Os investigadores da Microsoft Corp. nos Estados Unidos passaram meses de olhos grudados nas telas de seus computadores, acompanhando pacientemente os misteriosos operadores do que a empresa chama de uma grande máquina criminosa que atua no setor de anúncios online. Aí, na quinta-feira [5/12], os investigadores agiram. Munidos de um mandato judicial e contando com a ajuda da polícia de outros países, a equipe tomou medidas para cortar a comunicação de servidores que, de suas bases na Europa, foram identificados como o cérebro de uma poderosa botnet – nome dado às redes de robots (robôs) ou bots, que são computadores sequestrados e controlados remotamente por hackers.
Criminosos vinham durante anos usando a botnet ZeroAccess, que combina o poder de mais de dois milhões de bots, para cobrar ilegalmente cerca de US$ 2,7 milhões por mês de empresas que anunciam na internet, dizem os investigadores da Microsoft. A Microsoft não sabe exatamente quem são os operadores do ZeroAccess, mas suspeita que eles estejam no Leste Europeu. Na semana passada, a empresa americana entrou com uma ação civil num tribunal federal do Texas, Estado em que há uma grande concentração de bots. Ela recebeu autorização para cortar a comunicação entre os computadores infectados nos EUA e os servidores na Europa. A unidade da Microsoft afirmou que também agiu em colaboração com a polícia europeia, a Europol, para apreender os servidores, localizados na Letônia, Alemanha, Suíça, Luxemburgo e Holanda.
A ação coordenada reflete o esforço cada vez maior das empresas para policiar um mundo ainda muito pouco policiado, em que hackers engendram maneiras de se apoderar de parte do dinheiro movimentado pelo setor de anúncios online.
Novos intermediários
A Microsoft tem boas razões para ter seus próprios detetives digitais. Vários dos seus serviços – como o motor de busca Bing, a bolsa de anúncios Bing Ads e o sistema operacional Windows, que roda em muitos computadores no mundo todo – são alvos potenciais para infecção por software maligno, os chamados malware. Combater o ZeroAccess a ajuda a defender sua marca e reputação, afirma a Microsoft.
A Unidade de Crimes Digitais da Microsoft ganhou recentemente um centro de operações de mais de 1.500 metros quadrados na sede da empresa, em Redmond, no Estado de Washington. Monitores de tela de toque que detalham as atividades de supostos criminosos cibernéticos pendem das paredes. A equipe, que tem mais de cem pessoas, cuida de cinco casos de malware por vez, entre outros crimes digitais. Os gastos com anúncios digitais nos EUA devem subir 14,9% em 2013, para US$ 42,3 bilhões, segundo a firma de pesquisas de mercado eMarketer. A firma de segurança digital Solve Media Inc. estima que o prejuízo no mundo todo só com anúncios do tipo display pode chegar a US$ 10 bilhões este ano.
O crescimento vertiginoso também aumentou a complexidade do setor de publicidade on-line, criando uma miríade de brechas para criminosos. A automação crescente das bolsas de anúncios, onde, à semelhança do mercado acionário, transações rápidas entre múltiplos participantes são difíceis de monitorar, tornou o ecossistema particularmente vulnerável, segundo as empresas de segurança. Uma explosão de sites e muitas camadas de novos intermediários facilitaram a ação de falsificadores, afirmam as empresas.
Ataque ao mundo dos anúncios
No seu tipo mais básico, as fraudes com anúncios consistem em gerar tráfego falso na internet. A prática funciona porque anunciantes pagam os sites por espaço publicitário, com o pagamento geralmente atrelado ao número de pessoas que supostamente clicam no site onde o anúncio aparece. Um esquema muito usado envolve a manipulação desse modelo básico de negócios. Os hackers constroem sites e dirigem computadores sequestrados para eles, criando a aparência de um tráfego real de internet. Atraídos pelo tráfego, anunciantes fazem ofertas por espaço nesses sites fraudulentos, de audiência fictícia. Em alguns casos, os anunciantes pagam diretamente; em outros, através de intermediários.
O ZeroAccess se especializou no “golpe do clique”, fazendo com que cada um dos seus quase dois milhões de bots cliquem em até 48 anúncios por hora – o dia inteiro, segundo os investigadores. Outro golpe é o “sequestro de buscas”, em que os resultados da busca de um usuário do Google ou Bing, por exemplo, são redirecionados para sites conectados aos supostos criminosos, segundo a ação civil da Microsoft.
Steve Sullivan, vice-presidente de tecnologia de publicidade do Interactive Advertising Bureau, ou IAB, grupo setorial de publicidade interativa, diz que não se trata de jovens operando no porão da casa dos pais. “Estamos diante de organizações criminosas em países estrangeiros atacando o mundo dos anúncios.”
Mistérios da máquina
A crescente sofisticação das fraudes está levando o setor a reagir. Enquanto algumas empresas contratam consultores, muitas grandes da indústria criaram suas próprias unidades de segurança. A DoubleClick, do Google, umas das maiores bolsas de anúncios do setor, tem uma equipe de mais 100 especialistas altamente qualificados trabalhando para protegê-la.
Autoridades e firmas de segurança digital calculam que há talvez milhares de botnets. As mais sofisticadas agem como humanos, clicando em anúncios, rodando vídeos e colocando produtos em carrinhos de compra. Eliminar uma botnet não é fácil. Além de usarem senhas e criptografia, os hackers que as constroem muitas vezes as controlam de lugares remotos, onde a fiscalização é menor.
Com o bloqueio dos servidores do ZeroAccess, a Microsoft quer começar a solucionar alguns dos mistérios por trás da máquina criminosa, inclusive descobrir seus operadores. Detalhes da operação foram passados ao FBI, afirmou a Microsoft. “Se não pudermos pôr os criminosos na cadeia”, disse Craig Schmidt, gerente sênior da unidade de investigação da Microsoft, “pelo menos podemos tomar parte do dinheiro deles.”
******
Christopher S. Stewart e Merissa Marr, do Wall Street Journal