Black Hat SEO em sites de órgãos públicos

Muitos sites de órgãos públicos vêm sendo invadidos e usados para promover links de apostas online, por meio de uma técnica conhecida como Black Hat SEO. Esse termo foi destacado pelo pesquisador Ismael Deus Marques em matéria da DW, onde explica como os invasores adicionam páginas ocultas nos domínios governamentais. Quando alguém encontra essas páginas pelo Google, é redirecionado para sites de apostas; mas, se acessadas diretamente, elas mostram um erro 404, dificultando a detecção.

Uma análise feita em janeiro de 2025 identificou centenas de sites infectados. Dentre eles, 57,1% eram de órgãos municipais, 17,1% de órgãos federais e 11,4% de órgãos estaduais, além de 14,3% classificados em “outros”. Em relação à linguagem de programação, 81,8% usavam PHP (e 25% ainda em versões antigas, como PHP 5), 6,1% rodavam em ASP.NET Classic, 3% em ASP.NET moderno e 9,1% em Java. Nos servidores, o Apache liderou com 58,8%, seguido por IIS (23,5%), LiteSpeed (8,8%), Tomcat (5,9%) e Nginx (2,9%). As informações vieram de ferramentas como WhatCMS.org, que examinou os cabeçalhos (headers) e tecnologias dos sites, e de dados gerais do W3Techs, que confirmam o PHP como a linguagem mais usada na web.

O interesse econômico por trás desse esquema é claro: quando o internauta acessa o link e faz qualquer ação no site de apostas, o invasor provavelmente ganha dinheiro de afiliado. Não se sabe ao certo se as próprias casas de apostas organizam essas ações ou se hackers individuais aproveitam para lucrar.

Para mitigar esse problema, é fundamental atualizar versões de linguagens e sistemas, revisar configurações de servidor, aplicar ferramentas de segurança (como WAF) e promover auditorias regulares. Também é importante treinar equipes de TI em boas práticas de desenvolvimento e implementação de novas versões, pois muitos ataques exploram brechas já conhecidas em softwares desatualizados. Sem essas medidas, a credibilidade dos órgãos públicos continua vulnerável, e o prejuízo chega tanto ao usuário final quanto à imagem das instituições.