Um novo tipo de golpe digital está preocupando especialistas em segurança: criminosos estão pagando ao Google para disparar e-mails fraudulentos por meio da própria plataforma de anúncios da empresa, fazendo com que as mensagens apareçam como conteúdo patrocinado e, portanto, mais confiáveis aos olhos das vítimas.
Segundo investigações recentes, os golpistas criam campanhas publicitárias no Google Ads e utilizam o serviço de anúncios para promover e-mails falsos que simulam comunicações legítimas. Um dos exemplos mais comuns é a falsa notificação dos Correios, informando o destinatário de que há um suposto pacote pendente de entrega.
A mensagem solicita que o usuário clique em um link para “confirmar dados” e, a partir daí, é induzido a fornecer informações sensíveis, como nome completo, endereço, CPF e até número de identidade — o que configura um golpe clássico de phishing com aparência de legitimidade.
O que torna a situação ainda mais grave é o fato de esses e-mails aparecerem com a etiqueta “Patrocinado”, o que normalmente é associado a conteúdos verificados, aumentando a confiança do destinatário. Embora o Google afirme que adota múltiplas camadas de proteção em seu sistema de anúncios, inclusive com análises humanas e automatizadas para detectar abusos, não está claro como os criminosos conseguiram burlar esses filtros.
O Google, em nota, disse estar investigando os casos reportados e reforçou que não permite anúncios que promovam práticas enganosas ou que visem roubo de informações pessoais. A empresa orienta os usuários a denunciar qualquer anúncio suspeito diretamente pela interface do Gmail ou por meio da Central de Ajuda.
Especialistas explicam que o ataque se aproveita de uma lacuna na moderação automatizada, que nem sempre detecta conteúdos maliciosos com aparência legítima. Como os anúncios pagos ganham prioridade nos serviços do Google, inclusive no Gmail e YouTube, os criminosos conseguem alcançar milhares de pessoas com poucos cliques, pagando relativamente pouco por isso.
A tática se torna ainda mais eficiente porque os domínios usados para enviar os e-mails muitas vezes passam por verificação SPF, DKIM e DMARC — técnicas utilizadas para validar a autenticidade do remetente. Isso faz com que muitos filtros anti-spam não detectem a ameaça como fraude.
Para os usuários, a orientação é redobrar a atenção com qualquer mensagem que solicite dados pessoais, mesmo que pareça ser de uma empresa conhecida ou venha com aparência profissional. Verificar o domínio do remetente, evitar clicar em links diretamente e nunca fornecer dados sem verificar a veracidade da solicitação são medidas básicas de autoproteção.
O caso destaca uma nova fase dos golpes digitais, onde criminosos usam ferramentas legítimas — como os próprios anúncios do Google — para enganar usuários, contornando bloqueios tradicionais e explorando a confiança na marca.
Você já recebeu um e-mail suspeito como esse? Conte nos comentários para alertar outras pessoas!
Fontes:
CNET, especialistas em cibersegurança, comunicado oficial do Google