernética  do Gabinete de Segurança Institucional da Presidência da República (SSIC/GSI/PR), por intermédio do CTIR Gov, tem por objetivo coordenar e integrar as ações destinadas à gestão de incidentes cibernéticos em órgãos ou entidades da Administração Pública Federal (APF) e trabalha de forma colaborativa com outros poderes, estados e municípios, particularmente quanto às ações de prevenção. Do exposto, quando identificados incidentes, o responsável pelo ativo é notificado para que proceda o devido tratamento e resposta”.

VOCÊ PODE GOSTAR
simbolo do dolar formado em numeros

Faculdade de Direito da USP recebe evento da CVM sobre democratização dos mercados de capitais

Centro de Regulação e Inovação Aplicada (CRIA) da CVM vai a “Tecnologia e Democratização dos Mercados de Capitais no Brasil” com transmissão ao vivo no Youtube
Nathalia Arcuri falando em evento

Mercado Bitcoin e Nathalia Arcuri firmam parceria de conteúdo via blockchain

Mercado Bitcoin e Nathalia Arcuri firmam parceria via blockchain e promovem educação financeira de criptoeconomia gratuita
busto de homem engravatado simulando gesto de pare

CVM proíbe corretora de criptomoedas e forex de captar clientes no Brasil

O órgão determinou, sob multa diária de R$ 1 mil, a imediata suspensão de qualquer oferta pública de valores mobiliários pela Xpoken
moeda de bitcoin dentro de armadilha selvagem

CVM faz pegadinha e descobre que metade das pessoas cairia em golpe com criptomoedas

Junto com a Anbima, a entidade criou um site de uma empresa fictícia que simulava a oferta de investimentos com lucros altos irreais