“Os cibercriminosos prosperam no caos e no pico do interesse público”, alerta Rafa Lopez, engenheiro de segurança especializado em proteção de email na Check Point Software Technologies.

“A curiosidade e as reações emocionais tornam estes momentos propícios para os atacantes. Sempre que ocorre um evento noticioso de grande impacto, assistimos a um aumento acentuado de esquemas que procuram explorar o interesse do público. A melhor defesa é uma combinação entre consciencialização dos utilizadores e proteção de segurança multicamada.”

Cuidado com os links escondidos em imagens e publicações

Segundo Lopez, estas campanhas são concebidas para atrair e prender a atenção dos utilizadores, incentivando-os a procurar mais informações através de motores de busca ou a clicar em links incorporados nas imagens ou nos posts. Uma vez envolvidos, os utilizadores podem ser redirecionados para websites fraudulentos, criados para roubar dados ou aplicar esquemas financeiros.

“Num dos casos observados, o link estava disfarçado num site que divulgava alegadas notícias falsas sobre o Papa Francisco. Ao clicar, o utilizador era redirecionado para uma página falsa da Google, que promovia uma fraude com cartões de oferta — uma tática comum para induzir os utilizadores a fornecer dados sensíveis ou efetuar pagamentos”, explica Lopez.

Outros sites fraudulentos vão ainda mais longe: executam comandos em segundo plano sem qualquer interação do utilizador. Este tipo de malware recolhe informações como o nome da máquina, sistema operativo, localização, idioma e muito mais.

“O objetivo é recolher dados detalhados sobre os utilizadores para lançar campanhas de phishing altamente direcionadas ou para vender essa informação na Dark Web. Estes dados podem incluir credenciais de login, informações financeiras ou especificações técnicas do dispositivo”, acrescenta o especialista.

Quando o SEO se torna uma armadilha

Outro risco relevante associado a estas campanhas é o chamado envenenamento de SEO (Search Engine Optimization poisoning). Neste modelo, os cibercriminosos pagam para posicionar os seus sites maliciosos entre os primeiros resultados dos motores de busca, enganando os utilizadores ao fazê-los acreditar que estão a aceder a informação credível.

Esta técnica permite distribuir malware, roubar credenciais ou sequestrar cookies de sessão, monetizando o tráfego gerado pelos sites. Por exemplo, alguém que procure atualizações sobre o Papa Francisco pode acabar por clicar, sem saber, num link malicioso com alto posicionamento nos resultados de pesquisa.

“O problema agrava-se porque muitos destes domínios não aparecem nas ferramentas de reputação de ameaças,” explica Lopez. “Podem ter sido registados recentemente ou estar inativos há meses sem qualquer comportamento malicioso — escapando assim à deteção pelos sistemas tradicionais de cibersegurança.”

Uma tendência crescente e perigosa

Este tipo de campanhas insere-se numa tendência mais ampla conhecida como "oportunismo digital", onde os atacantes exploram eventos de interesse global para espalhar malware ou desinformação.

“A investigação da Check Point Research e de outras entidades tem identificado repetidamente picos em campanhas de phishing e malware associadas a este tipo de acontecimentos,” afirma Hendrik De Bruin, diretor de consultoria em segurança para a região SADC da Check Point Software.

“Durante a pandemia da COVID-19, por exemplo, a Google chegou a reportar mais de 18 milhões de emails de phishing e malware por dia relacionados com esquemas associados ao coronavírus.”

Figura 1 - Exemplo de página Google Falsa a promover cartões de oferta.

Figura 2 - Video no TikTok a sugerir que a morte do papa é falsa.

Figura 3 - Imagem gerada por IA, a circular no Instagram, com link para sites fraudulentos.

Figura 4 - Imagem gerada por IA, inicialmente distribuída em Fevereiro, voltou a ser replicada nas redes sociais, com links para sites fraudulentos.

Nos bastidores das campanhas maliciosas

Estas campanhas maliciosas começam normalmente com operações de desinformação nas redes sociais, como Instagram, TikTok ou Facebook, onde são publicadas imagens falsas geradas por inteligência artificial. O objetivo é captar a atenção dos utilizadores e levá-los a procurar mais informações em motores de busca ou a clicar em links incorporados nas imagens ou nas publicações.

No exemplo em análise, o esquema estava oculto num link para um website que divulgava potenciais notícias falsas sobre o Papa Francisco. Ao aceder ao link, o utilizador era automaticamente redirecionado para uma página falsa da Google, que promovia uma fraude com cartões de oferta — uma tática comum usada para induzir os utilizadores a fornecerem dados sensíveis ou efetuarem pagamentos.

Noutros tipos de sites fraudulentos, comandos de fundo são executados sem qualquer interação do utilizador. Este tipo de malware procura recolher informações como o nome da máquina, sistema operativo, país, idioma, entre outros. O objetivo é reunir dados que permitam lançar campanhas de phishing altamente direcionadas ou vender essa informação na Dark Web, caso seja obtida com sucesso.

Outro problema associado a estes eventos são as campanhas falsas de SEO (Search Engine Optimization), também conhecidas como SEO poisoning. Nestes casos, os cibercriminosos pagam para posicionar os seus links maliciosos entre resultados legítimos de pesquisa, confundindo os utilizadores. Os objetivos destas campanhas variam entre distribuir malware, roubar credenciais ou sequestrar cookies de sessão, monetizando posteriormente o tráfego gerado por esses acessos.

Como se proteger — Recomendações práticas de segurança

• Mantenha o sistema operativo e o navegador atualizados com as versões mais recentes. As atualizações de segurança corrigem falhas que os atacantes exploram.
• Utilize ferramentas de proteção de navegação como o Check Point Harmony Browse ou outras extensões de segurança web que verificam sites em tempo real e bloqueiam links maliciosos antes de serem carregados.
• Desconfie de títulos sensacionalistas ou conteúdos virais, sobretudo nas redes sociais. Confirme sempre a veracidade da informação em meios de comunicação credíveis.
• Evite clicar em links de fontes desconhecidas, especialmente em emails ou publicações relacionadas com notícias de última hora. Digite diretamente o endereço dos sites oficiais no navegador.
• Use serviços de inteligência de ameaças, como o VirusTotal ou o ThreatCloud da Check Point, para verificar domínios ou ficheiros suspeitos antes de interagir com eles.
• Considere utilizar software de segurança avançado, com funcionalidades de proteção contra phishing, deteção de malware e atualizações regulares de inteligência de ameaças.

Ao seguir estas recomendações, os utilizadores podem reduzir significativamente o risco de se tornarem vítimas de campanhas de desinformação ou ciberataques que exploram acontecimentos mediáticos de grande impacto.

No caso analisado, o esquema encontrava-se dissimulado num link inserido num site que divulgava alegadas notícias falsas sobre o Papa Francisco. Quando o utilizador clicava nesse link, era automaticamente redirecionado para uma página falsa da Google, que promovia uma fraude com cartões de oferta — um esquema comum que visa levar as vítimas a fornecer dados sensíveis ou a realizar pagamentos.

O grande problema destas campanhas está no facto de os domínios usados não surgirem nas ferramentas tradicionais de inteligência de ameaças. Muitos destes domínios foram recentemente registados ou estiveram inativos durante meses, sem qualquer atividade maliciosa, o que lhes permite escapar à deteção dos sistemas convencionais de cibersegurança.

Por isso, é sempre recomendável manter o navegador atualizado para a versão mais recente e usar ferramentas de controlo de navegação, que verifiquem em tempo real tentativas de ataque ou execução de programas maliciosos durante a navegação.