Repórter News - www.reporternews.com.br
Entenda como são feitos os golpes via Google AdWords
Para entender a forma como os scams (golpes) usando o Google AdWords são executados, é necessário entender também a forma como os anúncios são inseridos no serviço. Os chamados "links patrocinados", usados no AdWords, são exibidos nos resultados do Google quando um internauta faz buscas no mecanismo usando palavras-chave definidas pelos anunciantes.
O anunciante tem a chance de indicar não só as palavras-chave que estarão associadas ao link patrocinado, como outros itens: o texto publicitário; o endereço de visualização, que será exibido para os internautas; e o link de destino, para onde o anúncio irá apontar. E o endereço de visualização não precisa coincidir com o endereço real da página de destino. Assim, é possível indicar um link situado na Ásia, em um anúncio cujo endereço aparente seja brasileiro, por exemplo, www.sexyhot.com.br.
Após criado o anúncio, há dois métodos para pagá-lo: por cartão de crédito e, em alguns países, por transferência bancária. Quando o sistema recebe a confirmação de pagamento, os anúncios são publicados imediatamente e de forma automática. Só depois é que são revisados por funcionários do Google e, se for o caso, recusados e retirados do ar.
Esse lapso de tempo entre a publicação imediata e a revisão é uma das características do serviço que estão sendo aproveitadas pelos golpistas para veicular anúncios fraudulentos. É provável também que, para proteger suas verdadeiras identidades, os golpistas estejam fazendo os pagamentos ao Google com números de cartões de crédito roubados ou transferência de dinheiro de contas bancárias já capturadas em golpes anteriores.
Tentamos contato com o Google durante vários dias para esclarecer o assunto, mas, depois de diversas mensagens, sua assessoria de imprensa no Brasil afirmou que a empresa "não se manifestará sobre essa questão agora". Tivemos, no entanto, acesso a uma mensagem enviada pela equipe do AdWords a um usuário registrado do serviço, na qual um funcionário do Google afirma que a equipe "revisa os anúncios no menor tempo possível".
Mesmo com essa afirmação, os golpistas estão encontrando brechas para publicar links com arquivos maliciosos e deixá-los no ar durante dias. Uma das brechas é que a equipe do AdWords não trabalha em tempo integral. Nos finais de semana, por exemplo, essa folga possibilita que um link malicioso seja publicado na sexta-feira à noite e só seja revisado, no mínimo, na segunda-feira de manhã.
Obtivemos, ainda, evidências de que softwares maléficos já foram veiculados pelo AdWords por cerca de 10 dias seguidos, antes de serem detectados. Uma dessas situações aconteceu com palavras-chave ligadas ao endereço de visualização www.amadoras.com.br, cuja página de destino levava a um trojan de nome "sexogratis.scr", hospedado num servidor chinês, no endereço www.giaa.com.cn/photo/IMAGES/sexxogratis/sexogratis.scr. O link patrocinado malicioso era exibido quando se fazia uma busca por palavras-chave como "amadoras".
No dia 9 de janeiro deste ano, publicamos uma reportagem sobre o golpe. No dia seguinte, recebemos de um leitor um vídeo que ele fez no dia 31 de dezembro, mostrando que, desde esse dia, pelo menos, o mesmo endereço com o trojan, vinculado ao mesmo anúncio, estava no ar. E o que mais chama a atenção é que o anúncio malicioso, em português e de um site com o nome amadoras.com.br, foi exibido quando o usuário fez buscas no Google sobre o vídeo de lançamento do Windows 95, usando palavras em inglês. O vídeo sobre o golpe, bastante didático, pode ser visto no endereço www.infoguerra.com.br/infonews/fotos/golpes/google/videoadwords.wmv.
A simples existência de um link com um arquivo executável sendo veiculado no AdWords já poderia ser considerada como outra brecha de segurança descoberta pelos golpistas, pois as regras do serviço (disponíveis no endereço https://adwords.google.com/select/guidelines.html)são claras: "Você não pode vincular o seu anúncio a um endereço de e-mail ou arquivo (por exemplo, um arquivo de imagem, áudio, vídeo ou documento que exija outro programa ou aplicativo para que possa ser aberto ou executado)".
A esse respeito, o leitor que nos enviou o vídeo do scam e que prefere ser identificado apenas pelo primeiro nome, Willian, opina: "Precaver-se contra isso é muito simples, já que neste caso o endereço apontava diretamente para um arquivo .SCR, e o Google poderia facilmente filtrar endereços terminados em .exe, .bat, .scr, etc."
Aparentemente, o Google AdWords continua sem filtros de conteúdo que impeçam links patrocinados ligados diretamente a arquivos executáveis. Na madrugada desta quarta-feira, dia 8, os golpistas voltaram a atacar e inseriram links que, uma vez clicados, levavam imediatamente a um trojan hospedado em servidores da AOL da Austrália, no endereço http://hometown.aol.com.au/voxcards36/SexoGratis.exe. O arquivo SexoGratis.exe foi identificado pelo site VirusTotal.com como Trojan-Spy.Win32.Banker.ahy, o mesmo que tem sido usado nas últimas fraudes desse gênero.
Assim, já foram identificadas duas formas de atuação dos golpistas. Nas fraudes detectadas no início de janeiro, quando se clicava nos links patrocinados, era exibida imediatamente a tela para download do trojan. Já nos golpes do último final de semana, os links levavam a páginas HTML falsas, que, por sua vez, levavam aos trojans.
Em qualquer caso, o perigo continua, e o fato de os trojans estarem vinculados a anúncios publicados pelo Google só aumenta o risco. "Um link patrocinado passa a confiança que se tem no Google", observa Willian.
O anunciante tem a chance de indicar não só as palavras-chave que estarão associadas ao link patrocinado, como outros itens: o texto publicitário; o endereço de visualização, que será exibido para os internautas; e o link de destino, para onde o anúncio irá apontar. E o endereço de visualização não precisa coincidir com o endereço real da página de destino. Assim, é possível indicar um link situado na Ásia, em um anúncio cujo endereço aparente seja brasileiro, por exemplo, www.sexyhot.com.br.
Após criado o anúncio, há dois métodos para pagá-lo: por cartão de crédito e, em alguns países, por transferência bancária. Quando o sistema recebe a confirmação de pagamento, os anúncios são publicados imediatamente e de forma automática. Só depois é que são revisados por funcionários do Google e, se for o caso, recusados e retirados do ar.
Esse lapso de tempo entre a publicação imediata e a revisão é uma das características do serviço que estão sendo aproveitadas pelos golpistas para veicular anúncios fraudulentos. É provável também que, para proteger suas verdadeiras identidades, os golpistas estejam fazendo os pagamentos ao Google com números de cartões de crédito roubados ou transferência de dinheiro de contas bancárias já capturadas em golpes anteriores.
Tentamos contato com o Google durante vários dias para esclarecer o assunto, mas, depois de diversas mensagens, sua assessoria de imprensa no Brasil afirmou que a empresa "não se manifestará sobre essa questão agora". Tivemos, no entanto, acesso a uma mensagem enviada pela equipe do AdWords a um usuário registrado do serviço, na qual um funcionário do Google afirma que a equipe "revisa os anúncios no menor tempo possível".
Mesmo com essa afirmação, os golpistas estão encontrando brechas para publicar links com arquivos maliciosos e deixá-los no ar durante dias. Uma das brechas é que a equipe do AdWords não trabalha em tempo integral. Nos finais de semana, por exemplo, essa folga possibilita que um link malicioso seja publicado na sexta-feira à noite e só seja revisado, no mínimo, na segunda-feira de manhã.
Obtivemos, ainda, evidências de que softwares maléficos já foram veiculados pelo AdWords por cerca de 10 dias seguidos, antes de serem detectados. Uma dessas situações aconteceu com palavras-chave ligadas ao endereço de visualização www.amadoras.com.br, cuja página de destino levava a um trojan de nome "sexogratis.scr", hospedado num servidor chinês, no endereço www.giaa.com.cn/photo/IMAGES/sexxogratis/sexogratis.scr. O link patrocinado malicioso era exibido quando se fazia uma busca por palavras-chave como "amadoras".
No dia 9 de janeiro deste ano, publicamos uma reportagem sobre o golpe. No dia seguinte, recebemos de um leitor um vídeo que ele fez no dia 31 de dezembro, mostrando que, desde esse dia, pelo menos, o mesmo endereço com o trojan, vinculado ao mesmo anúncio, estava no ar. E o que mais chama a atenção é que o anúncio malicioso, em português e de um site com o nome amadoras.com.br, foi exibido quando o usuário fez buscas no Google sobre o vídeo de lançamento do Windows 95, usando palavras em inglês. O vídeo sobre o golpe, bastante didático, pode ser visto no endereço www.infoguerra.com.br/infonews/fotos/golpes/google/videoadwords.wmv.
A simples existência de um link com um arquivo executável sendo veiculado no AdWords já poderia ser considerada como outra brecha de segurança descoberta pelos golpistas, pois as regras do serviço (disponíveis no endereço https://adwords.google.com/select/guidelines.html)são claras: "Você não pode vincular o seu anúncio a um endereço de e-mail ou arquivo (por exemplo, um arquivo de imagem, áudio, vídeo ou documento que exija outro programa ou aplicativo para que possa ser aberto ou executado)".
A esse respeito, o leitor que nos enviou o vídeo do scam e que prefere ser identificado apenas pelo primeiro nome, Willian, opina: "Precaver-se contra isso é muito simples, já que neste caso o endereço apontava diretamente para um arquivo .SCR, e o Google poderia facilmente filtrar endereços terminados em .exe, .bat, .scr, etc."
Aparentemente, o Google AdWords continua sem filtros de conteúdo que impeçam links patrocinados ligados diretamente a arquivos executáveis. Na madrugada desta quarta-feira, dia 8, os golpistas voltaram a atacar e inseriram links que, uma vez clicados, levavam imediatamente a um trojan hospedado em servidores da AOL da Austrália, no endereço http://hometown.aol.com.au/voxcards36/SexoGratis.exe. O arquivo SexoGratis.exe foi identificado pelo site VirusTotal.com como Trojan-Spy.Win32.Banker.ahy, o mesmo que tem sido usado nas últimas fraudes desse gênero.
Assim, já foram identificadas duas formas de atuação dos golpistas. Nas fraudes detectadas no início de janeiro, quando se clicava nos links patrocinados, era exibida imediatamente a tela para download do trojan. Já nos golpes do último final de semana, os links levavam a páginas HTML falsas, que, por sua vez, levavam aos trojans.
Em qualquer caso, o perigo continua, e o fato de os trojans estarem vinculados a anúncios publicados pelo Google só aumenta o risco. "Um link patrocinado passa a confiança que se tem no Google", observa Willian.
Fonte:
InfoGuerra
URL Fonte: https://www.reporternews.com.br/noticia/319828/visualizar/
Comentários