Golpistas usam Google para fraudar contas bancárias

Com o Google AdWords, toda vez que alguém faz uma busca no Google usando palavras-chaves o serviço exibe links pagos pelos anunciantes, que levam a páginas relacionadas aos critérios da busca. No caso dos golpes em questão, os fraudadores estão relacionando arquivos maliciosos a palavras-chaves usadas em buscas bastante populares.

Um exemplo pode ser visto quando se digita no Google a palavra "amadoras", que leva a sites com fotos amadoras de sexo. Ao lado dos resultados, aparece um link patrocinado, cujo endereço visível é www.amadoras.com.br - um domínio que está registrado no Brasil, mas não possui site ativo no momento.(Veja no infográfico à direita o anúncio.)

A descrição do anúncio é: "Fotos e Videos de Amadoras de Todo O Brasil, Confira é 100% Grátis". O internauta que clicar no link, porém, será direcionado ao endereço de um servidor na China, que hospeda um arquivo malicioso e, até o início da tarde desta segunda-feira, ainda estava no ar.

O arquivo, de nome "sexogratis.scr", hospedado no endereço http://www.giaa.com.cn/photo/IMAGES/sexxogratis/sexogratis.scr, traz o ícone do Internet Explorer, mas é um cavalo-de-tróia usado para roubar senhas bancárias. Segundo análise feita no site Virustotal.com, trata-se de uma variante do trojan Spy.Banbra (Banbra é uma sigla para "bancos brasileiros"). O detalhe é que, dos 25 antivírus usados pelo site VirusTotal, apenas sete detectaram o trojan. Nenhum dos antivírus mais vendidos no Brasil foi capaz de fazê-lo.

Os anunciantes do serviço Google AdWords têm a opção de informar um endereço de destino da publicidade diferente do endereço visível no anúncio. Segundo as informações fornecidas pelo serviço, todos os anúncios são revisados individualmente, antes de serem aprovados para publicação. Isto significa que, aparentemente, está havendo brechas de segurança na revisão dos arquivos anunciados nos links.

Atualização:
09/01/2006 - 23h20: um leitor e usuário do Google AdWords recebeu, no final da tarde, uma resposta da equipe responsável pelo serviço, informando que o anúncio impróprio citado na reportagem tinha sido removido. Porém, mesmo depois disso, foi constatado que o anúncio com o trojan permanecia no ar. Poucas horas depois, de fato, ele foi retirado e já não é mais possível visualizá-lo com o método informado na matéria. O trojan hospedado no servidor chinês, no entanto, continua disponível para download até este momento. Veja trecho da resposta da equipe do Google AdWords ao leitor:

"Esses anúncios são publicados no nosso site instantaneamente. A nossa equipe editorial revisa todos os anúncios para assegurar que eles são apropriados para o nosso site. Como publicamos os anúncios imediatamente, em geral, o anúncio fica visível por um curto espaço de tempo antes de ser revisado e aprovado pelos especialistas do Google AdWords. Observe que tentamos reduzir ao máximo esse intervalo. Infelizmente, você visualizou o anúncio antes que pudéssemos revisá-lo."