SEO poisoning e casas de apostas ilegais que sequestram gov.br: evidências, análise técnica e recomendações

SEO BlackHat
,
1

Análise técnica documentando como campanhas de SEO poisoning exploraram e exploram ainda hoje subdomínios e servidores brasileiros, ranqueiam no Google e redirecionaram tráfego para casas de apostas não regulamentadas. Inclui prints de SEMrush, captura da SERP e do site alvo, análise forense e recomendações práticas.

1536×1024 296 KB

O que é SEO poisoning?

SEO poisoning é a manipulação maliciosa dos resultados de busca para promover páginas que não deveriam ranquear.
Essas páginas atraem usuários com keywords em alta e, ao serem acessadas, redirecionam para malware, phishing ou plataformas ilegais.

Técnicas comuns:

  • Cloaking: Googlebot vê um conteúdo “limpo”, o usuário real vê outro.

  • Domínios e subdomínios comprometidos: injeção de páginas falsas em sites legítimos.

  • Automação/IA: geração em massa de conteúdo otimizado.

  • Redirect chains: múltiplos saltos até chegar ao destino final.

Como casas de apostas ilegais exploram essa técnica

Em 2025, diversas investigações mostraram que subdomínios de gov.br e outros sites de autoridade foram usados para:

  1. Ranquear rápido para termos como “apostas futebol ao vivo” e “cassino bônus grátis”.

  2. Ganhar confiança por estarem hospedados em domínios oficiais.

  3. Redirecionar usuários em cadeias de 2 a 4 saltos até plataformas ilegais.

Evidências coletadas

Busca: Betano Login

Resultado para busca: Betano Login - Print tirada dia 02/10/2025 às 22:45
Resultado para busca: Betano Login - Print tirada dia 02/10/2025 às 22:45692×862 92.1 KB

O segundo, quarto e quinto resultados são de sites invadidos.

portalsei.recife.pe.gov.br, prontuario.unilab.edu.br e pse.ufv.br respectivamente.

O site final é yy123go.com

Site final do conteúdo invadido - Print tirada dia 02/10/2025 às 22:50
Site final do conteúdo invadido - Print tirada dia 02/10/2025 às 22:50518×915 72.1 KB

O crescimento do site invadido segundo as ferramentas de análises

Segundo o semrush, o tráfego do domínio em questão - prontuario.unilab.edu.br - deu um salto para aproximadamente de 1 milhão e 700 mil acessos de agosto até o dia atual da imagem.

Print do SEMrush mostrando salto enorme no tráfego orgânico após injeção de páginas falsas com redirecionamento. Print tirada de SEMRUSH no dia 02/10/2025 às 22:53
Print do SEMrush mostrando salto enorme no tráfego orgânico após injeção de páginas falsas com redirecionamento. Print tirada de SEMRUSH no dia 02/10/2025 às 22:531065×482 37.5 KB

As palavras são randômicas, como o dominio tem grande autoridade perante o algoritmo do Google, ranqueiam rapidamente na primeira página e na maioria das vezes no primeiro lugar. Termos ligados ao futebol que convertem para casas de apostas são mais usados, porém muitas keywords do nicho pornográfico são usadas para reter ainda mais tráfego. Abaixo uma imagem demonstrando apenas 9 das mais de 8 mil variações de palavras chaves usadas pelo invasor no site em estudo.

Palavras ranqueadas no Google com do dominio prontuario.unilab.edu.br - Print tirada de SEMRUSH no dia 02/10/2025 às 22:55
Palavras ranqueadas no Google com do dominio prontuario.unilab.edu.br - Print tirada de SEMRUSH no dia 02/10/2025 às 22:551527×789 115 KB

Isso demonstra diversas fragilidades, seja do algoritmo do Google como do site alvo que leva o usuário até uma página onde pode supostamente sofrer um golpe, já que são casas fora do Brasil e não legalizadas em dominios de internet descartáveis.

SIMILARWEB - Informações sobre o tráfego final do site invasor - 02/10/2025 às 23:10
SIMILARWEB - Informações sobre o tráfego final do site invasor - 02/10/2025 às 23:10439×491 17.1 KB

O dominio final usado para a prática de invasão teve um salto de 0 para algo próximo de 660 mil acessos mensais até agosto (calculado pelo Similarweb) com a permanência média de 4 minutos e 12 segundos, o que é uma taxa muito alta que pode ser o tempo de cadastro do usuário até acontecerem as apostas.

Obs: as outras ferramentas não conseguiram estimar o tráfego por terem os bots bloqueados (semrush, ahrefs e moz).

Como os invasores fazem?

  • Ganho orgânico repentino para centenas de keywords.

  • Uso de domínios de alta reputação como trampolim.

  • Redirects escondidos em cadeias para mascarar a origem.

  • Cloaking sofisticado, dificultando remoção por buscadores.

  • Conteúdo massivo, otimizado para “aposta”, “cassino” e termos de alto CPC.

Impactos

Para usuários

  • Perda financeira em plataformas ilegais.

  • Risco de malware e roubo de dados.

Para instituições

  • Queda na confiança da população em sites oficiais.

  • Custos elevados de mitigação.

Para o ecossistema digital

  • Poluição dos resultados do Google.

  • Concorrência desleal com casas de apostas regulamentadas e diversos outros segmentos por usarem milhares de palavras-chaves variadas.

Recomendação e mitigação

  1. Preservar evidências: capturar HTML, headers e zone files.

  2. Auditar subdomínios: identificar criação não autorizada.

  3. Revisar credenciais e DNS: trocar senhas e habilitar MFA.

  4. Monitorar indexação no Google: alertas para páginas estranhas.

  5. Notificar buscadores e autoridades: acelerar takedown.

  6. Educar usuários: alertar sobre checagem de sites de apostas regulamentados ou qualquer outro golpe online.

Considerações finais

A análise das evidências (SEMrush, SERP e página alvo) mostra que campanhas de SEO poisoning atingiram escala nacional, explorando a confiança nos domínios gov.br, edu.br e demais TLD’s confiráveis.
O problema não é apenas técnico: ele afeta diretamente a credibilidade do Estado e a segurança do cidadão.
A resposta exige ação coordenada entre governo, provedores de busca, especialistas em SEO e equipes de segurança cibernética.

Se você chegou até aqui, agradeço. Não se esqueça de se cadastrar no fórum e deixar seu comentário.