Sites oficiais de prefeituras, estados e até de órgãos do governo federal estão sendo tomados por links maliciosos que direcionam o usuário a plataformas com jogos de apostas online, como o chamado “jogo do tigrinho”. O ataque cibernético transformou domínios oficiais do Estado brasileiro em divulgadores dos caça-níqueis online, modelo proibido no Brasil.

+ ‘Pix errado’: entenda como funciona o golpe e veja como não ser enganado

A DW encontrou ao menos 800 links únicos infectados em sites de 50 municípios distribuídos em 18 estados brasileiros, além de 10 sites de órgãos vinculados diretamente às unidades da federação e 3 pertencentes ao Executivo federal. Onze universidades federais e o Tribunal de Justiça de Minas Gerais também tiveram seus endereços digitais expostos.

A pesquisa considerou resultados para palavras como “jogo do tigrinho”, “fortune tiger” e também outros games de aposta que funcionam no modelo de “slot” ou caça-níquel online, como o Aviator, o JetX e o Mines.

No caso do governo federal, o Executivo teve seus domínios atacados, ao mesmo tempo em que enfrenta o desafio de auditar a atuação destas plataformas em todo o Brasil. Alguns links vinculados aos sites da Agência Nacional de Vigilância Sanitária (Anvisa), da Agência Nacional de Transportes Terrestres (ANTT) e até do Ministério da Ciência, Tecnologia e Inovação (MCTI) se tornaram vitrines para as apostas online.

No estado de São Paulo, onde a polícia civil registrou mais de 500 boletins de ocorrência contra o Fortune Tiger, centenas de links dos sites das secretarias de Educação e Agricultura foram infectados. É o mesmo problema enfrentado por domínios oficiais do Amazonas. Entre os municípios, o endereço virtual de capitais como Florianópolis (SC), Recife (PE) e Cuiabá (MT) também acabam por ajudar a divulgar o caça-níquel online.

Como funciona

O esquema funciona por meio da indexação dos sites oficiais ao mecanismo de busca, em alguns casos, sem ser necessário invadir completamente o domínio do governo.

Na prática, o usuário que procura termos relacionados ao jogo em buscadores como o Google, pode acabar encontrando diversos links de domínios oficiais, que simulam um endosso do governo à suposta confiabilidade da plataforma de apostas e enganam o usuário.

Na página de busca do Google, um link infectado do MCTI, por exemplo, afirma que o jogo do tigrinho “é confiável”. Outros domínios de prefeituras falam que o Fortune Tiger “tem boas condições de apostas”.

Quando o usuário clica no link, porém, ele é levado diretamente para a página principal da plataforma de apostas, onde encontra janelas com promessas de bônus para novos jogadores.

Como os sites públicos são muito pesquisados, eles performam bem nas buscas e acabam por facilitar o acesso. Segundo Ismael Deus Marques, pesquisador de Inteligência de Ameaças Cibernéticas na Axur, isso se torna uma ferramenta de divulgação em massa dos jogos de aposta online, resultando em uma nova forma de publicidade online.

“Os sites governamentais são os mais compensadores, porque [o hacker] precisa de uma grande quantidade de domínios que ao mesmo tempo sejam vulneráveis e sejam muito procurados nos motores de busca”, afirma.

Jogos online na mira

Os ataques a sites oficiais ocorrem em um contexto mais amplo de atuação ilegal destes jogos no mercado brasileiro. O modelo de cassino online não segue a legislação que regulamenta as apostas no ambiente virtual porque o jogador não é orientado quanto às chances reais que tem de ganhar ou perder dinheiro.

O país acumula casos de influenciadores presos por divulgar estes games, investigados por supostos crimes de pirâmide financeira, propaganda enganosa, estelionato ou mesmo de sonegação fiscal, além de problemas relacionados ao vício em apostas.

Técnicas

Segundo Ismael Deus Marques, este redirecionamento de links é resultado de um conjunto de técnicas de ataque hackers, conhecidas como “BlackHat SEO”, que podem ser construídas de diversas formas.

“Essas formas de modelagem de ameaças nos permitem identificar a pluralidade de caminhos que um hacker pode seguir, o que torna as técnicas usadas nesses ataques cibernéticos bastante variadas”, diz.

O modelo Mitre Att&ck, usado como padrão para organizar, analisar e decompor qualquer ataque cibernético, elenca dezenas de técnicas usadas para invasões como estas. Elas envolvem desde não ter interação direta com o site oficial, até a injeção de um código malicioso no sistema.

No Brasil, existe um mercado paralelo de venda de credenciais comprometidas, explica Marques, ou mesmo a tentativa de acesso por força bruta em domínios vulneráveis, com diversos testes de senha até que seja possível acessar o site. Também há técnicas conhecidas em que o site é invadido por meio da injeção de códigos maliciosos, o que permite mudar o seu conteúdo.

Em outros casos, os criminosos interferem na forma como os sites indexam o conteúdo para que seja encontrado nos buscadores, como o Google. Nessa situação, o mecanismo encontra determinado link malicioso, mesmo que o texto da página não esteja relacionado às casas de apostas.

Marques ressalta que o problema ganha maior dimensão diante da baixa maturidade cibernética das instituições públicas para monitorar os ativos digitais. No Brasil, a responsabilidade pela gestão da segurança dos domínios recai nos entes públicos, seja ele federal, nacional ou municipal. Independentemente do método, os criminosos normalmente se valem de sites vulneráveis ou desatualizados para realizar o ataque.

“Esse ecossistema produz diariamente milhares de ameaças cibernéticas que atuam à margem da lei, exigindo métodos avançados de detecção e retirada do ar. Se no crime convencional já existia um abismo entre as capacidades das Forças de Segurança e o crime, os crimes cibernéticos multiplicam o tamanho desse abismo.”

Governo emitiu alerta

Em nota, o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) diz que a Secretaria de Governo Digital (SGD) alertou os órgãos infectados e que o Centro Integrado de Segurança Cibernética do Governo Digital (Cisc Gov.br) apoia as instituições públicas na solução das vulnerabilidades.

“Cumpre destacar que o Cisc Gov.br realiza periodicamente publicação de alertas e recomendações sobre privacidade e segurança da informação para os serviços que compõem a Plataforma GOV.BR e também para outros serviços que estejam sob a responsabilidade da SGD”, afirmou. Em 2023, o governo publicou alerta público relacionado ao aumento no abuso de sites governamentais.

Outro lado

Procurado pela DW, o Google informou que consegue manter a busca “99%” livre de spams. Estamos melhorando de forma contínua esses sistemas para combater o crescente volume de conteúdo com esse tipo de ameaça, incluindo spam hackeado que pode aparecer quando há vulnerabilidades na segurança de um site”, escreveu em nota. A empresa também notifica os sites quando uma invasão é detectada.

A prefeitura de Cuiabá afirmou que os ataques não afetaram a operacionalidade, segurança ou a integridade dos dados do município, “indicando que são casos de manipulação externa dos resultados de busca ou até mesmo de configurações errôneas de indexação automática por parte de terceiros, um fenômeno infelizmente comum em práticas de SEO mal-intencionadas.”

Já a assessoria de comunicação da prefeitura do Recife argumentou que o incidente de vulnerabilidade envolveu uma máquina antiga, que não hospedava banco de dados ou informações sensíveis. “O servidor afetado foi descontinuado e foram implementadas as correções necessárias para fortalecer a segurança do sistema.” A prefeitura diz aguardar a remoção das indexações indevidas pelos mecanismos de busca.

Procurados, o Tribunal de Justiça de Minas Gerais, o estado do Amazonas e a prefeitura de Florianópolis não responderam até a publicação desta reportagem.

A Secretaria da Educação do Estado de São Paulo disse que não foram encontradas evidências de que sites de apostas foram hospedados dentro do domínio público e que nenhum dado do servidor foi comprometido. A secretaria de Agricultura afirmou que o domínio foi regularizado e os links retirados.