Quer tocar faixas de áudio do Youtube no seu iPod mas não deseja pagar pelo aplicativo? Você não está sozinho. Recentemente, surgiram alguns sites prometendo converter áudio de vídeos para arquivos mp3 que você pode baixar sem custo. Parece ótimo, não? O golpe: scammers estão tentando capturar o alto tráfego de usuários e direcioná-lo a sites de scam, onde você pode acabar sendo vítima de malware e outras coisas desagradáveis como bônus.
Então, o que acontece se você cair em um golpe deste tipo? Abaixo, demonstramos um caso que acompanhamos, com capturas de tela de todo o processo.
Neste exemplo, eu cliquei em um resultado de busca bem posicionado no Google, que direcionava a um vídeo no próprio Youtube dando supostas instruções para converter os vídeos do site para mp3s. Ao clicar, ele demonstrou uma captura de tela dentro do próprio player de vídeo, me instruindo a acessar um site diretamente. A descrição do vídeo veio completamente cheia de palavras-chave para impulsionar o posicionamento. Aqui está uma captura de tela do que me foi apresentado:
Quando digitei no browser a URL recomendada pelo “vídeo”, fui levado a um site altamente carregado de javascript (que meu browser bloqueou através de um plugin), conteúdo de terceiros e anúncios me dizendo para pegar meu “cartão presente de US$ 500” – o que também liberaria o download do conversor de vídeo para mp3. Como eu adoraria ganhar um cartão presente de US$ 500, cliquei no link.
E então uma tela mostra o suposto arquivo com download bloqueado, que eu teria que desbloquear.
Eu escolhi a oferta de cartão presente da Best Buy. Quando cliquei no link, fui direcionado a uma página que me mostrava que poderia ganhar um cartão de US$ 1.000 – melhor ainda!
Eu também notei que a página queria usar bastante javascript e conteúdo de terceiros, gerando uma notificação de segurança do ESET Smart Security, informando que o site foi bloqueado por tentar enviar cookies de rastreamento. Também notei que o site usava significativo tráfego de Internet ao tentar baixar todos seus componentes. Após ter respondido a última pergunta, eu fui sido solicitado a inserir meu e-mail para receber o cartão presente. Quando inseri um e-mail falso, eu fui levado a uma tela onde teria que inserir ainda mais informações pessoais, incluindo meu endereço físico, idade, sexo, e número de telefone. Eu também teria de concordar em ser contatado por empresas terceiras sobre assinaturas de revistas, etc.
Clicando em “Continue”, passamos para a seguinte tela:
Nesse ponto, eu notei que a senha original que seria liberada para que eu pudesse destravar o arquivo mp3 convertido do vídeo não foi mais mencionada. Parecia que a trilha que eu vinha seguindo não estava perto de terminar, e então eu fechei todos os sites e escrevi esse artigo, contando com que esse relato impeça outras pessoas de caírem em golpes semelhantes.
Mas qual é o prêmio dos scammers? Eles costumam adaptar continuamente suas plataformas de golpes para fazer novas vítimas, e esse caso não é exceção. Ao ganhar altos posicionamentos nas buscas através de técnicas de BlackHat SEO (BHSEO), sempre que um usuário clica nos links, seu posicionamento no ranking de popularidade, e o lucro associado, sobe. Mesmo que o usuário não caia na história do “conversor para mp3 gratuito” (recheado de malware), o site de scam ainda consegue gerar lucro simplesmente pelo tráfego.
E muitos usuários acreditam ter feito download de um player baseado em java, levando malware como bônus.
Recapitulando, esse scam (até o momento) tentou enviar conteúdo bloqueado pelo ESET Smart Security, executar ocultamente javascript em diversas páginas, coletar meu endereço de e-mail e dados pessoais, e me fazer confirmar que tenho mais de 18 anos, consentindo com todo o processo. Isso não soa muito como “gratuito”, e parece o começo de uma longa cadeia de atividade má intencionada. No final das contas, optei por adquirir uma música de uma loja virtual de mp3 confiável, deixando de lado a coleta de informações pessoais “gratuita”.
