Sites oficiais de prefeituras, estados e até de órgãos do governo federal estão sendo tomados por links maliciosos que direcionam o usuário a plataformas com jogos de apostas on-line, como o chamado “jogo do tigrinho”. O ataque cibernético transformou domínios oficiais do Estado brasileiros em divulgadores dos caça-níqueis on-line, modelo proibido no Brasil.
A DW encontrou ao menos 800 links únicos infectados em sites de 50 municípios distribuídos em 18 estados brasileiros, além de 10 sites de órgãos vinculados diretamente às unidades da federação e três pertencentes ao Executivo federal. Onze universidades federais e o Tribunal de Justiça de Minas Gerais também tiveram seus endereços digitais expostos.
A pesquisa considerou resultados para palavras como “jogo do tigrinho”, “fortune tiger” e também outros games de aposta que funcionam no modelo de “slot” ou caça-níquel on-line, como o Aviator, o JetX e o Mines.
No caso do governo federal, o Executivo teve seus domínios atacados, ao mesmo tempo em que enfrenta o desafio de auditar a atuação destas plataformas em todo o Brasil. Alguns links vinculados aos sites da Agência Nacional de Vigilância Sanitária (Anvisa), da Agência Nacional de Transportes Terrestres (ANTT) e até do Ministério da Ciência, Tecnologia e Inovação (MCTI) se tornaram vitrines para as apostas on-line.
No estado de São Paulo, onde a polícia civil registrou mais de 500 boletins de ocorrência contra o Fortune Tiger, centenas de links dos sites das secretarias de Educação e Agricultura foram infectados. É o mesmo problema enfrentado por domínios oficiais do Amazonas. Entre os municípios, o endereço virtual de capitais como Florianópolis (SC), Recife (PE) e Cuiabá (MT) também acabam por ajudar a divulgar o caça-níquel on-line.
Publicidade
O esquema funciona por meio da indexação dos sites oficiais ao mecanismo de busca, em alguns casos, sem ser necessário invadir completamente o domínio do governo.
Na prática, o usuário que procura termos relacionados ao jogo em buscadores como o Google, pode acabar encontrando diversos links de domínios oficiais, que simulam um endosso do governo à suposta confiabilidade da plataforma de apostas e enganam o usuário.
Na página de busca do Google, um link infectado do MCTI, por exemplo, afirma que o jogo do tigrinho “é confiável”. Outros domínios de prefeituras falam que o Fortune Tiger “tem boas condições de apostas”.
Quando o usuário clica no link, porém, ele é levado diretamente para a página principal da plataforma de apostas, onde encontra janelas com promessas de bônus para novos jogadores.
Como os sites públicos são muito pesquisados, eles performam bem nas buscas e acabam por facilitar o acesso. Segundo Ismael Deus Marques, pesquisador de Inteligência de Ameaças Cibernéticas na Axur, isso se torna uma ferramenta de divulgação em massa dos jogos de aposta on-line, resultando em uma nova forma de publicidade on-line.
“Os sites governamentais são os mais compensadores, porque (o hacker) precisa de uma grande quantidade de domínios que ao mesmo tempo sejam vulneráveis e sejam muito procurados nos motores de busca”, afirma.
Os ataques a sites oficiais acontecem em um contexto mais amplo de atuação ilegal destes jogos no mercado brasileiro. O modelo de cassino on-line não segue a legislação que regulamenta as apostas no ambiente virtual porque o jogador não é orientado quanto às chances reais que tem de ganhar ou perder dinheiro.
O país acumula casos de influenciadores presos por divulgar estes games, investigados por supostos crimes de pirâmide financeira, propaganda enganosa, estelionato ou mesmo de sonegação fiscal, além de problemas relacionados ao vício em apostas.
Técnicas
Segundo Ismael Deus Marques, este redirecionamento de links é resultado de um conjunto de técnicas de ataque hackers, conhecidas como “BlackHat SEO”, que podem ser construídas de diversas formas.
“Essas formas de modelagem de ameaças nos permitem identificar a pluralidade de caminhos que um hacker pode seguir, o que torna as técnicas usadas nesses ataques cibernéticos bastante variadas”, diz.
O modelo Mitre Att&ck, usado como padrão para organizar, analisar e decompor qualquer ataque cibernético, elenca dezenas de técnicas usadas para invasões como estas. Elas envolvem desde não ter interação direta com o site oficial, até a injeção de um código malicioso no sistema.
No Brasil, existe um mercado paralelo de venda de credenciais comprometidas, explica Marques, ou mesmo a tentativa de acesso por força bruta em domínios vulneráveis, com diversos testes de senha até que seja possível acessar o site. Também há técnicas conhecidas em que o site é invadido por meio da injeção de códigos maliciosos, o que permite mudar o seu conteúdo.
Em outros casos, os criminosos interferem na forma como os sites indexam o conteúdo para que seja encontrado nos buscadores, como o Google. Nessa situação, o mecanismo encontra determinado link malicioso, mesmo que o texto da página não esteja relacionado às casas de apostas.
Marques ressalta que o problema ganha maior dimensão diante da baixa maturidade cibernética das instituições públicas para monitorar os ativos digitais. No Brasil, a responsabilidade pela gestão da segurança dos domínios recai nos entes públicos, seja ele federal, nacional ou municipal. Independentemente do método, os criminosos normalmente se valem de sites vulneráveis ou desatualizados para realizar o ataque.
“Esse ecossistema produz diariamente milhares de ameaças cibernéticas que atuam à margem da lei, exigindo métodos avançados de detecção e retirada do ar. Se no crime convencional já existia um abismo entre as capacidades das Forças de Segurança e o crime, os crimes cibernéticos multiplicam o tamanho desde abismo.”
Governo emitiu alerta
Em nota, o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) diz que a Secretaria de Governo Digital (SGD) alertou os órgãos infectados e que o Centro Integrado de Segurança Cibernética do Governo Digital (Cisc Gov.br) apoia as instituições públicas na solução das vulnerabilidades.
“Cumpre destacar que o Cisc Gov.br realiza periodicamente publicação de alertas e recomendações sobre privacidade e segurança da informação para os serviços que compõem a Plataforma GOV.BR e também para outros serviços que estejam sob a responsabilidade da SGD”, afirmou. Em 2023, o governo publicou alerta público relacionado ao aumento no abuso de sites governamentais.
Procurado pela DW, o Google informou que consegue manter a busca “99%” livre de spams. “Estamos melhorando de forma contínua esses sistemas para combater o crescente volume de conteúdo com esse tipo de ameaça, incluindo spam hackeado que pode aparecer quando há vulnerabilidades na segurança de um site”, escreveu em nota. A empresa também notifica os sites quando uma invasão é detectada.
A prefeitura de Cuiabá afirmou que os ataques não afetaram a operacionalidade, segurança ou a integridade dos dados do município, “indicando que são casos de manipulação externa dos resultados de busca ou até mesmo de configurações errôneas de indexação automática por parte de terceiros, um fenômeno infelizmente comum em práticas de SEO mal-intencionadas.”
Já a assessoria de comunicação da prefeitura do Recife argumentou que o incidente de vulnerabilidade envolveu uma máquina antiga, que não hospedava banco de dados ou informações sensíveis. “O servidor afetado foi descontinuado e foram implementadas as correções necessárias para fortalecer a segurança do sistema.” A prefeitura diz aguardar a remoção das indexações indevidas pelos mecanismos de busca.
Procurados, o Tribunal de Justiça de Minas Gerais, o estado do Amazonas e a prefeitura de Florianópolis não responderam até a publicação desta reportagem.
A Secretaria da Educação do Estado de São Paulo disse que não foram encontradas evidências de que sites de apostas foram hospedados dentro do domínio público e que nenhum dado do servidor foi comprometido. A secretaria de Agricultura afirmou que o domínio foi regularizado e os links retirados.
Com informações de Metrópoles
