O que é sequestro de domínio?

Quando um invasor sequestra um domínio, o proprietário não tem mais controle sobre o conteúdo do site, e-mail, ou quaisquer outros serviços de aplicativos que dependam do nome de domínio.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir sequestro de domínio
  • Explicar como ocorre o sequestro de domínio
  • Diferenciar entre sequestro de domínio, sequestro de DNS e falsificação de domínio
  • Entender formas de se proteger contra o sequestro de nome de domínio

Copiar o link do artigo

O que é sequestro de domínio?

O sequestro de domínio ocorre quando um invasor assume o controle de um nome de domínio, normalmente por meio de engenharia social. Um nome de domínio é o endereço único e fácil de lembrar usado para conectar usuários a sites, sendo a base sobre a qual a identidade pública de uma organização na internet é construída.

Quando um invasor sequestra um domínio com sucesso, o proprietário legítimo perde o controle sobre todos os seus muitos serviços vinculados ao domínio. Isso inclui conteúdo de site , e-mail corporativo, call centers VoIP, serviços de armazenamento em nuvem e outros aplicativos associados ao domínio. Isso torna o sequestro de nomes de domínio uma das maiores ameaças on-line à marca, à receita e à reputação de uma pessoa.

Como funcionam os domínios?

Os nomes de domínio facilitam o acesso aos sites sem que seja preciso lembrar endereços de IP alfanuméricos. Os nomes de domínio são correspondidos aos endereços de IP graças ao Domain Name System (DNS), que atua como a lista telefônica da internet.

Os domínios são estabelecidos por meio de registradores de nome de domínio. Quando se trata de obter um domínio, há dois players principais: registradores e registros. Pense nos registros (como a VeriSign) como atacadistas e nos registradores como varejistas. Os registros possuem o banco de dados de todos os domínios registrados dentro de um TLD. Eles delegam a reserva de nomes de domínio disponíveis para registradores. Por sua vez, os registradores, existem milhares, "vendem" (ou melhor, alugam) nomes de domínio para usuários finais por um determinado período de tempo.

Os nomes de domínio são compostos de duas ou três partes, cada uma separada por um ponto. Quando lidos da direita para a esquerda, os identificadores nos nomes de domínio vão do mais geral ao mais específico:

  • A seção à direita do último ponto em um nome de domínio é o domínio de nível superior (TLD). Exemplos de TLDs incluem ".com", ".net", ".co", ".uk", e ".in".
  • À esquerda do TLD está o domínio de segundo nível (2LD) e se houver algo à esquerda do 2LD, é chamado de domínio de terceiro nível (3LD).
Exemplos de TLD, 2LD e 3LD em um nome de domínio

Para ajudar a evitar modificações não autorizadas de nomes de domínio, os proprietários de domínios podem aplicar bloqueios de "cliente" (bloqueios de registrador) por meio de seu registrador. Os registros aplicam bloqueios de “servidor”, também conhecidos como bloqueios de registro. No entanto, se um invasor obtiver o acesso adequado à conta, poderá remover bloqueios de domínio e fazer alterações não autorizadas no registrador.

Como ocorre o sequestro de domínio?

Existem muitas maneiras de um domínio ser sequestrado. Por exemplo:

  • Engenharia social e esquemas de phishing : em termos gerais, a engenharia social é qualquer ataque que induza as pessoas a fornecer informações confidenciais. Por exemplo, um invasor envia à vítima pretendida um e-mail de phishing de aparência legítima que parece ser do registrador. O destinatário clica em um dos links do e-mail, pensando que isso o levará ao site do registrador, mas na verdade ele o direciona para um domínio falsificado projetado para roubar suas credenciais de login do registrador.
  • Exploração de domínios inativos ou expirando: a maioria dos nomes de domínio só pode ser registrada por até 10 anos de cada vez. É responsabilidade do registrador alertar seus clientes quando seus domínios estiverem prestes a expirar. Entretanto, se o usuário final não renovar adequadamente seu domínio (ou não conseguir descomissionar o domínio adequadamente), um invasor pode comprar e explorar o domínio.
  • Violações de registradores: os invasores também podem explorar vulnerabilidades de registradores. Por exemplo, quando a Squarespace estava no meio da migração de cerca de 10 milhões de nomes de domínio do Google Domains, os invasores exploraram uma falha que lhes permitiu assumir o controle de contas e modificar os registros de DNS (especificamente os de certas empresas de criptomoedas e blockchain). Em seguida, os invasores redirecionaram os visitantes para sites de phishing que tentavam roubar tokens e outras moedas digitais.
  • Chaves de API comprometidas: chaves de API e outros tokens de autenticação são projetados para permitir que aplicativos acessem contas on-line, como determinados serviços de domínio, por meio de uma API. Se essas chaves forem expostas ou vazadas acidentalmente, elas podem fornecer acesso à conta do registrador de uma organização.

Qual é o impacto do sequestro de domínio?

Após um domínio ter sido comprometido com sucesso, os invasores podem interromper uma infinidade de operações na web . Por exemplo, eles podem:

  • Alterar o conteúdo do site original
  • Redirecionar os visitantes para um site diferente e malicioso
  • Desviar pagamentos on-line para contas controladas por invasores
  • Enviar e-mails de spam e phishing a partir do servidor de e-mail do domínio
  • Ler e-mails confidenciais enviados para caixas de entrada corporativas
  • Alterar as chamadas de API para interromper os aplicativos móveis e outros serviços digitais de uma organização.

É simples transferir domínios entre registradores, mas é muito difícil recuperar um domínio roubado. Isso pode levar semanas ou até meses. Pode até ser que uma ação legal seja necessária. Parte do que torna isso tão difícil é que a documentação adequada pode estar em sistemas (como o e-mail corporativo) que o proprietário original do domínio não pode mais acessar. O domínio pode ser recuperado em poucos dias, ou o proprietário original (legítimo) pode nunca recuperar o domínio roubado.

Independentemente do resultado, um domínio sequestrado pode levar a sérias consequências financeiras, de reputação e até mesmo regulatórias.

Sequestro de domínio versus falsificação de domínio

No sequestro de domínio, o invasor rouba o nome de domínio legitimamente registrado. A falsificação de domínio ocorre quando os cibercriminosos criam um site ou domínio de e-mail falso para tentar enganar os usuários, como um vigarista que mostra a alguém credenciais falsas para ganhar sua confiança. Os invasores não precisam assumir o controle de uma conta de registrador para falsificar um domínio.

Sequestro de domínio versus sequestro de DNS

O sequestro de domínio, que compromete o próprio domínio, é diferente do sequestro de DNS (também conhecido como envenenamento de DNS ). No sequestro de DNS, um invasor tem como alvo o registro de DNS do site no nameserver.

Os registros de nameservers basicamente dizem à internet onde encontrar o endereço de IP de um domínio. Se os registros de nameserver forem configurados incorretamente (ou seja, “envenenados”), os invasores poderão desviar as consultas para um nameserver de domínio diferente. Em vez de carregar o site ou aplicativo correto, por exemplo, o tráfego do usuário pode ser desviado para um destino que é uma réplica do site original, mas distribui malware.

Como prevenir o sequestro de domínio

A maneira mais simples de as organizações se protegerem contra o sequestro de domínio é escolher um registrador de nome de domínio respeitável que ofereça fortes medidas de segurança. Procure recursos como:

  • Autenticação de dois fatores (2FA): a 2FA exige que todos os titulares de contas de registrantes provem sua identidade de duas maneiras diferentes antes de receber acesso.
  • Privacidade no registro de domínios: os serviços de privacidade de domínio podem editar as informações de contato do registrante de domínio a partir de registros públicos.
  • Bloqueio do registrador: muitos registradores do mercado de massa oferecem suporte ao bloqueio do registrador, o que evita que o registro altere as informações, a menos que o registrante remova explicitamente o bloqueio.
  • Bloqueio do registro: o bloqueio do registro é um nível mais alto de segurança que requer várias fontes e etapas de verificação independentes e off-line.
  • Períodos de carência de renovação: um período de carência após a expiração pode ajudar os clientes que perderam o prazo de expiração. Isso pode até afetar usuários que estavam com renovação automática, se o cartão de crédito registrado tiver expirado. A escolha de um registrador com um período de carência é essencial para impedir invasores que procuram ativamente explorar domínios que estão prestes a expirar.

Como a Cloudflare ajuda a evitar o sequestro de domínio

O serviço de registrador de nome de domínio da Cloudflare, o Registrar da Cloudflare, oferece aos clientes do plano Enterprise proteção de domínio personalizado para evitar o sequestro de domínio. Com a proteção de domínio personalizado, qualquer alteração na propriedade do domínio ou no nameserver é verificada e executada manualmente. O protocolo de alterações rigoroso ajuda a garantir que quaisquer alterações sejam aprovadas diretamente pelas organizações.

O Registrar da Cloudflare também inclui DNSSEC universal integrado para todos os domínios para proteger os domínios contra um amplo espectro de ataques baseados em DNS.