Para aplicar golpes na internet, criminosos têm invadido contas do Google e as usado para comprar anúncios no buscador. Os sites falsos costumam oferecer produtos por preços abaixo do praticado no mercado para atrair clientes, que ficam sem receber as mercadorias.
Um desses casos envolveu o site estoquedobrasil.com, denunciado por ofertas fraudulentas durante a Black Friday.
Esse endereço, por exemplo, comprou R$ 72 mil em anúncios a partir de uma conta roubada no Google Ads, indicam documentos obtidos pela reportagem. O maior buscador da internet deixou as publicidades no ar por 13 dias após ser notificado da invasão do perfil.
Links fraudulentos impulsionados no buscador mais popular da internet também serviram de isca para fazer pessoas baixarem vírus que desvia Pix na modalidade “copia e cola”.
Um site que imitava um revendedor oficial do Rock in Rio com ofertas fraudulentas aparecia em primeiro anúncio nas buscas pelo festival de música.
Em sua política de anúncios, Google diz que usa avaliação humana e de inteligência artificial para detectar material publicitário que viola as normas da plataforma.
Em relatório anual, a empresa afirmou ter removido 5,2 bilhões de propagandas abusivas e restringido 4,2 bilhões de anúncios em 2022. Nesse processo, 6,7 milhões de contas foram suspensas.
O Google diz que, caso suspeite que a conta na plataforma de publicidade Google Ads foi comprometida, suspende temporariamente o perfil para impedir que seus anúncios sejam veiculados.
Após a desativação da conta, o usuário perde acesso aos demais produtos Google, como YouTube e Gmail. A empresa pede que o cliente notifique a invasão da conta neste link.
A empresa vítima do golpe também pode pedir reembolso, desde que ative o método de segurança autenticação em dois fatores na conta, segundo o Google. O gigante das buscas não respondeu quem arca com o prejuízo em caso de estorno.
A reportagem apurou que, quando a falha de segurança advém de erro da plataforma, a empresa de tecnologia fica com o prejuízo, caso a contestação do pagamento seja aceita pela emissora do cartão.
O episódio de impulsionamento do site estoquedobrasil.com, entretanto, mostra gargalos nos procedimentos de segurança do Google
A vítima, o empresário gaúcho Diogo (que pediu para ter o sobrenome preservado), buscou a empresa de tecnologia no dia 20 de novembro para reportar que não conseguia acessar sua conta na plataforma Google Ads.
O Google invalidou o impulsionamento pago por ao menos cinco cartões diferentes na segunda-feira (4). Nesse meio-tempo, o endereço fraudulento serviu para aplicar golpes, usando a Black Friday como gancho.
Para isso, os golpistas tomaram o controle do perfil de Diogo, se adicionaram como administradores da conta e retiraram o acesso do empresário, indica a troca de emails entre o lojista e atendentes do Google.
Embora sem anúncios, o site fraudulento estoquedobrasil.com continuava a aparecer na lista de resultados do Google até esta terça-feira (5). Como descrição do link, o Google mostra comentários de supostos clientes: “A loja online é confiável e oferece um serviço de excelência. Recomendo a todos!”.
A plataforma de consulta Whois mostra que o administrador do endereço estoquedobrasil.com tem sede na cidade de Tempe, no Arizona (EUA).
Diferentemente da prática adotada nos domínios brasileiros “.br”, nos Estados Unidos não é necessário deixar público um nome e um CNPJ do responsável pelo site. Por isso, os dados do responsável pela página fraudulenta estão ocultos.
A primeira medida do Google, segundo a primeira resposta da empresa no dia 22, foi pedir, sem sucesso, que os cibercriminosos aceitassem o email de Diogo como administrador da conta. A empresa solicitou que o empresário esperasse uma resposta por dois dias úteis.
O suporte do Google, então, deu duas opções de verificação de identidade ao usuário: responder à mensagem com um email ligado ao domínio da empresa ou um caminho mais complexo que envolvia editar o código-fonte do site. A própria mensagem ignorava que Diogo contatou a empresa de tecnologia com um email ligado ao domínio da empresa (@empresaficticia.com).
A atendente do Google afirmou, então, ter recebido os dados de Diogo e pediu cinco dias úteis para a empresa analisar a situação.
Ainda no dia 20, o empresário recebeu notificações de três pagamentos, de soma em um valor por volta de R$ 3.300. Diogo teve de pedir o cancelamento dos dois cartões de créditos usados nas transações e também o estorno das quantias.
Os anúncios, faturados no CNPJ da empresa de Diogo, tiveram o objetivo de promover o site estoquedobrasil.com, citado como site fraudulento impulsionado na última Black Friday, de 24 de novembro.
Nesse meio-tempo, os criminosos usaram a conta de Diogo para emplacar anúncios do Google.
No dia 28, o Google respondeu ao empresário com uma negativa ao pedido de recuperação, sob justificativa de que ele não havia editado o código-fonte do site e enviado o arquivo no formato .txt. A resposta ignorou o primeiro trecho do email que apresentava o correio eletrônico ligado à empresa.
Ao ser notificado via email de uma alteração no cartão de crédito vinculado à conta no Google Ads no dia 29, Diogo tentou ligar para o Google para avisar o uso de seu CNPJ por terceiros para cometer fraudes. Ouviu da empresa que o atendimento não podia ser feito por telefone, apenas por meio da plataforma online.
Entre o dia 29 e o sábado (2), os criminosos investiram quase R$ 69 mil em anúncios com três diferentes cartões de crédito. Sem retorno do Google, o empresário decidiu registrar boletim de ocorrência na Polícia Civil do Rio Grande do Sul no dia 30.
Só no dia 2 deste mês, a atendente respondeu a email do dia 28 que não seria possível atender ao pedido de recuperação de conta do empresário. Restringiu a possibilidade de reaver perfis aos cadastrados no Google Workspace, pacote de serviços do Google vendido por valores a partir de R$ 28 mensais.
O empresário, disposto a pagar pelo Google Workspace para recuperar a conta, criou um novo email em seu domínio (vendas@empresaficticia.com).
O atendimento do Google, entretanto, exigia que todos os endereços vinculados ao domínio se tornassem Workspace, o que faria a vítima perder seus dados registrados em outra plataforma de emails corporativos. “Isso é impossível no momento”, escreveu o empresário à atendente em email.
A colaboradora do Google respondeu, mais uma vez, na segunda-feira (4), que só podia recuperar contas ligadas ao Workspace por “uma questão de procedimentos Google e segurança dos usuários.”
Foi só então que a plataforma tirou os anúncios do site fraudulento estoquedobrasil.com do ar. Questionado, o Google afirmou que não comenta casos pontuais.
BLOQUEIO IMEDIATO
De acordo com o professor de segurança da informação do Insper Rodolfo Avelino, o bloqueio imediato da conta após a notificação do roubo de conta seria o ideal em termos de segurança.
O ataque a sites de pequenas empresas é uma prática comum entre cibercriminosos, com uma tática chamada de injeção de código.
“Esses estabelecimentos não têm uma infraestrutura de defesa sólida e acabam mais vulneráveis às ofensivas”, disse. Com isso, os golpistas conseguem, por exemplo, roubar senhas.
Esses criminosos podem, então, usar perfis das empresas em plataformas digitais, como Google, para promover vendas falsas em buscadores, marketplaces e sites de vídeo, como o YouTube.
Criar sites fraudulentos está entre os golpes mais comuns e antigos da internet e impulsioná-los em buscadores é uma forma de atingir mais pessoas com a fraude, de acordo com Avelino.
Questionada sobre ocorrências por impulsionamento de sites fraudulentos no Google, a Polícia Federal afirmou que não revela informações sobre pessoas e empresas envolvidas em investigações.