Uma série de cassinos online rivais da Blaze encontrou uma nova forma de arrancar dinheiro de brasileiros, atraindo-os às suas plataformas através de sites do governo que utilizam o domínio “.gov”.
Uma busca rápida no Google por palavras-chave como “Blaze” — um dos cassinos mais acessados no Brasil, cercado de polêmicas — e “aposta online”, retornam nos resultados links para sites de prefeituras e outras organizações ligadas ao governo que foram “sequestrados” por golpistas.
Os sites autênticos das organizações ainda estão operando normalmente, porém alguns links dentro desses portais levam os usuários a outro destino quando são clicados.
No exemplo abaixo, foi pesquisado no Google o termo “aposta online”, usando como filtro as publicações feitas nas últimas 24 horas.
Nas primeiras páginas dos resultados de busca, aparecem sites que possuem o domínio “.gov”, como o da prefeitura de Buriti dos Lopes/PI; das Câmaras Municipais de Porto Real/RJ, Guaçui/ES, Rio Bananal/ES e Santa Luzia/MG; e do EMATER de Rondônia.
Também aparecem sites que usam o domínio “.org”, como o da Confederação Brasileira de Atletismo (cbat.org.br) e da Associação de Direito de Família e das Sucessões (adfas.org.br).
Quando o usuário clica nesses sites, ele é direcionado a cassinos online fraudulentos. Os domínios citados acima levam os usuários aos sites SSSBet e Bet55. Esse último chega ao ponto de exibir propagandas falsas que simulam celebridades, como Anitta e Lionel Messi, promovendo a plataforma desconhecida.
Apuração do Portal do Bitcoin identificou que sites do governo têm sido “sequestrados” desde maio e também levam usuários a outras casas de apostas, como Bet.cc, 99.Bet e AFun.
A origem do tráfego
A maioria dos acessos desses cassinos online vem de usuários direcionados a partir de sites com domínio “.gov”. Uma análise dos dados de tráfego feita através do SimilarWeb do cassino online bet55, por exemplo, mostra que o esquema é capaz de gerar bastante tráfego.
No total, 77% dos acessos ao site que chegam via links de referência são de sites ligados ao estado de Minas Gerais, sendo 63% vindos da prefeitura de Guaxupe e 13% da Câmara Municipal dessa mesma cidade.
AFun é outra casa de apostas que também “sequestra” sites do governo. O site atingiu 1,7 milhão de visitantes em maio. Do total, 170 mil vieram dos links ligados aos sites do governo.
Na liderança está o estado do Espírito Santo (ES), dos quais 28,1% cliques vieram do mesmo destino: prefeitura de Anchieta. Outros 13% vem de sites do estado da Bahia — sendo 10,5% das prefeituras de Guanambi e Bom Jesus da Lapa. Prefeituras de Minas Gerais e Pernambuco também aparecem na lista:
Dos sites de envolvidos nesse esquema, a AFun é a maior já que é o 11º cassino online mais acessado do país. A plataforma inclusive tem como garoto-propaganda o jogador da seleção brasileira Raphinha, que atualmente joga no Barcelona.
No passado, a AFun chegou a fechar uma parceria com a Braiscompany — pirâmide financeira da Paraíba derrubada pela Polícia Federal — para patrocinar o torneio de futebol “Amigos do Ronaldinho Gaúcho x Estrelas”. Fotos do jogo que aconteceu em outubro de 2022 mostram figuras como Ronaldinho e o agora foragido dono da Braiscompany, Antônio Neto Ais, com camisas com o logo da AFun ao lado da pirâmide financeira.
A reportagem tentou contato com as prefeituras citadas acima e as que responderam, disseram não ter conhecimento do problema e que vão investigar. A AFun também foi procurada para explicar por que usa sites do governo para captar usuários, mas não enviou uma resposta até a publicação.
Os problemas com sites do governo
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR), publicou em 7 de junho um alerta de segurança que pode ser o que abriu a brecha para que invasores usassem sites do governo para redirecionar usuários a sites de apostas.
Trata-se de uma vulnerabilidade crítica do tipo SQL Injection, identificada como CVE-2023-25157, que afeta as versões anteriores dos servidores GeoServer, um software livre de soluções de webmapping, usado por sites governamentais do Brasil.
O site do governo norte-americano, National Vulnerability Database (NVD), que cataloga vulnerabilidades de cibersegurança, classifica essa vulnerabilidade como crítica, dando uma nota 9.8 numa escala de gravidade que vai até 10.
“A exploração bem-sucedida da vulnerabilidade permite que um invasor remoto injete códigos e execute comandos maliciosos no servidor comprometido, potencialmente resultando em acesso não autorizado, exfiltração de informações e comprometimento do sistema operacional”, diz o alerta do governo brasileiro.
O comunicado então pede que instituições da administração pública identifiquem e corrijam a vulnerabilidade citada, atualizando os servidores GeoServer para versões mais recentes em que o erro já foi corrigido.
O pesquisador de segurança conhecido pelo pseudônimo Brute Bee, havia identificado as vulnerabilidades no site do governo mais cedo naquele dia 7 de junho, como escreveu no Twitter o editor de cibersegurança do TecMundo, Felipe Payão.
Na ocasião, foram identificados cerca de 11 mil sites que usavam o GeoServer no Brasil e que plataformas de entidades como SIGA, do Ministério do Meio Ambiente, a Companhia de Tecnologia da Informação e Comunicação do Paraná (CELEPAR), bem como Serpro e FUNAI, haviam sido afetados.
Na ocasião, no entanto, não foi identificado que os sites em questão foram invadidos para direcionar os usuários a plataformas fraudulentas de apostas.
“Muitos sites de governo estão vulneráveis a SQLinjection, possibilitando a criminosos realizar mudanças nos sites, mudanças no layout, enviar email com contas governamentais e hospedar outros conteúdos também”, explicou ao Portal do Bitcoin o hacker ético BruteBee.
“Nós já reportamos alguns domínios, porém somente a polícia internacional consegue arrumar “força” para que o governo brasileiro consiga então uma força-tarefa para resolver o problema. Fizemos contato com algumas pessoas dos órgãos afetados que também estão investigando internamente”, contextualizou o especialista.
Ele apontou que existe uma outra vulnerabilidade, identificada como CVE-2023-29489, que também pode estar sendo explorada para invadir sites do governo brasileiro. Desta vez, o problema foi encontrado no cPanel, um software de painel de controle de hospedagem na web, usado em aproximadamente 1,4 milhão de sites.
“O impacto dessa vulnerabilidade é que um invasor é capaz de executar JavaScript arbitrário e fazer pré-autenticação em quase todas as portas de um servidor web usando cPanel dentro de sua configuração padrão. […] Um invasor pode aproveitar essa vulnerabilidade para sequestrar a sessão do cPanel de um usuário legítimo”, explica a análise do site Assetnote.
Vulnerabilidades disparam em maio
A reportagem tentou o contato com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR), bem como com a Secretaria de Segurança da Informação e Cibernética, porém não obteve uma resposta oficial até a publicação.
Um agente público familiarizado com o assunto mas que pediu para não ter o nome divulgado, explicou que quando os órgãos de cibersegurança do governo recebem o reporte de um possível incidente em um site, os dados da notificação são de acesso restrito ao público em um primeiro momento, por questão de segurança, até que a vulnerabilidade seja investigada e resolvida.
Estatísticas do site CTIR Gov mostram que apenas em 2023, o órgão recebeu 3,3 mil notificações de incidentes cibernéticos de governo, sendo 2,3 mil vulnerabilidades — quando o sistema corre risco de ser atacado — e 1 mil incidentes — quando o ataque já aconteceu.
Só em maio deste ano foram 830 vulnerabilidades denunciadas ao governo, um crescimento de 442% em relação às notificações de fevereiro (153). O tipo de incidente mais comum no ano foi o de vulnerabilidade de criptografia, seguido de abuso de sítio web.
Procurado, o governo brasileiro enviou a seguinte resposta:
“Sobre o tema, o GSI informa que a Secretaria de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional da Presidência da República (SSIC/GSI/PR), por intermédio do CTIR Gov, tem por objetivo coordenar e integrar as ações destinadas à gestão de incidentes cibernéticos em órgãos ou entidades da Administração Pública Federal (APF) e trabalha de forma colaborativa com outros poderes, estados e municípios, particularmente quanto às ações de prevenção. Do exposto, quando identificados incidentes, o responsável pelo ativo é notificado para que proceda o devido tratamento e resposta”.
- Quer fazer uma denúncia? Envie um e-mail para denuncia@prod.portaldobitcoin.com