Disponível também em:
Nosso time de pesquisa analisou a forma como as plataformas de jogo ilegal sequestram domínios governamentais no Brasil para manipular os resultados dos mecanismos de busca. Além disso, explicamos os riscos para o mercado regulamentado e até mesmo para a confiança do público em fontes governamentais, destacando soluções para evitar o cloaking.
O que é cloaking?
Na linguagem de SEO, cloaking é uma técnica para apresentar conteúdo clandestino sob domínios confiáveis. O objetivo é enganar os mecanismos de busca que não conseguem detectar se a página pertence realmente ao URL fornecido ou não.
Em outras palavras, cloaking interfere com os critérios dos mecanismos de busca ao impulsionar conteúdos ilícitos. Embora a fraude não seja detectada pelos motores de busca, o conteúdo é visível para os usuários nas páginas de resultados de pesquisa (SERPs).
Para maximizar o seu alcance, os operadores offshore também utilizam cloaking para esconder sites de apostas ilegais sob os domínios oficiais de agências governamentais ou câmaras municipais. Assim, os operadores licenciados que migraram para o domínio bet.br são afetados por esta prática maliciosa. Ao utilizar esta técnica de hacking, o conteúdo dos operadores offshore consegue classificar-se ao lado deles nas pesquisas, resultando numa série de desafios.
Em primeiro lugar, o cloaking abastece a concorrência antiética dos operadores offshore que não pagam impostos. Em segundo lugar, mantém a proliferação de sites ilegais de casinos online, aumentando o fardo da Secretaria de Prêmios e Apostas – SPA.
No entanto, as implicações sociais e políticas do cloaking são múltiplas. Por um lado, coloca os cidadãos em risco, especialmente os menores de idade. Depois de clicarem em links aparentemente confiáveis, os clientes são atraídos para casinos offshore que não respeitam os princípios do jogo responsável, entre muitos outros. Por outro lado, o cloaking tem o potencial de afligir a confiança do público nas fontes governamentais.
Portanto, este estudo aborda os métodos utilizados pelos hackers e os danos que causam ao mercado regulamentado, focando simultaneamente nas medidas de luta contra o cloaking.
Como o cloaking afeta o mercado regulado
De acordo com a pesquisa de experiência do usuário da ENV Media, as 13 principais marcas brasileiras licenciadas destacam-se pelo registo rápido e fácil, verificações KYC eficazes e políticas de Jogo Responsável.
Fonte: Jornada do Usuário em Casinos Online e Sites de Apostas Esportivas – ENV Media
Ao contrário dos operadores offshore, as marcas de jogo licenciadas cumprem com a regulamentação, fornecem transações seguras, bem como depósitos e saques instantâneos, interfaces amigáveis e uma vasta gama de jogos certificados.
No entanto, o mercado regulamentado continua a ser constantemente atacado pelas táticas espúrias dos operadores ilegais. O cloaking é uma delas.
Uma vez que uma autoridade de domínio elevada conduz a melhores posições nas SERPs, os websites governamentais são frequentemente visados pelos operadores offshore devido à sua relevância. Assim, o conteúdo camuflado consegue classificar-se nos resultados das primeiras páginas, o que, de outra forma, exigiria grandes investimentos e conhecimentos em técnicas de otimização para motores de busca (SEO).
Uma boa prática de SEO, por sua vez, significa cumprir as políticas de conteúdo do Google. Implica também fornecer fontes relevantes e confiáveis para as pesquisas. Pelo contrário, os hackers incluem palavras-chave de casinos e de apostas esportivas nos seus conteúdos ocultos e até os nomes das marcas licenciadas para promover os seus sites ilegais.
Abaixo, uma captura de tela tirada em 28 de março de 2025 mostra um resultado de busca para um cassino ilegal colocado sob o domínio da prestigiada Universidade Federal de Pernambuco. Aparecia na primeira página de resultados de pesquisa do Google para a popular palavra-chave “Tigrinho”, que é como os brasileiros apelidaram o jogo de slot Fortune Tiger:
Fonte: Google SERP para a palavra-chave ‘Tigrinho’ (Tigre da sorte)
Quando se clica no próprio domínio, e não no resultado de busca, o site da universidade está em manutenção. Mas mesmo que estivesse totalmente funcional, não poderia hospedar oficialmente a página camuflada descrita no snippet, que redireciona para outro site.
Fonte: Site da Universidade Federal de Pernambuco.
Assim, um clique no resultado de busca levou a uma plataforma offshore que prometia pagamento em troca do registro, mais uma vez, violando gravemente a lei.
Fonte: Google SERP para a palavra-chave ‘Tigrinho’ (Tigre da sorte)
Numa escala de 0 a 100, o Domain Rating é uma das principais métricas em SEO. O DR avalia a reputação de um website em termos de backlinks. Portanto, mede a autoridade do site com base no número de vezes que o seu conteúdo é ligado a outros sites de qualidade. Como o DR valoriza a qualidade e a relevância, o Google penaliza os sites que utilizam esquemas de hiperligações pagas. Os sites que violam estas políticas são relegados para as últimas páginas de resultados, perdendo visibilidade.
Em contrapartida, os sites considerados confiáveis pelos sistemas automatizados do Google, incluindo os seus bots e algoritmos de classificação, têm mais probabilidades de ficar em primeiro lugar no SERP. Assim, os websites governamentais são visados pelo seu elevado DR. A título de exemplo, analisamos o DR do website da Universidade Federal de Pernambuco com o Ahfrefs. O website da universidade ficou classificado em 76º lugar, com 5,3 milhões de backlinks:
Fonte: Ahrefs
Ao analisar o link camuflado https://www.ufpe.br/tigrinho:-nova-funcionalidade-de-apostas/g0000109n2.htm , vemos que está também em 76º lugar devido à sua presença ilícita no domínio da instituição.
Fonte: Ahrefs
Além disso, quando utilizamos o Moz Authority Checker para analisar as palavras-chave mais utilizadas relacionadas com a universidade, os resultados foram surpreendentes. Apenas 2 palavras-chave específicas de cassinos foram responsáveis por 3.950 pesquisas, em comparação com apenas 120 pesquisas de palavras-chave relacionadas com o meio acadêmico.
Fonte: Moz Authority Checker
A atividade de cloaking é tão intensa que, se juntarmos a sigla UFPE à palavra-chave Tigrinho, o Google apresenta 20 resultados nos 2 primeiros SERPS:
Fonte: SERP do Google para as palavras-chave ‘Tigrinho + UFPE’
Para ilustrar melhor o problema, as pesquisas pela palavra-chave Tigrinho (azul) também atingiram um pico no dia 28 de março, ultrapassando o interesse pelas palavras-chave Tigrinho Game (vermelho) e Fortune Tiger (amarelo).
Fonte: Google Trends, março de 2025
Embora o cloaking viole a política de spam do Google e esteja sujeita a ser removida dos resultados de pesquisa, o fato é que os domínios camuflados, tal como os próprios sites de apostas ilegais, se espalham como um incêndio.
Em 2023, a Google comunicou o bloqueio ou a remoção de mais de 5,5 mil milhões de anúncios por violação das suas políticas a nível mundial. Supondo que pelo menos 1% a 2% desse total se devesse ao cloaking, isso teria sido responsável por cerca de 55 a 110 milhões de anúncios removidos.
Mas dado que o Google tem lutado contra o cloaking aproximadamente desde 2016, é improvável que desapareça tão cedo.
Como o cloaking funciona?
Tal como acontece com qualquer outro tipo de malware, os hackers exploram as falhas de cibersegurança para camuflar os URLs. Estas incluem plugins desatualizados em sistemas de gestão de conteúdos como o WordPress, palavras-passe de administrador fracas ou servidores não corrigidos – computadores que não foram atualizados com as últimas correções de segurança.
Uma vez dentro do sistema, o próximo passo é criar um novo arquivo ou subpágina no servidor do domínio. Por exemplo, usando um domínio fictício, esse arquivo ficaria assim: http://www. universidade.edu.br/wp-content/uploads/casino-bonus.php.
Em seguida, os hackers podem executar um script php que mostra anúncios de cassino aos bots dos motores de busca enquanto redirecionam os usuários para um domínio diferente. Estes scripts podem parecer tão básicos como os ilustrados abaixo:
Php, que significa Hypertext Preprocessor, é uma linguagem de programação para a construção de websites dinâmicos. É utilizada para permitir que o sistema decida qual conteúdo é apresentado a diferentes tipos de visitantes quando clicam na página index.php.
Outra forma que hackers utilizam para sequestrar links é hospedar arquivos APK ou links para os seus sites suspeitos em pastas de subdomínios públicos. Eles também podem utilizar outras linguagens de programação – como o Javascript – para ativar os redirecionamentos ou inserir as palavras-chave nas páginas HTML.
É importante realçar a diferença entre o cloaking em PHP e em Javascript. O cloaking em PHP funciona no lado do servidor, o que significa que os hackers manipulam a estrutura do link antes de chegar ao browser dos usuários, tornando menos óbvio para os usuários e para as ferramentas de segurança identificar o sequestro.
O Javascript, por outro lado, funciona do lado do usuário. Altera dinamicamente o conteúdo mostrado aos usuários, mas não o esconde do servidor, o que significa que o cliente pode ser eventualmente redirecionado para o link sequestrado, dependendo das suas ações.
Para atrair os usuários, os passos são os seguintes:
- Identificar se o visitante é um humano ou um bot.
- Redirecionamento de pessoas para sites de casino offshore.
Assim, enquanto os rastreadores dos mecanismos de busca, como o Googlebot, vêem uma página hospedada em um domínio de alta autoridade, os usuários humanos vêem os sites de casino ilegais.
Como o Google também oferece vídeos como resultados de pesquisa, os anúncios de jogos ilegais se disfarçam de vídeos em domínios oficiais como alternativa para ficarem em primeiro lugar.
Os municípios de Santo André (São Paulo) e Vitória (Espírito Santo) estão entre os visados. Em seguida, estão instituições federais como o Instituto do Patrimônio Histórico e Artístico Nacional (IPHAN), o Instituto Chico Mendes de Conservação da Biodiversidade (ICMbio) e o Instituto Federal de Educação, Ciência e Tecnologia do Sul do Rio Grande do Sul (IFSUL).
Fonte: SERP dos vídeos do Google para a palavra-chave ‘Tigrinho’ (Fortune Tiger)
No entanto, ao clicar na miniatura de um vídeo falso, alegadamente publicado pelo município de Santo André, os usuáeios não serão direcionados para o YouTube, mas para um casino ilegal que ainda não foi bloqueado pela SPA.
Felizmente, para além de informar o Google, existem medidas de cibersegurança que podem impedir que um domínio seja camuflado por criminosos.
Táticas para combater o cloaking
Enquanto algumas instituições continuam a lutar e a redirecionar para plataformas ilegais, o IPHAN, por seu lado, conseguiu bloquear os links ilícitas da seguinte forma:
Fonte: SERP de vídeo do Google para a palavra-chave “Tigrinho” e sítio Web do IPHAN.
Como se pode deduzir das capturas de tela, seja por meio de monitoramento ou de denúncias públicas, o IPHAN detectou e removeu as páginas camufladas, que agora devolvem um erro HTTP 404.
No entanto, como não há conteúdo para ser encontrado nem por humanos nem por bots, o Google acabará por remover a página dos seus SERPs.
Para aprofundar as ações de cibersegurança capazes de impedir o cloaking, nosso time de pesquisa compilou um conjunto de ações, conforme descrito abaixo:
| Medida de cibersegurança | Descrição |
| Manter os sistemas atualizados | Atualização regular de plug-ins, temas e software CMS. |
| Monitoramento da integridade dos arquivos | Monitoramento de alterações suspeitas de arquivos ou do aparecimento de novos scripts .php ou .js. |
| Monitoramento do tráfego e dos registros | Revisão dos registros de acesso para detectar comportamentos suspeitos, manipulação do user-agent ou acesso a URL camuflados. |
| Procura de cloaking | Comparação do conteúdo apresentado a humanos e bots, verificando as disparidades de SEO. |
| Restringir o carregamento de arquivos | Restringir o carregamento de diretórios e tipos de arquivos, bloqueando arquivos .exe, a menos que sejam totalmente autenticados. |
| Verificação de malware do lado do servidor | Verificação regular de webshells, conteúdos camuflados e malware. |
| Monitoramento do Console de Pesquisa do Google | Acompanhamento de imprecisões na indexação, palavras-chave suspeitas e relatórios de ações manuais. |
| Implementação de políticas de segurança de conteúdos | Adição de cabeçalhos para restringir as fontes de scripting e verificar a integridade dos recursos carregados. |
| Bloqueio de .htaccess e redirecionamentos | Monitorar e restringir as alterações das regras de redirecionamento, especialmente as condições do user-agent. |
| Instalação de um firewall de aplicações web (WAF) | Empregar serviços de segurança para bloquear tentativas de cloaking com base no comportamento. |
| Revisão de código de terceiros | Rever regularmente o comportamento dos anúncios, análises e scripts incorporados. |
Sem esquecer o uso de aplicativos de gerenciamento de senhas para aumentar a segurança, o monitoramento constante é, portanto, fundamental para evitar que domínios sejam sequestrados.
Envolvendo as autoridades brasileiras na luta contra o cloaking
Obviamente, todas as empresas do planeta precisam assegurar uma presença online para prosperar. Para isso, as empresas precisam compreender não só os critérios de classificação dos mecanismos de busca e das redes sociais, mas também as políticas de segurança. O mesmo acontece com as agências e instituições governamentais.
No entanto, tal como acontece com a fraude de identidade que visa marcas e produtos bem conhecidos online, as agências federais e os municípios também são vítimas de práticas maliciosas. No caso aqui analisado, por plataformas de jogo offshore que procuram obter lucros desonestos.
Com o objetivo de coordenar ações, gerenciar riscos e fortalecer a resiliência nos setores público e privado, o Decreto nº 11.856/2023 criou a Política Nacional de Segurança Cibernética (PNCiber) e o Comitê Nacional de Segurança Cibernética (CNCiber).
No entanto, no que diz respeito ao cloaking, ainda falta uma política coerente de cibersegurança para as autoridades públicas a nível federal e local, tanto para proteger os cidadãos como para criar condições de concorrência equitativas para os operadores licenciados.
O cloaking tem implicações sociais, econômicas e políticas desastrosas. Além de distorcer a concorrência e minar a confiança pública, compromete a viabilidade de um mercado regulamentado e contribuinte que atua dentro das regras.
Portanto, é de extrema importância que sejam feitos esforços a nível federal, estatal e local para detectar domínios oficiais camuflados que conduzam a plataformas de jogo offshore.
Em combinação com as medidas adotadas pela SPA para sufocar as operações dos casinos offshore no Brasil, a convergência de esforços a todos os níveis da administração pública poderia maximizar as estratégias globais contra a ilegalidade.
