Atualmente, existem milhares de nomes de domínio de nível superior disponíveis no mundo (.com, .net, .org, etc.), mas os cibercriminosos favorecem apenas um pequeno número deles. De acordo com o relatório de investigação da Unit42, 90% dos sites maliciosos usam 25 nomes de domínio de nível superior.
Desses 25 domínios de nível superior, seis dos 10 principais são geridos por países em desenvolvimento, que são frequentemente países pequenos e escassamente povoados que alojam um grande número de sites de risco.
Em 2021, a equipe de segurança Unit42 da Palo Alto Networks conduziu uma análise aprofundada das estatísticas de sites maliciosos e os classificou de acordo com os tipos de ameaças em malware, phishing, comando e controle (C2) e grayware (adware, spyware, etc.).
Com base em dados coletados em 7 de outubro de 2020, a Unit42 analisou e categorizou os nomes de domínio para criar a tabela de resumo abaixo, que oferece uma visão geral da Distribuição Cumulativa (DC) de domínios de nível superior para diferentes categorias de sites maliciosos. Quanto maior a DC, mais TLDs específicos serão empregados para essa categoria.
Pode-se ver que o TLD mais popular é .com, e a proporção entre eles é relativamente uniforme, o que mostra que os golpistas ficam felizes em usar nomes de domínio .com porque aumenta a legitimidade e muitas vezes melhora a taxa de sucesso.
Os domínios de nível superior com as pontuações de distribuição cumulativa mais altas são: .xyz, .icu, .ru, .cn, .uk e tk O que significa que a maior parte do conteúdo impróprio que circula na web vem desses domínios. Os domínios de nível superior que mais usados para malware são: .ga, .xyz, .cf, .tk, .org e .ml.
É mais provável que os phishers usem .net, mas outros incluem .pw, .top, .ga e .icu. No entanto, os pesquisadores descobriram que o phishing era uma das categorias mais distribuídas de maneira mais uniforme, com 99% dos nomes de domínio de phishing espalhados por 92 TLDs diferentes.
Grayware está sendo distribuído através dos domínios .org, .info, .co, .ru, .work, .net e .club, indicando suporte para esse tipo de travessuras de software. Finalmente, a infraestrutura C2 distribui-se geralmente pelos domínios .top, .gq, .ga, .ml, .cf, .info, .cn e .tk.
Palo Alto compilou a tabela a seguir com base na proporção de domínios maliciosos em relação ao total de registros de TLDs. Na tabela abaixo, a pontuação MAD é o “desvio mediano absoluto”, o que significa que quanto maior a pontuação, maior o número de registros de nomes de domínio maliciosos.
O que exatamente significa o risco desses domínios?
Os domínios de nível superior gerenciados pela pequena ilha de Tokelau, no Pacífico, estão entre os 10 primeiros em todas as categorias maliciosas, o que significa que os registros envolvidos podem não seguir práticas rigorosas de verificação.
“Uma das histórias mais fascinantes no mundo dos nomes de domínio é que .tk (um ccTLD para uma pequena ilha do Pacífico chamada Tokelau) se tornou um dos domínios de primeiro nível mais “prósperos” do mundo. O registro de nomes de domínio já contribuiu para Um sexto da renda de Tokelau.” Afirma o relatório da Unit42
Tokelau tornou-se popular por oferecer registos de domínio gratuitos, onde o fluxo de receitas dos operadores de domínio de topo era através de publicidade em vez de taxas de registo de domínio. Infelizmente, as suas políticas de registo de domínio também convidam a abusos, spam e uma grande quantidade de conteúdo sensível.
Os problemas de Tokelau também existem com nomes de domínio .pw e .ws controlados pela República de Palau e Samoa Ocidental.
Esses países oferecem registro de domínio barato ou até gratuito para gerar receita com anúncios veiculados no site.
Este modelo de publicidade gera receitas significativas a partir de registos de nomes de domínio, mas também abre a porta a abusos massivos.
É claro que isso não significa que grandes domínios de nível superior, como .net, .org e .xyz, possam flexibilizar as restrições a registros abusivos. Pelo contrário, as estatísticas mostram que os principais domínios de nível superior são mais responsáveis pela eliminação de registos de domínios maliciosos. Embora esses nomes de domínio de alto nível sejam frequentemente controlados por hackers, esses nomes de domínio em si não são maliciosos.
O valor desse relatório de risco de nomes de domínio é que ele pode ajudar as soluções de segurança da Internet a fortalecer seus algoritmos de detecção de nomes de domínio maliciosos. O risco do nome de domínio pode ser usado como um fator para determinar se o software de segurança ou os gateways devem bloquear determinados URLs para gerar uma pontuação geral de risco.
Seja o primeiro a comentar