Mundo Com anúncios falsos no Google, uma quadrilha de hackers desviou 160 milhões de reais em bitcoins
Por Redação O Sul | 21 de fevereiro de 2018
A Talos, unidade de pesquisa de segurança da companhia norte-americana Cisco Systems, divulgou detalhes técnicos sobre a atividade de uma quadrilha de hackers que teria desviado um total de US$ 50 milhões (aproximadamente R$ 160 milhões) em moeda virtual Bitcoin desde 2015. Batizado de “Coinhoarder” (“acumulador de moedas”), o grupo chegava até as vítimas por meio de anúncios maliciosos veiculados no Google Adwords, a plataforma de publicidade do Google.
Para potencializar os ganhos, o Coinhoarder usava os recursos de direcionamento da plataforma de anúncios do Google, mirando principalmente em internautas de perfil e localidade predeterminados. De acordo com o Talos, os principais alvos eram internautas africanos e em outros países em que o acesso a serviços bancários é difícil ou onde as moedas oficiais são instáveis, já que essas pessoas podem estar mais interessadas no Bitcoin.
As páginas divulgadas nos anúncios eram clones do site Blockchain, onde usuários podem criar e gerenciar uma carteira de Bitcoin. Em um caso apresentado pelo Talos, o grupo criou uma página clonada do site legítimo Blockchain.info no endereço “blockcharin.info”. Outros nomes usados foram “blokchein.info” e “block-clain.info”. Os hackers ainda tiraram proveito de um recurso que permite usar caracteres especiais nos endereços para usar um nome ainda mais parecido: “blockchaín.info” (“i” com acento agudo).
Além do visual e do nome parecido no site, as páginas falsas também usavam certificação de segurança. Ou seja, elas eram exibidas com “HTTPS” e com o “cadeado” pelo navegador. Como esses recursos de segurança só indicam que uma página é legítima quando o endereço é exatamente idêntico ao original, nada impede que um site de nome levemente diferente exiba o “cadeado”, mesmo que a diferença seja apenas o acento agudo em uma letra.
Com essa impressão de segurança, as vítimas digitavam suas senhas na página clonada, entregando seus fundos aos criminosos. De acordo com o Talos, as páginas maliciosas apareciam em primeiro lugar na página de resultados de busca – como é típico de anúncios – para pesquisas como “carteira de bitcoin” e “Blockchain”. Uma das páginas monitoradas pelo Talos chegou a receber pelo menos 200 mil visitas em uma só hora.
Desde que esse ataque começou, outras gangues também adotaram o mesmo método de fraude, criando páginas clonadas e envenenando resultados de busca para outras moedas e serviços.
Abrigo na Ucrânia
A equipe de segurança da Cisco colaborou com a polícia da Ucrânia para derrubar o servidor que abrigava as páginas clonadas. Os hackers contrataram um serviço de “bulletproof hosting” – tipo de hospedagem que ignora denúncias de abuso de rede e mantém páginas criminosas no ar.
As informações obtidas pela polícia ucraniana levaram os especialistas da Cisco até um dos endereços de Bitcoin usados pela gangue, permitindo estimar o lucro da operação criminosa. Só entre setembro e dezembro de 2017, os criminosos obtiveram US$ 10 milhões (aproximadamente R$ 30 milhões). Embora o servidor usado pelos bandidos tenha sido retirado do ar, não foram feitas prisões.
Sobre o incidente, o Google diz que não comenta casos específicos, mas garante manter “políticas abrangentes para proteger os usuários de conteúdos nocivos, enganosos e fraudulentos, que aplica rigorosamente”. A companhia tem um canal para que qualquer internauta denuncie anúncios maliciosos: “Quando encontramos anúncios que violam essas políticas, imediatamente deixamos de mostrá-los. Somente em 2016, removemos 1,7 bilhão de anúncios por violações de políticas em nossa rede de anúncios”.
