Vários anúncios com imagens e termos sexuais estiveram visíveis na página da principal lista de anúncios da plataforma online de classificados OLX e tinham como objetivo atrair os utilizadores para uma site malicioso. As publicações, feitas no domingo, foram retiradas pela equipa de resposta da empresa no próprio dia, mas entretanto já tinham sido vistas por milhares de pessoas.
David Mota, responsável pela área de satisfação do cliente do OLX, confirmou à Exame Informática a campanha maliciosa: no dia 29 de setembro foram identificados e eliminados oito anúncios de cariz sexual e que nas imagens promoviam um website, de conteúdos para adultos, e que está associado a esquemas de phishing.
Apesar de dizer que estes anúncios fraudulentos não ficam mais do que 15 minutos no site do OLX Portugal devido à resposta da equipa, a Exame Informática viu que um dos anúncios, publicado perto do meio dia, ficou mais de uma hora ativo na plataforma. Ainda no domingo, mas já no período noturno, os anúncios vistos foram removidos em menos de 20 minutos.
«Os burlões procuram mil e uma formas de tentar aceder a uma conta de um utilizador nosso. Se for um utilizador que não tenha seguido os passos de segurança que nós indicamos e tenha eventualmente uma password fraca, o burlão consegue entrar na conta, começa a utilizar a conta dessa pessoa e começa a publicar anúncios», começa por explicar o responsável do OLX.
No caso de domingo, dois utilizadores do OLX viram as contas que têm na plataforma de classificados serem usurpadas pelos atacantes. Foi a partir destas contas que foram feitos os anúncios de cariz sexual e potencialmente malicioso. Num dos casos, o autor usou inclusive o crédito que a vítima tinha associada ao perfil no OLX para promover e destacar um dos anúncios fraudulentos.
De acordo com David Mota, 90% dos anúncios publicados no OLX são verificados através dos mecanismos automáticos da empresa e, por isso, são publicados de imediato se não forem encontradas irregularidades. Os restantes 10% dos anúncios são revistos manualmente, por ter sido identificado algum elemento na publicação que levanta suspeitas sobre o anúncio.
No caso dos oito anúncios fraudulentos publicados no domingo, todos conseguiram passar pelo sistema de filtragem automático do OLX. «Eles tentam dias e dias até conseguirem entrar na nossa plataforma», garante David Mota. «Há situações em que conseguem passar pelas barreiras todas e ficam ativos, que foi o que aconteceu no domingo e que acaba por ter um impacto muito grande. Mesmo que sejam [publicados em] duas ou três horas, são capazes de impactar seis, sete, oito mil pessoas».
Neste exemplo é possível ver que num único ecrã do dispositivo eram visíveis três anúncios de cariz sexual (imagens desfocadas).
O porta-voz da empresa diz que, em média, são identificados e eliminados 30 conteúdos maliciosos da plataforma por mês (ou seja, que chegaram a ser mostrados aos utilizadores), valor que contrasta com os 3.000 anúncios que são bloqueados eficazmente pelas ferramentas de deteção e que nunca chegam a ficar online. «Mesmo quando esta tecnologia não consegue detetar, a nossa equipa de forma manual consegue apanhá-los e consegue automaticamente bloquear este tipo de utilizadores e de anúncios, o que faz com que na plataforma não haja este tipo de conteúdos com alguma regularidade.»
Mas, no caso desta campanha específica, os autores recorreram, por exemplo, a caracteres do alfabeto cirílico, usado em países como a Rússia, Ucrânia ou Macedónia, para conseguirem evitar os sistemas de deteção do OLX – ainda que o texto dos anúncios estivesse escrito em português do Brasil. O que não significa que os autores pertençam a estas geografias.
«O que acontece é que estes burlões já estão a mover-se dentro da própria Europa e a ir para países que tendencialmente não têm qualquer tipo de volume de crime organizado neste sentido. (…) Aquilo que sabemos é que usam tecnologias avançadas, muito à base da VPN, até podem estar em países como a Rússia ou Ucrânia, mas utilizando a VPN eles procuram endereços IP que sejam considerados legítimos e com alguma credibilidade».
Mas aquilo que culminou como uma tentativa de atrair utilizadores do OLX para um site para adultos recheado de pop-ups suspeitos começou, na realidade, muito antes. Segundo explica David Mota, os autores dos anúncios fraudulentos começaram por criar esquemas online fora do OLX e através dos quais obtiveram as credenciais de acesso de email dos utilizadores. A partir daí começaram a explorar em que plataformas essas credenciais eram válidas. «Eles [autores dos anúncios fraudulentos] criam esquemas online em diversos sites, as pessoas são atraídas por esse tipo de conteúdos, automaticamente eles conseguem ficar com a informação de quem é o utilizador», naquele que o responsável considera ser um «esquema bastante elaborado».
O site malicioso que era publicitado nos anúncios do OLX – e que a Exame Informática não revela por motivos de segurança – redirecionava para um outro endereço web que, na plataforma URLScan, usada para verificar a segurança de endereços web, está identificado como sendo perigoso e ligado a atividades de phishing. Noutras ferramentas semelhantes não é possível encontrar um índice de perigo, por não haver qualquer registo do site.
«Ao entrar nesse site automaticamente já foram apanhados por estes burlões e como a maioria dos utilizadores usam sempre o mesmo email e a mesma password na sua maioria para tudo, então acabam por ficar mais vulneráveis a este tipo de ataques», confirma também o responsável do OLX.
David Mota adianta que no OLX existe uma equipa de dez pessoas dedicadas à revisão de anúncios considerados como suspeitos e que já são aplicadas tecnologias de inteligência artificial para, por exemplo, bloquear anúncios com imagens que não cumprem os termos de utilização da plataforma. «Nós já temos a equipa reforçada, temos mecanismos que realmente ajudam a bloquear isto, a questão é que por mais pessoas que possamos colocar, por mais ferramentas que possamos comprar, este tipo de burlões não brincam em serviço».
Mas num negócio onde são publicados ou editados 600 mil anúncios por dia, uma das principais linhas de defesa acaba por ser os próprios utilizadores da plataforma de compra e venda de produtos. «Mesmo se houver alguma coisa que seja desenvolvida de forma extremamente inteligente por parte dos burlões e que consigam introduzir este tipo de anúncios, os próprios utilizadores ajudam-nos a detetar».
