slide
fLÁVIA alcassa & MILENA pappert
referência em direito digital
|

 

O sequestro de domínio: como acontece e como nos prevenir dos ataques

Como acontece os sequestros de nomes de domínio e como fazer a prevenção contra esses ataques.

Os nomes de domínio são ferramentas indispensáveis, hoje em dia, na internet. Com ele, ao invés de termos que memorizar grandes combinações de números para conseguir acessar um site, podemos colocar um nome exclusivo que irá nos direcionar à página desejada. É por essa razão, que atualmente, as lojas, estabelecimentos, pessoas, ONGs, associações, institutos, academias, dentre outras, registram sua marca como seu domínio na internet. Assim, difundem seu trabalho na internet, ganhando mais um canal para visibilidade.

No entanto, essa difusão da marca pode causar problemas. Pessoas mal intencionadas podem fazer o sequestro do domínio, pedindo resgate em bitcoins. Podem também registrá-lo em outra extensão, visto que temos mais de trezentos milhões de extensões diferentes disponíveis. Em situações como essa, como ocorre a resposta a incidentes como estes? Como é feito o sequestro pelos ofensores? Existem medidas de prevenção contra isso? Todos estes aspectos serão abordados ao longo deste artigo.

 

1. DNS – Domain Name System

 

O Sistema de Nomes de Domínio (em inglês, domain name system) é basicamente a base da internet. Todos os nomes de endereço que usamos para navegar em sites e outros serviços da internet devem ser traduzidos em protocolos de internet (IP). Entre o nome de um endereço da internet e um endereço de IP ocorre uma tradução e resolução de processos, e esse é o papel principal do DNS.

 

2. Sequestro de Domínio

 

Para registrar um domínio e gerenciá-lo, é necessário criar uma conta no portal do operador de registros. Essa conta será usada para gerenciar os endereços de IP dos servidores DNS que irão localizar o endereço de IP do seu website ou servidor de e-mail.

As informações de credenciais de acesso para esse portal são muito sensíveis. Por isso, pessoas com más intenções que possuírem essas informações poderão mudar qualquer configuração do seu domínio, incluindo os endereços IP e os servidores DNS. Resumidamente, eles terão o poder de sequestrar o domínio de internet da sua organização e hospedar seu website ou e-mail em qualquer endereço que ele preferir. A recuperação do domínio fica dependente do operador do registro, e a recuperação manual desse sistema não é fácil e nem rápida.

 

2.1. Resposta a incidentes de sequestro

 

Essa modalidade de incidente é bem diferente das outras, pois não temos quase nada a fazer na infraestrutura da organização para reverter a situação, como procedimentos de backup ou reconfigurações. Na esmagadora maioria desses incidentes, os servidores ficam intactos fisicamente.

Em casos de sequestro de domínio, existem duas coisas a serem feitas: tentar recuperar as credenciais de acesso para entrar novamente no portal do operador do registro e alertar os clientes/consumidores/fornecedores que a organização foi comprometida, portanto alertar que eles não confiem e nem baixem nenhum conteúdo dos sites direcionados. Importante destacar que esse alerta não deve ser enviado por meio do e-mail da empresa, pois os ofensores podem mudar todas as entradas de domínio. Isso significa que poderão controlar até para onde os e-mails são enviados. Pior do que isso, eles também poderão vasculhar as comunicações de toda a organização. É aconselhável utilizar-se de canais sociais, ou outros que não o e-mail para tais notificações.

Os ofensores poderão configurar no portal do operador que os clientes/consumidores/fornecedores continuem acessando os sites maliciosos por algumas horas até os caches do DNS serem atualizados, geralmente vinte e quatro horas. O único caminho para acelerar o processo, é entrar em contato diretamente com os Provedores de Internet do seu país, e pedir para que eles atualizem as configurações do DNS. Agora sim, a partir desse momento, a situação começará a ser reestabelecida gradualmente.

 

2.2. Afinal, qual o objetivo dos ofensores?

Eles procuram atingir a organização e todos que acessaram o site “falso”, onde geralmente acabam baixando arquivos de malware, bots, trojans, dentre outros, automaticamente, podendo ainda, sem saber, enviar o arquivo para outras pessoas que não acessaram o site malicioso. Eles podem ter diferentes funções, que na maioria das vezes é roubar credenciais, dados ou informações das pessoas.

Os ofensores procuram explorar a confiança que as pessoas depositam em uma determinada organização para infectar mais pessoas o mais rapidamente possível.

 

2.3. Medidas recomendadas de prevenção

 

Autenticação de dois fatores: é possível ativar esta modalidade de autenticação no portal onde o domínio está registrado. Esta modalidade de autenticação exige que você ofereça uma combinação de pelo menos dois métodos para provar sua identidade ao sistema. Os possíveis fatores podem ser algo que você sabe, como uma senha; algo que você tem, como um token ou algo que você é, como sua digital.

Caso, ainda, seja necessário mais segurança, prefira não usar o SMS como um segundo fator, visto que seu celular pode ser roubado ou clonado, permitindo que o ofensor use o serviço SMS para fazer a autenticação.

 

Analise as contas de e-mail que estão ligadas ao seu operador de registro de domínio: estes e-mails são muito importantes ao precisar usá-los para resetar a senha. Tais e-mails serão alvos de muito phishing dependendo do valor do seu domínio para os ofensores. É preferível utilizar a autenticação de dois fatores neste e-mail.

 

Estabeleça um plano de respostas a incidentes: tenha um procedimento já documentado para este tipo de incidente. Inclua um contato de emergência para seu operador de registro de domínios; tenha meios alternativos e seguros de comunicar seus clientes, tendo em mente que seu site e e-mail estarão comprometidos nestas situações e estabeleça uma rotina de teste para comunicação de emergência com o operador do registro de domínio.

 

3. Conclusão

 

Geralmente, o sequestro de nomes de domínio é feito por meio de phishing, o que pode fazer o usuário colocar sua senha no site malicioso ou instalando um malware na sua máquina.

 

Caso o ataque tenha sido feito pelo celular da vítima, usando a infraestrutura GSM e interceptando o SMS, este deve ser considerado e resolvido com atenção, visto que isto é uma modalidade de ataque muito sofisticada. Resumidamente, GSM (Global System of Mobile Communications) é um padrão desenvolvido para protocolos de comunicações 2G utilizados em celulares e tablets e é por meio desta tecnologia que é possível a interceptação das mensagens.

 

Muitos casos similares a esse são comuns, principalmente via e-mail. Por isso, fique atento. A prevenção contra phishing é muito importante para manter a integridade do seu domínio, e, consequentemente, da sua organização, seja de qualquer ramo ou porte.

 

Referências:

MARINHO, Renato. Domain Hijacking — An invisible and destructive threat we should watch for. Morphus Labs. 12/07/2017. Disponível em: <https://morphuslabs.com/domain-hijacking-an-invisible-and-destructive-threat-we-should-watch-for-a608fec625ff>

Noções Básicas sobre Nomes de Domínio. Google. Disponível em: <https://support.google.com/a/answer/2573637?hl=pt-BR>

Tecnologia do Google TradutorTradutor