News · Ações judiciais da Meta sobre cloaking visam a diferença entre o que os bots de revisão veem e o que os utilizadores veem
Ações judiciais da Meta sobre cloaking visam a diferença entre o que os bots de revisão veem e o que os utilizadores veem
A Meta processou quatro anunciantes e alertou oito consultores de marketing, mas o núcleo técnico do caso é o cloaking — apresentar uma página aos revisores de anúncios e outra às pessoas reais.
O que a Meta apresentou e emitiu, em concreto
A Meta apresentou ações judiciais contra quatro anunciantes fraudulentos e emitiu notificações de cessação a oito antigos Meta Business Partners. Os réus são identificados: os brasileiros Vitor Lourenço de Souza e Milena Luciani Sanchez, a operação Brites Corp com os respetivos responsáveis nomeados, a chinesa Shenzhen Yunzheng Technology, e o vietnamita Lý Văn Lâm.
Além das ações judiciais, a Meta descreve medidas técnicas já tomadas contra estas contas: suspensão de métodos de pagamento, desativação de contas associadas, bloqueio dos domínios fraudulentos e partilha desses dados com parceiros do sector. As ações legais somam-se a uma aplicação que já estava em curso, não a substituem.
O cloaking é um problema de frontend
O fio mais interessante do ponto de vista técnico é o cloaking. A Meta descreve-o de forma clara: uma página ligada a um anúncio mostra uma versão do seu conteúdo ao sistema de revisão de anúncios da Meta e uma versão diferente aos utilizadores reais. Trata-se de renderização condicional definida por quem — ou o quê — está a pedir a página.
Este é um ataque ao nível do frontend e da camada de entrega, não uma falha de moderação de conteúdo. A página fraudulenta consegue passar a revisão porque ao revisor, humano ou automatizado, é servida uma variante limpa. A distinção assenta normalmente em sinais do pedido — user agent, intervalo de IP, geografia, referrer, timing — que permitem ao servidor decidir que conteúdo devolver.
O caso do Vietname mostra o que a variante fraudulenta fazia: os anúncios ofereciam artigos com grandes descontos de marcas como a Longchamp em troca do preenchimento de um inquérito, redirecionando depois as pessoas para sites que recolhiam dados de cartões de crédito e impunham cobranças recorrentes não autorizadas — fraude por subscrição sobreposta ao cloaking.
Porque é que a deteção por AI se dirige aos redirecionamentos, e não apenas às imagens
A Meta afirma que as suas ferramentas mais recentes usam AI para analisar o cloaking e detetar melhor anúncios que redirecionam para sites nocivos, permitindo rejeitar anúncios mais rapidamente e agir com maior celeridade sobre denúncias de utilizadores. Este enquadramento é relevante: o alvo é o redirecionamento e a divergência entre as versões servidas, não apenas a criatividade do anúncio em si.
Isto reflete a realidade do ataque. Uma criatividade pode ser idêntica em ambas as variantes; a fraude reside no destino real do clique e no que esse destino serve a um browser real. A deteção tem de raciocinar sobre o comportamento no momento do pedido, e é por isso que a mesma técnica que engana uma revisão estática é precisamente aquilo a que as ferramentas de AI estão agora a ser apontadas.
A Longchamp tem uma política de tolerância zero e investe recursos significativos no combate a atividades ilícitas — como a contrafação ou a fraude que utilizam a nossa marca — offline e online. Para que este combate seja eficaz, precisamos de contar com a cooperação ativa de todas as partes interessadas, incluindo os intermediários. Estamos satisfeitos por a Meta agir e demonstrar essa cooperação.Montana Labs
O ecossistema de parceiros é o alvo mais vulnerável
As notificações de cessação expõem uma segunda superfície de ataque: oito antigos Meta Business Partners que vendiam serviços abusivos — falsas ofertas de 'desbloqueio' e restauro de contas, e o aluguer de acesso a contas de confiança para que os clientes pudessem escapar à aplicação das regras. Alugar uma conta de confiança é uma forma de herdar reputação que contorna o escrutínio aplicado a contas novas.
A resposta anunciada pela Meta é rever o seu ecossistema de Business Partners e reforçar a triagem para a aprovação dessas parcerias. Trata-se de uma admissão de que a confiança concedida aos parceiros estava, ela própria, a ser monetizada contra o sistema.
O que isto significa para as equipas que gerem pipelines de revisão
A lição concreta deste anúncio é que a revisão automatizada só é tão boa quanto a sua resistência a ser identificada. Se o agente de revisão — humano ou modelo — puder ser identificado pelo servidor de destino, pode-lhe ser mostrada uma página em conformidade enquanto todos os outros recebem o conteúdo fraudulento. Qualquer pipeline que valide um URL uma única vez, no momento da submissão, a partir de um intervalo de infraestrutura conhecido, é vulnerável exatamente ao tipo de cloaking que a Meta está agora a levar a tribunal.
As contramedidas da Meta — apontar a AI ao comportamento dos redirecionamentos, cruzar informação com denúncias de utilizadores e partilhar indicadores com parceiros para que os mesmos domínios sejam bloqueados noutros locais — descrevem um modelo de revisão que observa o destino real ao longo do tempo, em vez de confiar num único acesso limpo. Esta é a mudança de conceção que vale a pena adotar: tratar o artefacto revisado e o artefacto entregue como potencialmente diferentes, e verificar aquele que os utilizadores efetivamente recebem.
Find this story relevant to you?
Contact us to find a unique solution
Precisa de um parceiro de engenharia de IA que saiba executar?
Ajudamos equipas em Portugal a integrar IA em produtos, automatizar processos de alto valor e modernizar os sistemas que suportam o negocio.
Leitura relacionada
Mais análises sobre entrega de produto, AI operacional e o trabalho de sistemas que faz com que a implementação funcione na prática.