Anúncios maliciosos estão em toda a internet

Na semana passada, o Spotify exibiu anúncios perigosos em seu serviço. Mas esse é apenas o exemplo mais recente de um problema antigo: o malvertising.

Emerson Alecrim
• Atualizado há 1 ano e 6 meses
Cadeado - segurança

A semana passada foi um tanto tensa para muitos assinantes do Spotify. Um usuário reportou no fórum de suporte que a versão gratuita do serviço estava exibindo anúncios maliciosos. Pouco tempo depois, uma avalanche de relatos semelhantes apareceu ali e em redes sociais. O assunto gerou indignação, é claro: como uma empresa desse porte deixa uma coisa dessas acontecer? A verdade é que, se fosse só com o Spotify, estaria bom.

Malvertising

Anúncios maliciosos na internet são um problema antigo, tanto que ganhou nome: malvertising. Se for para resumir, um malvertising nada mais é do que um anúncio que propaga malwares. Mas, hoje, esse tipo de anúncio é evoluído o bastante para atender a vários propósitos distintos, especialmente capturar dados, aplicar golpes e comercializar produtos ilegais.

Não é difícil identificar anúncios maliciosos. Os mais clássicos, por assim dizer, dizem que você vai receber um prêmio por ser o visitante de número 1 milhão daquela página, afirmam que o seu computador está com vírus e oferecem uma fórmula mágica para você ganhar dinheiro enquanto dorme, só para dar alguns exemplos.

Oferta especial

Geralmente, esses anúncios são exibidos em sites de qualidade duvidosa, como aqueles que disponibilizam conteúdo adulto ou distribuem links para downloads ilegais. O problema é que ninguém espera que anúncios maliciosos apareceram em sites ou serviços com boa reputação. Mas, de vez em quando, eles aparecem.

O Spotify é apenas o caso mais recente. Yahoo, Google, Microsoft (com o portal MSN) também já passaram por problemas semelhantes. No Facebook, anúncios sobre lojas falsas surgem todos os dias. Vez ou outra, o Twitter também exibe publicidade perigosa. Há inúmeros mecanismos de controle, mesmo assim, nenhum site que trabalha com anúncios está imune ao malvertising.

Como os anúncios maliciosos vão parar lá?

Os anúncios que você encontra na web, nas redes sociais e em outros serviços online quase sempre são controlados por redes de publicidade que lidam com muito tráfego. As empresas responsáveis normalmente estabelecem critérios rígidos de segurança e qualidade para evitar que anúncios sejam usados para disseminar malwares, promover produtos proibidos, divulgar esquemas fraudulentos e por aí vai.

Há um ditado que diz que uma regra serve para ser quebrada, o que indica que um conjunto rígido de critérios não é suficiente para combater o malvertising. Mecanismos de controle são igualmente importantes. A barreira mais eficiente é a análise humana, mas é inviável manter um exército gigantesco de pessoas para aprovar (ou reprovar) cada anúncio, por isso, as redes de publicidade também empregam tecnologias de filtragem.

Com serviços como AdWords e DoubleClick, o Google controla a maior parte dos anúncios veiculados na internet, seja em seus próprios serviços, seja em sites parceiros. A companhia afirma ter bloqueado, só em 2015, 780 milhões de anúncios maliciosos graças à combinação de algoritmos sofisticados com os esforços de uma equipe com mais de mil analistas.

Google - bloqueio

Em outras redes também há esse tipo de controle, mas como a quantidade de anúncios que aparece todos os dias é gigantesca, muitos anúncios maliciosos acabam passando pelos filtros. Sem contar que os responsáveis por esses anúncios também se aperfeiçoam: um dos vários truques usados por eles recentemente para conseguir aprovação é registrar domínios expirados que outrora pertenceram a empresas de publicidade.

Mas o pior problema, receio, é a “cegueira intencional”: não é raro uma rede de publicidade ou um veículo fazer vista grossa para anúncios maliciosos por conta da expectativa de boa remuneração. Também há empresas do ramo que simplesmente têm regras menos rígidas, fazendo anúncios potencialmente perigosos serem, tecnicamente, legítimos.

No Brasil, um exemplo notável de anúncio prejudicial, mas legítimo do ponto de vista técnico, foi o da Neon Eletro. Entre 2012 e 2013, a loja veiculou anúncios na página principal do UOL promovendo produtos eletrônicos com preços muito abaixo da média. Os anúncios da loja não disseminavam malwares ou tentavam capturar dados do usuário. Mas os preços irreais oferecidos só podiam indicar uma coisa: fraude.

Era fraude mesmo, tanto que o site saiu do ar pouco tempo depois de o Gizmodo Brasil detalhar o assunto. Mas como os anúncios eram exibidos em um grande portal (além de outros veículos, como o SBT), muita gente acreditou nas ofertas. Ninguém espera que veículos grandes e sérios submetam seus visitantes a esse tipo de risco.

Ruim para a indústria, pior para o usuário

No caso do Spotify, os anúncios — desativados após as denúncias — quase sempre direcionavam para páginas que disseminavam malwares. Esse é o objetivo mais frequente. Os malwares podem ser usados para espalhar um software que captura dados sigilosos ou aplicar configurações que fazem o navegador apontar para uma loja online falsa, por exemplo.

Muitas vezes, não é necessário clicar no anúncio. A peça pode conter um código que explora uma vulnerabilidade no navegador ou no sistema operacional. Assim, a simples exibição consegue ser suficiente para a infecção.

A já abordada variedade que promove fraudes também é comum, assim como aquelas que expõem o usuário a produtos ilegais ou questionáveis, como drogas que prometem emagrecimento rápido ou comercializam itens falsificados.

Para a indústria da publicidade, os efeitos dos anúncios maliciosos também são terríveis. Segundo a IAB, uma das mais importantes associações para assuntos ligados à publicidade online, o segmento perde mais de US$ 8 bilhões por ano apenas com atividades fraudulentas.

Não é difícil entender. Além do prejuízo com devolução de valores, pagamentos não efetuados e afins, anúncios maliciosos disputam espaço com publicidade legítima. Como, na maioria das redes, os anunciantes pagam pela exibição de anúncios em um sistema de leilão, os custos para eles acabam aumentando com essa disputa.

Stop

Outro ponto de preocupação: anúncios maliciosos são um dos fatores que contribuem para o aumento do uso de bloqueadores de anúncios. É por isso que o setor vem se esforçando para aperfeiçoar e desenvolver tecnologias de combate ao malvertising.

Mas tudo indica que essa continuará sendo uma briga de gato e rato. Por conta disso, as já clássicas dicas de segurança continuam valendo: desconfiar de ofertas milagrosas, manter sistema operacional e aplicativos (principalmente navegadores) atualizados e redobrar os cuidados com redes Wi-Fi públicas são um bom jeito de lidar com o problema.

Talvez essas orientações sejam triviais para você. Nesse caso, convém instruir pessoas próximas que não são tão familiarizadas com a internet. Elas são justamente as principais vítimas dos anúncios maliciosos.

Leia | O que são deceptive patterns em aplicativos e sites? 5 exemplos

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.