Os ataques de phishing aumentaram quase 40% no ano encerrado em agosto de 2024, e grande parte desse crescimento está focado em um pequeno número de novos domínios de primeiro nível (gTLDs) — como .na loja, .acima, .xyz – que atraem fraudadores com preços baixos e sem requisitos razoáveis de registro, conclui um novo estudo. Enquanto isso, a organização sem fins lucrativos que supervisiona a indústria de nomes de domínio está avançando com planos para lançar vários novos gTLDs.
Foto: Shutterstock.
Pesquisa sobre dados de phishing divulgados por Consultoria Interisle constata que os novos gTLDs lançados nos últimos anos comandam apenas 11% do mercado de novos domínios, mas representam quase 37% dos domínios de crimes cibernéticos relatados entre setembro de 2023 e agosto de 2024.
A Interisle recebe dados sobre domínios de crimes cibernéticos de organizações anti-spam, incluindo Força-tarefa antiphishing (APWG), eu Coalizão contra e-mail comercial não solicitado (CAUCE), e Força-tarefa de mensagens, malware e assédio móvel (M3AAWG).
A pesquisa revela que, embora .com de novo .líquido domínios que representaram quase metade de todos os domínios registrados no ano passado (mais do que todos os outros TLDs combinados) representaram pouco mais de 40% de todos os domínios de crimes cibernéticos. Interisle afirma que uma parcela quase igual – 37% – dos domínios cibercriminosos são registrados com novos gTLDs.
Spammers e fraudadores gravitam em torno de domínios em novos gTLDs porque esses registradores geralmente oferecem registro barato ou gratuito, com poucos ou nenhum requisito de verificação de conta ou identidade. Por exemplo, entre os gTLDs com as pontuações mais altas em domínios de crimes cibernéticos no estudo deste ano, nove ofereceram taxas de registro abaixo de US$ 1, e quase vinte e dois ofereceram taxas abaixo de US$ 2,00. Em comparação, o preço mais barato listado para um domínio .com foi de US$ 5,91.
Atualmente, existem aproximadamente 2.500 registradores autorizados a vender domínios por Internet Corporation para nomes e números atribuídos (ICANN), uma organização sem fins lucrativos da Califórnia que supervisiona a indústria de domínios.
Os 5 principais novos gTLDs, classificados por domínios de crimes cibernéticos relatados. Imagem: Cadeia de fornecimento do crime cibernético Interisle 2014.
Ironicamente, apesar de anos em que estes relatórios mostram que o phishing está a explorar fortemente os novos gTLDs, a ICANN está a avançar com o plano de introduzir mais deles. A próxima rodada proposta da ICANN visa aceitar inscrições para novos gTLDs em 2026.
John Levine ele é o autor de “The Internet for Dummies” e presidente do CAUCE. Levine disse que adicionar mais TLDs sem uma política de registro mais rigorosa expandiria o espaço verde já infestado de hackers.
“O problema é que a ICANN não pode decidir se é uma organização sem fins lucrativos neutra ou uma associação comercial de domínio”, disse Levine ao KrebsOnSecurity. “Mas eles fazem muito parecido com o último.”
Levine disse que a maioria dos novos gTLDs tem alguns milhares de domínios – muito longe do número de registros necessários para cobrir os custos iniciais de operação de um novo gTLD (~US$ 180.000 a US$ 300.000). Os registrantes de novos gTLDs podem atrair clientes rapidamente vendendo domínios mais baratos para clientes que compram domínios em massa, mas isso geralmente é uma estratégia perdedora.
“Vender para criminosos e spammers é simplesmente um mau negócio”, disse Levine. “Você pode cobrar o que quiser no primeiro ano, mas terá que cobrar preços de tabela para renovações de domínio. E criminosos e spammers nunca renovam. Então, se parece que a economia não faz sentido, é porque a economia não faz sentido.”
Em quase todos os relatórios de spam anteriores, a Interisle descobriu que as principais marcas mencionadas em ataques de phishing eram grandes empresas de tecnologia, incluindo Apple, Facebook, Google e PayPal. Mas no ano passado, Interisle recebeu um Serviço Postal dos EUA foi a empresa mais hackeada, com quatro vezes mais sites de phishing como o segundo alvo mais comum (Apple).
É provável que pelo menos parte desse aumento venha de mais cibercriminosos usando aliases Chenlunque vendeu ferramentas de phishing direcionadas aos serviços postais nacionais nos Estados Unidos e em pelo menos uma dúzia de outros países.
Interisle diz que um número crescente de spammers está evitando completamente o registro de domínios e, em vez disso, aproveitando os provedores de subdomínios. blogspot.com, páginas.devde novo weebly.com. O relatório observa que os ataques cibernéticos hospedados nos serviços dos fornecedores de subdomínios podem ser difíceis de mitigar, porque apenas o fornecedor do subdomínio pode desativar contas maliciosas ou derrubar páginas web maliciosas.
“Qualquer ação incremental, como bloquear um domínio de segundo nível, pode impactar toda a base de clientes do provedor”, observou o relatório.
A Interisle rastreou mais de 1,18 milhão de instâncias de subdomínios usados para phishing no ano passado (um aumento de 114%) e descobriu que mais da metade deles eram subdomínios do blogspot.com e de outros serviços do Google.
“Muitos destes serviços permitem a criação de múltiplas contas ao mesmo tempo, que são amplamente exploradas por criminosos”, conclui o relatório. “Os provedores de subdomínios devem limitar o número de subdomínios (contas de usuário) que um cliente pode criar de uma só vez e interromper inscrições automáticas para contas de alto volume – especialmente usando serviços gratuitos”.
