Uma investigação da empresa de segurança HUMAN revelou uma elaborada operação de fraude digital denominada Scallywave, que explorava plugins do WordPress para lucrar com impressões falsas de anúncios. Essa rede operava por meio de sites voltados à pirataria e serviços de encurtamento de URL, movimentando um impressionante volume de 1,4 bilhão de solicitações publicitárias fraudulentas diariamente em seu auge.
Rede de fraude digital movimentava bilhões de anúncios falsos diariamente
A HUMAN identificou e monitorou uma malha de 407 domínios interligados, responsáveis por sustentar a infraestrutura dessa fraude em larga escala. Graças às ações de bloqueio e denúncia da empresa, o tráfego relacionado à Scallywave caiu em 95%, embora os criminosos tenham mostrado habilidade para se adaptar rapidamente e tentar manter a operação ativa.
Fraude como serviço com plugins especializados
O núcleo da Scallywave gira em torno de quatro plugins maliciosos desenvolvidos para WordPress: Soralink (2016), Yu Idea (2017), WPSafeLink (2020) e Droplink (2022). Esses complementos permitiam que operadores mal-intencionados transformassem domínios de baixa reputação — como sites de pirataria — em fontes de lucro baseado em visualizações publicitárias falsas.
Os plugins eram adquiridos por diferentes agentes de ameaça, muitos dos quais compartilhavam tutoriais públicos, inclusive no YouTube, explicando como reproduzir o esquema. O Droplink, por exemplo, era distribuído gratuitamente, exigindo apenas que o usuário completasse tarefas que geravam lucros para os desenvolvedores.
Como o golpe operava
O golpe tinha início quando usuários acessavam sites de pirataria para buscar filmes ou softwares premium. Ao clicarem em links encurtados, eram redirecionados para páginas intermediárias criadas com os plugins da Scallywave. Essas páginas exibiam anúncios, forçavam a interação com CAPTCHAs ou temporizadores, e utilizavam técnicas de camuflagem para burlar os filtros de verificação das plataformas de anúncios.
Mesmo que os sites de origem não fossem operados pelos mesmos fraudadores, muitos participavam de uma “parceria cinza”, cedendo tráfego em troca de participação na monetização.
Detecção e desmonte da rede
A HUMAN identificou padrões suspeitos, como o elevado número de impressões vindo de blogs aparentemente legítimos, e detectou comportamentos como redirecionamentos automáticos e interação forçada com conteúdo publicitário. Ao classificar a rede como fraudulenta, a empresa colaborou com plataformas de anúncios para interromper os lances automáticos, quebrando a cadeia de lucros da operação.
Em resposta, os agentes da Scallywave tentaram driblar a detecção trocando domínios e manipulando cadeias de redirecionamento. No entanto, novas tentativas também foram bloqueadas.
Queda e perspectivas futuras
A ação coordenada da HUMAN e parceiros reduziu o volume diário de fraudes de 1,4 bilhão para números residuais. Muitos dos participantes abandonaram o esquema, migrando para outros métodos de monetização ilícita. Ainda assim, especialistas alertam que os operadores podem tentar ressurgir com abordagens mais sofisticadas e difíceis de rastrear.