Fornece informações de propriedade atuais e históricas sobre domínios/IPs. Identifica todas as conexões entre domínios, registrantes, registradores e servidores DNS.
A enorme violação de dados do Yahoo! que durou de 2012 a 2016 é uma dasviolações de dadosmaisnotáveisaté hoje, com 3 bilhões de contas comprometidas. Nomes, datas de nascimento, endereços de e-mail, números de telefone e até mesmo perguntas e respostas de segurança criptografadas e não criptografadas dos usuários foram apenas algumas das informações roubadas e potencialmente vendidas em mercados clandestinos.
A boa notícia é que as pessoas afetadas agora podem solicitar indenizações pelos danos e prejuízos sofridos. Elas podem obter dois anos de monitoramento de crédito gratuito ou US$ 100 a US$ 25.000 em dinheiro como indenização por roubo e possível fraude. Os interessados podem verificar se têm direito ao pagamento da indenização entrando em contato com o administrador do site oficial de indenização por violação de dados, yahoodatabreachsettlement.com.
Parece que aqueles que sofreram com a violação do Yahoo! podem ficar tranquilos, certo? Provavelmente não, já que novas ameaças surgiram logo após o anúncio do acordo sobre a violação. Assim como no caso da Equifax, quando anunciou os detalhes do acordo sobre a violação e informou às vítimas onde elas poderiam registrar suas reclamações, vários sites falsos imitando o site do acordo do Yahoo! surgiram. Aqueles que não tomarem cuidado podem acabar expondo ainda mais informações de identificação pessoal (PII), em vez de obterem uma remuneração pelo que já perderam.
Para ilustrar melhor esse ponto, utilizamos várias de nossas ferramentas de inteligência de domínio para estudar como é o ambiente de ameaças emergentes em torno do site de acordos do Yahoo! e apresentar recomendações sobre como mitigar os riscos resultantes.
Produto nº 1: Domain Research Suite
Para começar, fizemos uma pesquisa rápida por domínios recém-registrados que se assemelhavam ao site oficial do Yahoo! usando “yahoodatabreachsettlement” como palavra-chave e encontramos várias páginas potencialmente prejudiciais com extensões .com, .net, .info, .us e outros domínios de nível superior (TLD).
No entanto, decidimos nos concentrar naquelas que exibiam o TLD .com, uma vez que o site oficial do Yahoo! o utiliza — tornando mais provável que as 42 páginas falsas de acordo sobre violação de dados que identificamos fossem visitadas por potenciais requerentes.
Usandoo Domain Research Suite, compilamos informações pertinentes sobre cada domínio (aviso: recomendamos não visitar ou compartilhar nenhum deles) na tabela a seguir:
| Domínio | Data de Criação | Registrante/ Registrador | País | Endereço de e-mail | Endereço IP |
| ahoodatabreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| uahoodatabreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yagoodatabreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahhoodatabreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahooatabreachsettlement(.com) | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodaabreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodarabreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabrachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettkement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettleent(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlememt(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemen(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemet(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemnt(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemrnt(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemwnt(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlenent(.)com | 1º de setembro de 2019 | Dados incompletos | 199.59.242.152 | ||
| yahoodatabreachsettlrment(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsetttlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreachsttlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreacsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreahsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreavhsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreaxhsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatabreschsettlement(.)com | 26 de setembro de 2019 | Dados incompletos | 199.59.242.152 | ||
| yahoodatabteachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatareachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodatebreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| yahoodtabreachsettlement(.)com | 31 de agosto de 2019 | Super Privacy Service LTD c/o Dynadot | ESTADOS UNIDOS | [email protected] | 199.59.242.152 |
| theyahoodatabreachsettlement(.)com | 1º de setembro de 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabreachsettle(.)com | 1º de setembro de 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabreachsettlements(.)com | 1º de setembro de 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabreech(.)com | 1º de setembro de 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabeeachsettlement(.)com | 5 de setembro de 2019 | Chengdu West Dimension Digital Technology Co., Ltd. | CHINA | 103.224.182.242 | |
| yahoodataberachsettlement(.)com | 5 de setembro de 2019 | Chengdu West Dimension Digital Technology Co., Ltd. | CHINA | 103.224.182.242 | |
| yahoodatabraechsettlement(.)com | 5 de setembro de 2019 | Chengdu West Dimension Digital Technology Co., Ltd. | CHINA | 103.224.182.242 | |
| yhaoodatabreachsettlement(.)com | 5 de setembro de 2019 | Chengdu West Dimension Digital Technology Co., Ltd. | CHINA | 103.224.182.242 | |
| yshoodatabreachsettlement(.)com | 5 de setembro de 2019 | Chengdu West Dimension Digital Technology Co., Ltd. | CHINA | 103.224.182.242 | |
| yahoobreachdatasettlement(.)com | 9 de setembro de 2019 | Domains By Proxy, LLC | ESTADOS UNIDOS | [email protected] | 45.33.2.79 96.126.123.244 45.33.23.183 198.58.118.167 45.79.19.196 45.56.79.23 |
| yahoodatabreachaettlement(.)com | 11 de setembro de 2019 | Domains By Proxy, LLC | ESTADOS UNIDOS | [email protected] | 200.63.47.3 |
| yahoodatabreaachsettlement(.)com | 23 de setembro de 2019 | Privacy Protect, LLC (PrivacyProtect.org) | ESTADOS UNIDOS | [email protected] | 45.33.2.79 198.58.118.167 96.126.123.244 45.79.19.196 45.56.79.23 45.33.23.183 |
Observe que todos os domínios são apenas variações ligeiramente erradas do domínio real — um sinal revelador de que são links maliciosos ou, no mínimo, ilegítimos. Afinal, não é incomum obter vítimas de phishing por meio de URLs digitados incorretamente. Nesse caso, os phishers podem ter registrado domínios muito semelhantes ao site de acordo sobre violação de dados do Yahoo! para enganar usuários que desejam registrar reclamações. Dessa forma, os phishers poderiam obter as credenciais do Yahoo! do reclamante e embolsar as taxas.
A seguir, um resumo de nossas observações:
- Cerca de 79% dos domínios foram registrados entre 31 de agosto e 1º de setembro de 2019 — 3 a 4 dias antes do anúncio oficial feito em 4 de setembro. Os 21% restantes foram registrados após o anúncio, entre 5 e 26 de setembro de 2019. O gráfico a seguir mostra o número de registros de domínios por data de criação:
- 29 dos domínios foram registrados em 31 de agosto de 2019
- 5 foram criados em 1º e 5 de setembro de 2019
- 1 cada foi registrado em 11, 23 e 26 de setembro de 2019
- Com base no registrante ou registrador registrado para domínios que foram registrados de forma anônima ou privada:
- 27 estavam sob a Super Privacy Service LTD c/o Dynadot
- 5 eram da Chengdu West Dimension Digital Technology Co., Ltd.
- 4 estavam sob a Xinnet Technology Corporation
- 2 estavam sob Domains By Proxy, LLC
- 2 tinham dados incompletos
- 1 estava sob Privacy Protect, LLC (PrivacyProtect.org)
- Com base no país de registro:
- 31 foram hospedados nos EUA.
- 6 estavam localizadas na China
- 6 não indicaram sua localização
- Embora a maioria dos domínios tivesse endereços de e-mail correspondentes (ou seja, coincidentes com seus nomes de domínio), alguns usavam os endereços de seus registradores, a saber:
- [email protected] para aqueles de propriedade da Xinnet Technology Corporation
- [email protected] para o site de propriedade da Privacy Protect, LLC (PrivacyProtect.org)
- Com base no endereço IP:
- 33 compartilhavam o endereço IP 199.59.242.152 (todos os domínios registrados pela Super Privacy Service LTD c/o Dynadot e Xinnet Technology Corporation, juntamente com os 2 domínios com dados incompletos)
- 5 compartilharam o endereço IP 103.224.182.242 (todos os domínios registrados pela Chengdu West Dimension Digital Technology Co., Ltd.)
- 2 endereços IP compartilhados, incluindo 45.33.2.79, 96.126.123.244, 45.33.23.183, 198.58.118.167, 45.79.19.196 e 45.56.79.23 (todos os domínios registrados pela Domains By Proxy, LLC)
- 1 utilizou o endereço IP 200.63.47.3 (registrado pela Privacy Protect, LLC [PrivacyProtect.org])
O Que os Resultados Revelam
Essa proporção do volume de registros de domínios (que atingiu o pico antes do anúncio oficial e diminuiu depois) não é surpreendente. Afinal, os phishers gostariam de ter suas páginas falsas prontas quando os potenciais requerentes procurassem mais detalhes sobre como solicitar indenização e fossem os primeiros da fila.
A disparidade entre o número de domínios (42) e registrantes (6), além de terem sido registrados aproximadamente nas mesmas datas, é indicativa de um registro em massa.
Apesar de omitirem informações em seus registros WHOIS, yahoodatabreschsettlement(.)com e yahoodatabreschsettlement(.)com provavelmente foram registrados usando o Super Privacy Service LTD c/o Dynadot, já que sua criação pode ser rastreada até o mesmo endereço IP —199.59.242.152— que todos os outros domínios pertencentes ao registrante.
Também vale a pena notar que a Super Privacy Service LTD c/o Dynadot e a Xinnet Technology Corporation compartilhavam o mesmo endereço IP. Dito isso, mesmo que os domínios registrados pela Xinnet Technology Corporation não indicassem onde estavam hospedados, seria seguro presumir que eles estão no mesmo país — os EUA.
Pesquisa e Investigações Adicionais
Comparamos nossas descobertas iniciais sobre o registro de domínios com outros resultados de pesquisa do WHOIS e encontramos estes sites falsos adicionais:
- wwwyahoodatabreachsettlement(.)com
- yahoodatabreach(.)com
- yahoodatabreachlawsuit(.)com
- yahoodatabreachsetlement(.)com
- yahoodatabreachsettelment(.)com
- yahoodatabreachsettement(.)com
- yahoodatabreachsettlement(.)com
- yahoodatabreachsettlment(.)com
- yahoodatabreachssettlement(.)com
Verificações aleatórias da data de registro de cada site revelaram que eles foram registrados antes mesmo de 31 de agosto de 2019. É possível que alguns deles já não existam mais.
Um site em particular — yahoodatabreach(.)com — revelou-se interessante, pois foi criado inicialmente em 8 de março de 2017, dois anos antes de ser tomada uma decisão sobre os termos do acordo relativo à violação do Yahoo!. O registro deste site foi renovado em 3 de fevereiro de 2019, embora tenha sido excluído logo em seguida.
Alguns dos domínios também foram registrados há alguns anos. Os cibercriminosos podem ter antecipado que os usuários afetados procurariam detalhes sobre o comprometimento e esperavam que eles acessassem seus sites falsos.
Produto n.º 2: Reverse IP API
Após identificarmos os endereços IP recorrentes que apareceram nas pesquisas WHOIS reversas que realizamos, analisamos mais detalhadamente o mais proeminente — 199.59.242.152 — por meioda API Reverse IP. Esse endereço IP tem uma idade estimada de 3.235 dias (mais de 8 anos). Rastreamos a organização proprietária e descobrimos que se trata de uma empresa de plataforma de estacionamento de domínios.
Embora o estacionamento de domínios não seja ilegal, os cibercriminosos costumam comprar domínios estacionados para hospedar seus sites maliciosos. Esse pode muito bem ter sido o caso aqui. Os responsáveis pelos sites falsos de acordo sobre violação de dados do Yahoo! podem ter comprado os domínios .com que descobrimos em grandes quantidades para economizar custos, o que explica a mesma data de registro.
Na maioria dos casos de segurança cibernética, a prevenção de ataques é obtida através do bloqueio de endereços IP específicos no lado da rede. Essa abordagem impede que os usuários visitem inadvertidamente sites potencialmente prejudiciais ou que indivíduos mal-intencionados obtenham acesso aos sistemas e dados armazenados nessa rede. Portanto, pode ser uma boa ideia que as organizações bloqueiem os endereços IP vinculados aos sites falsos mencionados nesta publicação.
Produto n.º 3: Domain Reputation API
Para melhor demonstrar a natureza maliciosa dessas propriedades online que imitam o site de acordos do Yahoo!, utilizamosa API de reputação de domíniopara analisar dois dos domínios falsificados e atribuir-lhes uma pontuação entre 0 e 100. Note que o ideal é 0, o que indica que o site é seguro para acesso.
- Yahoodatabeeachsettlement(.)com tinha uma pontuação de reputação de 66,67. A API emitiu um aviso sobre a sua novidade, juntamente com a emissão muito recente do seu certificado SSL e vulnerabilidades.
- O site Yahoobreachdatasettlement(.)com tinha uma pontuação de reputação de 77,41. Também foram citados avisos sobre sua pouca idade e vulnerabilidades SSL.
Conclusão e Práticas Recomendadas
Com base em nossas pesquisas aprofundadas de IP e WHOIS, a maioria dos domínios potencialmente maliciosos parece estar apenas estacionada. No entanto, alguns ataques cibernéticos ainda podem estar em andamento.
Independentemente da motivação, uma coisa permanece clara: o registro em massa de domínios é um meio pelo qual os typosquatters ou cybersquatters ganham dinheiro.
Os proprietários dos domínios falsificados podem estar esperando que outros criminosos os comprem para serem usados em ataques de phishing. Afinal, é fácil criar um site que colete as credenciais do Yahoo! dos requerentes.
Os requerentes podem ficar atentos a ataques de phishing seguindo estas práticas recomendadas:
- Verifique se o link que eles estão tentando acessar é realmente o site oficial do acordo sobre violação de dados do Yahoo!. Eles podem consultar o site oficial do Yahoo! para obter mais detalhes.
- Caso recebam um e-mail de alguém que alega ser do Yahoo!, eles podem ligar para o escritório da empresa para verificar a comunicação primeiro. Se o endereço de e-mail do remetente aparecer na tabela acima, provavelmente se trata de um e-mail de phishing que precisa ser excluído imediatamente.
- Verifique se há erros ortográficos e gramaticais no endereço de e-mail do remetente, no conteúdo da mensagem e na linha de assunto. Esses erros são comuns em e-mails de phishing.
- Evite clicar em links incorporados em e-mails e baixar anexos de remetentes desconhecidos. Essa ação pode, sem o conhecimento do usuário, levá-lo a sites maliciosos.
- Use uma solução de segurança que bloqueie spam e malware, além do acesso a sites maliciosos conhecidos.
Por outro lado, o Yahoo! e as organizações que desejam proteger melhor os requerentes e outras pessoas contra phishing, typosquatting e spoofing de sites podem contar com a variedade de ferramentas oferecidas peloDomain Research Suite:
- O Brand Monitorpermite que os usuários detectem possíveis infratores de marcas registradas e outros abusadores de marcas. Usando seu recurso de erros ortográficos, os usuários podem gerar automaticamente uma lista de variações com erros ortográficos de seu domínio para investigação posterior.
- Como Registrant Monitor, os usuários podem acompanhar os registrantes que cometeram irregularidades no passado.
- O Domain Monitor, por sua vez, pode ajudar os usuários a acompanhar domínios com histórico questionável, para que, sempre que forem reutilizados em ataques, possam ser rapidamente removidos.
- A Pesquisa WHOIS reversapermite que os usuários obtenham informações WHOIS detalhadas correspondentes a um determinado “termo de pesquisa” em um domínio, conforme contido nos registros WHOIS — nomes, números de telefone, endereços de e-mail, etc.
- A Pesquisa do Histórico WHOISpermite aprofundar o histórico de um domínio para verificar todos os seus proprietários anteriores, bem como outras modificações ao longo dos anos.
Esperamos que você tenha achado útil esta investigação sobre cybersquatting do site de acordos do Yahoo!. Para obter mais informações sobre o Domain Research Suite, entreem contato conoscooucadastre-see experimente o pacote.