55% dos domínios cybersquatted são maliciosos ou potencialmente fraudulentos
As maiores empresas online, como Apple e PayPal, e bancos estão sendo visados por cybersquatters, que também estão se aproveitando da pandemia, revelou um estudo.
Em um único mês, os cybersquatters registraram quase 14.000 nomes de domínio, mais da metade dos quais passaram a hospedar conteúdo malicioso ou provavelmente fraudulento, afirma a Palo Alto Networks em um relatório divulgado esta semana.
A empresa, que coletou informações sobre domínios recém-registrados em dezembro de 2019, encontrou 13.857 domínios classificados por seu software como cybersquatting com base em análise lexical. Nos oito meses seguintes, a empresa passou a observar como os registrantes usavam os domínios. Domínios registrados usando nomes semelhantes a grandes empresas de Internet ou bancos geralmente acabam como sites de phishing ou fraude, diz a empresa.
Domínios cybersquatted semelhantes a Apple.com, por exemplo, geram conteúdo malicioso em mais de 70% das vezes, afirma o relatório. Além disso, eventos importantes – como a pandemia de coronavírus – são usados como uma forma de atualizar o estábulo de domínios de um cybersquatter, diz Zhanhao Chen, pesquisador sênior da equipe de pesquisa da Unidade 42 da Palo Alto Networks.
“Em geral, os cibercriminosos estão sempre procurando oportunidades para gerar domínios ocupados a partir de tópicos de tendência”, diz ele. “Para tópicos globais como COVID-19, é mais provável que sejam combinados com domínios populares de grandes marcas para tentar enganar o máximo de usuários possível.”
A pirataria cibernética existe há quase tanto tempo quanto a Internet, originalmente como uma ferramenta de especuladores de domínio, mas nos tempos modernos mais provavelmente como uma ferramenta de fraudadores e cibercriminosos. Uma das técnicas mais comuns é o typosquatting, em que os registrantes criam variantes do domínio de uma marca com erros tipográficos comuns.
Outro método comum é combosquatting, no qual o invasor combina uma palavra comum – como “segurança” ou “pagamentos” – com a marca. Por exemplo, secure-wellsfargo [.] Org, um domínio cybersquatting usando a marca Wells Fargo, tinha como alvo os clientes do banco em uma tentativa de usar phishing para roubar informações confidenciais.
Na pesquisa da Palo Alto Networks , quase 19% dos 13.857 domínios ciberespaciais são classificados como “maliciosos”, tanto para distribuição de malware quanto para ataques de phishing. Outros 37% dos domínios cybersquatted são considerados “suspeitos”, o que inclui domínios que são questionáveis, parecem estar estacionados, têm conteúdo insuficiente ou hospedam software legalmente questionável.
Domínios combosquatted fizeram uso extensivo da pandemia de coronavírus, diz Chen da Palo Alto Networks.
“Para COVID-19 especificamente, observamos vários casos de ocupação aproveitando a pandemia”, diz ele. “Os cibercriminosos combinaram marcas registradas com palavras-chave como ‘covid19’ e ‘coronavirus’ para gerar domínios invasores e usuários fraudulentos.”
Os cybersquatters normalmente registram seus domínios por meio de registradores que têm políticas frouxas ou ferramentas de automação que permitem o registro em massa de domínios, de acordo com o relatório.
“O registrador mais abusado, Internet.bs, oferece serviços gratuitos preferidos por invasores de domínio, incluindo registro com proteção de privacidade e encaminhamento de URL”, afirma o relatório. “O segundo registrador mais abusado, Openprovider, oferece registros em massa baratos e fáceis, atraindo muitos registros ocupantes.”
Devido à proliferação de opções gratuitas para registros de certificados Secure Sockets Layer (SSL), os domínios de cybersquatting estão cada vez mais usando HTTPS, o que normalmente dá ao domínio um ar de respeitabilidade. A Palo Alto Networks descobriu que 18,5% dos domínios invasores maliciosos estão usando HTTPS. No entanto, os usuários não devem confiar em um domínio apenas porque a URL tem um ícone de cadeado ao lado, diz Chen.
“O cadeado verde não é suficiente”, diz ele. “A prática recomendada de segurança é confirmar se o nome de domínio no certificado é confiável.”
As empresas podem proteger seus domínios registrando variantes de seu domínio ou nome de empresa de forma proativa, levando em consideração erros de ortografia e erros de digitação comuns. Outras variantes do nome de domínio de uma empresa podem ser retiradas por meios legais. As empresas de segurança cibernética também oferecem serviços de monitoramento.
Do lado da segurança do usuário, as empresas devem treinar seus funcionários para reconhecer domínios suspeitos. Além disso, os filtros de domínio estão cada vez mais levando em consideração uma variedade de fatores, como a idade de um domínio e se é lexicamente semelhante a um nome de marca, para identificar melhor domínios potencialmente maliciosos ou fraudulentos.