O termo malvertising – uma combinação de malicious (malicioso) e advertising (publicidade) – não é novo, mas tem ganhado os holofotes da mídia por ser uma prática crescente entre hackers mal-intencionados para aplicar golpes. Baseado no formato de anúncio publicitário, geralmente publicado em fonte confiável, como um site, uma mensagem eletrônica, ou no feed de uma rede social, os cibercriminosos se utilizam do recurso para disseminar malware, phishing e outras armadilhas digitais.
Para cumprir a missão de enganar os usuários, o malvertising é criado a partir de estratégias de engenharia social associadas a tecnologias como a Inteligência Artificial (IA) e o Machine Learning.
Os tipos mais comuns de malvertising estão no dia a dia de quem usa a internet. Eles divulgam produtos ou serviços legítimos por meio de links maliciosos (quase sempre com promoções imperdíveis), que levam a páginas falsas ao serem acessados. Uma modalidade mais sofisticada redireciona automaticamente os usuários para sites de phishing ou downloads de malware. Na pior das hipóteses, os anúncios já vêm com códigos embarcados capazes de explorar vulnerabilidades no navegador ou em plugins como Flash e Java.
Mas se nada disso é novo, por que ainda caímos em emboscadas? Posso responder facilmente a essa pergunta com uma simples análise: o cibercrime evoluiu a tal ponto, que ganhou recursos inteligentes, permitindo desde a criação ou adulteração de vídeos, áudios e fotos com a ajuda da IA (golpe conhecido como Deepfake), até o desenvolvimento de códigos maliciosos e fraudes mais sofisticadas.
No início deste ano, por exemplo, pesquisadores da Universidade Federal do Rio de Janeiro (UFRJ) identificaram mais de 4,3 mil anúncios em redes sociais, manipulados por IA com imagens de políticos brasileiros, convencendo as vítimas a acessarem páginas suspeitas atrás de uma falsa indenização.
A mesma técnica foi recentemente aplicada na criação de anúncios falsos envolvendo indevidamente a imagem de influencers e celebridades em propagandas de jogos de azar na internet, como o "Tigrinho" e o "Subway Money". Não por acaso, a IA entrou no foco do FBI (Departamento Federal de Investigação Norte-americano), que em meados do ano passado já alertava sobre a utilização de ferramentas de inteligência artificial generativas para o desenvolvimento de golpes digitais. Hoje, a maioria dos países, inclusive o Brasil, está estabelecendo suas regulamentações para o uso da IA.
Dicas para não cair em golpes
Combater o Malvertising hoje envolve a adoção de boas práticas de segurança por usuários individuais, administradores de sites, redes de publicidade e corporativas. É importante garantir que o sistema operacional, navegadores e plugins estejam sempre atualizados com as últimas correções de segurança. Além disso, é fundamental utilizar softwares de segurança, como antivírus e antimalware, além de soluções que identifiquem sites maliciosos antes que eles sejam carregados.
Aos administradores de sites, recomendo escolher redes de publicidade confiáveis, com regras rígidas de segurança e monitoramento. É importante implementar ferramentas que monitorem e filtrem anúncios em busca de atividades suspeitas e treinar suas equipes sobre os riscos de malvertising e como lidar com possíveis ameaças. Já as redes de publicidade precisam implementar processos rigorosos de verificação de dupla autenticidade para garantir que os anunciantes sejam legítimos. Devem também usar tecnologias avançadas para monitorar os anúncios em busca constante de atividades maliciosas e ter um plano de resposta rápido para remover anúncios maliciosos ou mitigar possíveis danos.
Além dessas medidas, redes corporativas com muitos terminais de acesso conectados podem se beneficiar de ferramentas de cibersegurança que ajudam a inibir a entrada de malwares e a bloquear o acesso de hackers por meio de vulnerabilidades abertas por malvertising acessado inadvertidamente. Um exemplo dessas ferramentas é o webshield, que atua como uma barreira entre o navegador do usuário e a internet, bloqueando conteúdos potencialmente perigosos antes que possam causar problemas
É preciso considerar, no entanto, que os erros humanos ainda são a porta de entrada para a maioria dos ataques cibernéticos. Não adianta adquirir a melhor tecnologia do mundo se os usuários não forem treinados para entender os perigos associados a comportamentos imprudentes. Afinal, é para ludibriar pessoas que os cibercriminosos se aperfeiçoam para fazerem mentiras parecerem verdades. Nesse sentido, a conscientização e a proatividade ainda são as peças-chave para proteger usuários e infraestruturas digitais contra os efeitos prejudiciais do malvertising.
Natália Santos, Head de Marketing da VaultOne.
