Os mecanismos de busca e o perigo dos Links Patrocinados

Tudo começa com um tradicional "ritual" pré-instalação de software, seguido por muitos usuários do Microsoft Windows: abrir o navegador, acessar um site de busca, pesquisar pelo nome do software acrescido de download e pronto! Você está a apenas um clique de distância de cair na armadilha de um cibercriminoso.

Talvez seja por causa da "ingenuidade" dos criadores de novas tecnologias, ou mesmo, muita “esperteza” de alguns poucos mal intencionados. Seja como for, a verdade é que existem diversos exemplos de tecnologias criadas com as melhores das intenções, mas que no final das contas, tiveram sua finalidade distorcida e acabaram servindo como alguma forma de exploração. Por também ser um produto da atividade humana, com a tecnologia da informação não poderia acontecer algo muito diferente.

Não é segredo algum que gerar lucro é uma das razões de ser (se não for "A" razão de ser) dos mecanismos de busca (Google, Bing, Yahoo, DuckDuckGo etc.). E, na Internet, umas das mais difundidas formas de se alcançar esse objetivo é vender espaço para publicidade. Os Links Patrocinados são apenas mais uma forma de veiculação.

Essa modalidade foi criada como uma forma de permitir que os sites das empresas anunciantes fossem destacados nas primeiras posições dos resultados de pesquisas feitas por usuários. No entanto, os cibercriminosos encontraram nos Links Patrocinados uma maneira barata e até que bastante eficiente no que tange o direcionamento de usuários desatentos para sites maliciosos.

A ameaça

Ardilosos como sempre, os crackers geralmente associam seus Links Patrocinados ao nome de programas gratuitos e muitas vezes indispensáveis como, por exemplo, o Adobe Flash Player, Adobe Reader, Java, Google Chrome, Firefox etc. Não por acaso, os programas escolhidos para servirem de isca estão sempre nas primeiras posições de qualquer lista com softwares mais baixados para Windows.

Alguns leitores podem alegar que depois de uma instalação limpa, o primeiro software que eles instalam é o antivírus. No entanto, nem mesmo as soluções de segurança foram poupadas.

Começando com o pé esquerdo!

Todos os sites deste tipo que visitamos ofereceram o download de um Bundled Installer que, na maioria das vezes, instalou tudo (barrinhas, programas de otimização, browsers etc.) menos o programa desejado.

Bundled installer instala tudo, menos o programa desejado.

Também constatamos que alguns dos sites de fato entregaram o software legitimo e sem alterações (mediante comparação de hash criptográfico com algoritmo sha512).

Então, quer dizer que as “barrinhas” são as principais ameaças? Definitivamente não! Perceba você, caro leitor, que o perigo se encontra no vetor de ataque, pois uma vez que o Link Patrocinado foi clicado e o site malicioso carregado, você está entregue à criatividade do cibercriminoso. Aliás, o simples fato de ter acessado o site, mesmo sem ter baixado o instalador, já pode ter sido o suficiente para comprometer o sistema operacional via um ataque drive-by download.

Basicamente, este tipo de ataque explora falhas do navegador para silenciosamente executar scripts maliciosos. Esses scripts baixam um ou mais arquivos, que por sua vez podem servir como porta de entrada para outros malwares. Para piorar, muitas vezes, nenhum tipo de interação do usuário é necessária, pois tudo ocorre automaticamente em segundo plano.

Em fevereiro de 2014, algumas empresas de segurança, dentre elas a FireEye, detectaram ataques desse tipo, explorando uma falha de dia zero, a CVE-2014-0322, presente no Internet Explorer 10. E, vejam só, esse é o único browser disponível em uma instalação limpa do Windows 8!

Combate e Prevenção

A maior parte do esforço deveria vir das próprias empresas donas dos mecanismos de busca. No entanto, considerando o modelo de negócio atual, é bem provável que esse tipo de prática continue sendo viável, pelo menos no curto prazo. Nesse caso, uma vez que o site malicioso esteja no ar e o Link Patrocinado direcionando vítimas, a única medida é a denúncia do abuso.

Para fazer justiça, temos que citar um interessante recurso visual oferecido pelo DuckDuckGo. Ao buscar por algum programa, o primeiro resultado retornado, após a propaganda, direciona o usuário para o site do desenvolvedor. Além disso, ao lado do nome do site, é exibido um botão "Official Site", indicando que trata-se de fato do site oficial.

DuckDuckGo auxilia visualmente na identificação do site oficial.

Com modelo de negócio baseado em propagandas, este mecanismo de busca não está imune aos Link Patrocinados potencialmente perigosos, mas pelo menos ele tenta indicar para o usuário qual é o site verdadeiro.

Para prevenir que o usuário caia nesse tipo de golpe, as companhias antivírus também desempenham um papel fundamental, pois as soluções de segurança devem ser capazes de classificar a URL como maliciosa (por meio de um banco de dados atualizado regularmente) e bloquear o acesso ao site. Além disso, a maioria dos navegadores oferece um mecanismo de bloqueio semelhante.

O Mozilla Firefox, por exemplo, utiliza duas listas (baixadas e atualizadas a cada 30 min): uma contra sites de phishing, mantida pelo Google, e outra (www.stopbadware.org) contra malware no geral, inclusive ataques drive-by download.

Conclusão

Há quem pense que somente usuários novatos caem nesse tipo de golpe. Apesar de existir uma certa verdade nesse pensamento, quando o ataque drive-by entra em cena, mesmo um usuário experiente pode ser afetado, pois basta um clique no link errado.

“De boas intenções o inferno está cheio!” Infelizmente, esta frase se aplica muito bem no universo da tecnologia da informação. Sempre existirá um espírito de porco para fazer mau uso de tecnologias criadas com as mais nobres das intenções. Só nos resta sermos cautelosos com nossos cliques, utilizar um antivírus e, claro, usar e abusar do bom senso.