A enorme quantidade de pessoas que clicam diariamente nos anúncios do Google tornou o Google AdWords um vetor atraente para a execução de ataques eletrônicos. Esses ataques são um exemplo interessante de como os criminosos conseguem obter informações sensíveis por meio de phishing e, neste caso, spear phishing. Para os criminosos, os lucros de cada clique podem até ser relativamente pequenos, mas a verdadeira recompensa são os dados obtidos. Nesse tipo de propaganda maliciosa, os usuários que clicam inadvertidamente em anúncios falsos podem ser redirecionados para sites fraudulentos, onde acabam digitando informações sensíveis, como número de cartão de crédito e dados pessoais. Essas informações podem ser usadas em esquemas de fraude com cartão não presente ou em ataques futuros de spear phishing, que são ainda mais lucrativos para os criminosos.

Esquemas de fraude envolvendo o Google AdWords são atraentes para os criminosos, pela facilidade com que podem ser montados. Com apenas algumas informações básicas, os fraudadores podem criar uma conta no Google AdWords (o Google não solicita prova de que quem está publicando o anúncio é o proprietário da marca), criar um anúncio e redirecionar os usuários para um site fraudulento. Em muitos casos, a URL é muito parecida com o endereço da página oficial, tornando quase impossível para os usuários perceber o golpe.

Mas os usuários finais não são os únicos prejudicados: as empresas sofrem danos à reputação, já que os criminosos usam suas marcas para aplicar os golpes, e correm o risco de que seus próprios funcionários sejam vítimas desses esquemas, abrindo as portas para ataques ainda mais sérios. Um estudo já mostrou que ataques de phishing são o assalto-relâmpago da Internet, causando às empresas um prejuízo de mais de 2 bilhões de dólares por ano. Além das perdas em receita, as organizações vítimas de ataques que usam a sua marca podem jamais conseguir recuperar a confiança dos clientes.

É fundamental que as empresas monitorem suas marcas, em todos os canais usados na execução de ataques de phishing, para serem capazes de desativar com agilidade ataques e páginas falsas onde os criminosos coletam os dados das vítimas. Mas o que as organizações podem fazer para resolver esta questão? Ao utilizar serviços que identificam e monitoram domínios similares maliciosos e milhares de redes sociais, sites de conteúdo orientado pelo usuário e lojas de aplicativos, as marcas podem detectar as atividades de phishing e desativar esses esquemas antes que possam causar danos.

Mas nenhuma linha de defesa sozinha é capaz de combater a fraude, seja no Google AdWords, fraude com cartão não presente e demais ataques eletrônicos. É preciso investir em uma estratégia antifraude completa para garantir que qualquer ataque de phishing lançado contra elas e qualquer ameaça que use a identidade institucional da empresa para enganar os usuários acabe antes mesmo de começar.

*Cláudio Sadeck é gerente de Desenvolvimento de Negócios da Easy Solutions no Brasil?