Acordo sobre violação de dados do Yahoo! Um mergulho profundo em sites falsos por meio do monitoramento de nomes de domínio

A enorme violação de dados do Yahoo! que durou de 2012 a 2016 é uma das violações de dadosmais notáveis até hoje, com 3 bilhões de contas comprometidas. Nomes de usuários, aniversários, endereços de e-mail, números de telefone números de telefone e até mesmo perguntas e respostas de segurança criptografadas e não criptografadas foram apenas algumas das informações roubadas e potencialmente vendidas em mercados clandestinos.

A boa notícia é que aqueles que foram afetados podem agora solicitar benefícios pelos danos e perdas sofridos. Eles podem obter dois anos de monitoramento de crédito gratuito ou US$100-25.000 em dinheiro como como indenização por roubo e possíveis fraudes. Os interessados podem verificar se estão qualificados para pagamento de indenização entrando em contato com o administrador do site oficial de indenização por violação de dados, yahoodatabreachsettlement.com.

Parece que aqueles que sofreram com o compromisso do Yahoo! podem ficar tranquilos, certo? Provavelmente não, pois novas ameaças surgiram logo após o anúncio do acordo da violação. Muito parecido com o caso quando a Equifax anunciou os detalhes do acordo da violação e informou às vítimas onde elas poderiam registrar suas reivindicações, vários sites falsos que imitam o site de acordo do Yahoo! surgiram. Aqueles que não tomarem cuidado poderão acabar expor ainda mais informações de identificação pessoal (PII) em vez de obter remuneração pelo que do que já perderam.

Para ilustrar melhor esse ponto, usamos várias de nossas ferramentas de inteligência de domínio para estudar como é o ambiente de ameaças emergentes em torno do site de liquidação do Yahoo! o ambiente de ameaças emergentes em torno do site de liquidação do Yahoo! e apresentar recomendações sobre como mitigar os riscos resultantes.

Produto nº 1: Domain Research Suite

Para começar, realizamos uma rápida pesquisa de domínios recém-registrados que se assemelhavam ao site oficial do Yahoo! oficial do Yahoo! usando "yahoodatabreachsettlement" como palavra-chave e encontramos várias páginas potencialmente prejudiciais que ostentavam extensões .com, .net, .info, .us e outras extensões de domínio de nível superior (TLD).

No entanto, decidimos nos concentrar naquelas que ostentavam o TLD .com, já que o site oficial do Yahoo! o utiliza, o que torna mais provável que as 42 páginas falsas de acordo de violação de dados que identificamos sejam visitadas por possíveis requerentes.

Usando o Domain Research Suite, compilamos informações pertinentes sobre cada domínio (aviso: recomendamos não visitar nem compartilhar nenhum deles) na tabela a seguir. recomendamos não visitar ou compartilhar nenhum deles) na tabela a seguir:

Observe que todos os domínios são apenas variações ligeiramente mal escritas do domínio real - um sinal revelador de que são links maliciosos ou, no mínimo, ilegítimos. Não é incomum, afinal de contas, obter vítimas de phishing por meio de URLs com erros de digitação. Nesse caso, os phishers podem ter registrado domínios domínios que se assemelhavam muito ao site de acordo de violação de dados do Yahoo! registrar reclamações. Dessa forma, os phishers poderiam obter as credenciais do Yahoo! e embolsar as taxas.

A seguir, um resumo de nossas observações:

• Cerca de 79% dos domínios foram registrados entre 31 de agosto e 1º de setembro de 2019 - 3-4 dias antes de o anúncio oficial ser feito em 4 de setembro. Os 21% restantes foram registrados após o anúncio, entre 5 e 26 de setembro de 2019. O gráfico a seguir mostra o número de registros de domínios por data de criação:
  • 29 dos domínios foram registrados em 31 de agosto de 2019
  • 5 foram criados em 1 e 5 de setembro de 2019
  • 1 cada foi registrado em 11, 23 e 26 de setembro de 2019
• Com base no registrante ou registrador registrado para domínios que foram registrados de forma anônima ou privados:
  • 27 estavam sob a Super Privacy Service LTD c/o Dynadot
  • 5 eram da Chengdu West Dimension Digital Technology Co., Ltd.
  • 4 estavam sob a Xinnet Technology Corporation
  • 2 estavam sob Domains By Proxy, LLC
  • 2 tinham dados incompletos
  • 1 estava sob Privacy Protect, LLC (PrivacyProtect.org)
• Com base no país de registro:
  • 31 foram hospedados nos EUA.
  • 6 estavam localizadas na China
  • 6 não indicaram sua localização
• Embora a maioria dos domínios tivesse endereços de e-mail correspondentes (ou seja, correspondiam a seus nomes de domínio), alguns usavam os endereços de seus registradores, a saber:
  • [email protected] para aqueles de propriedade da Xinnet Technology Corporation
  • [email protected] para o site de propriedade da Privacy Protect, LLC (PrivacyProtect.org)
• Com base no endereço IP:
  • 33 compartilhavam o endereço IP 199.59.242.152 (todos os domínios registrados pela Super Privacy Service LTD c/o Dynadot e Xinnet Technology Corporation, juntamente com os 2 domínios com dados incompletos)
  • 5 compartilhavam o endereço IP 103.224.182.242 (todos os domínios registrados pela Chengdu West Dimension Digital Technology Co., Ltd.)
  • 2 compartilhavam vários endereços IP, incluindo 45.33.2.79, 96.126.123.244, 45.33.23.183, 198.58.118.167, 45.79.19.196 e 45.56.79.23 (todos os domínios registrados pela Domains By Proxy, LLC)
  • 1 usou o endereço IP 200.63.47.3 (registrado pela Privacy Protect, LLC [PrivacyProtect.org])

O que os resultados revelam

Essa proporção do volume de registro de domínios (com pico antes do anúncio oficial e diminuição depois) não é surpreendente. Afinal de contas, os phishers gostariam de ter suas páginas falsas prontas para serem usadas quando os possíveis requerentes procurarem mais detalhes sobre como pedir indenização e serem os primeiros na fila.

A disparidade entre o número de domínios (42) e de registrantes (6), além de serem registrados em aproximadamente nas mesmas datas, é indicativo de registro em massa.

Apesar de deixar de fora informações em seus registros WHOIS, yahoodatabreschsettlement(.)com e yahoodatabreschsettlement(.)com foram provavelmente registrados usando o Super Privacy Service LTD c/o Dynadot, já que sua criação pode ser rastreada até o mesmo endereço IP -199.59.242.152- de todos os outros domínios de propriedade do registrador. os outros domínios de propriedade do registrante.

Também vale a pena observar que o Super Privacy Service LTD c/o Dynadot e a Xinnet Technology Corporation compartilhavam o mesmo endereço IP. Dito isso, mesmo que os domínios registrados pela Xinnet Technology Corporation não indicassem onde eles estavam hospedados, seria seguro presumir que eles estão no mesmo mesmo país - os EUA.

Pesquisa e investigação adicionais

Cruzamos nossas descobertas iniciais sobre registro de domínios com outros resultados de pesquisas WHOIS e encontramos esses sites falsos adicionais:

• wwwyahoodatabreachsettlement(.)com
• yahoodatabreach(.)com
• yahoodatabreachlawsuit(.)com
• yahoodatabreachsetlement(.)com
• yahoodatabreachsettelment(.)com
• yahoodatabreachsettement(.)com
• yahoodatabreachsettlement(.)com
• yahoodatabreachsettlment(.)com
• yahoodatabreachssettlement(.)com

Verificações aleatórias da data de registro de cada site revelaram que eles foram registrados antes mesmo de 31 de agosto de 2019. É possível que alguns não existam mais.

Um site específico - yahoodatabreach(.)com - mostrou-se interessante, pois foi criado inicialmente em 8 de março de 2017, dois anos antes da decisão sobre os termos da violação do Yahoo! março de 2017, dois anos antes de ser tomada uma decisão sobre os termos do acordo de violação do Yahoo! acordo. O registro desse site foi renovado em 3 de fevereiro de 2019, embora tenha sido excluído logo depois.

Alguns dos domínios também foram registrados há alguns anos. Os criminosos cibernéticos podem ter previsto que os usuários afetados procurariam detalhes sobre o comprometimento e esperavam que eles chegassem em seus sites falsos.

Produto nº 2: API de IP reverso

Depois de identificar os endereços IP recorrentes que apareceram nas pesquisas WHOIS reversas que realizamos, demos uma olhada mais de perto no mais proeminente - 199.59.242.152 via Reverse IP API. Esse endereço IP tem uma idade estimada de 3.235 dias (mais de 8 anos). Rastreamos a organização que proprietária, e descobrimos que se trata de uma empresa de plataforma de estacionamento de domínios.

Embora o estacionamento de domínios não seja ilegal, os criminosos cibernéticos geralmente compram domínios estacionados para hospedar seus sites maliciosos. sites maliciosos. Esse poderia muito bem ter sido o caso aqui. Aqueles que estão por trás dos falsos sites de acordo de violação de dados do Yahoo! poderiam ter comprado os domínios .com que descobrimos em massa para economizar nos custos, o que o que explica a mesma data de registro.

Na maioria dos casos de segurança cibernética, a prevenção de ataques é obtida com o bloqueio de endereços IP específicos no lado da rede. lado da rede. Essa abordagem evita que os usuários visitem inadvertidamente sites potencialmente prejudiciais ou que indivíduos mal-intencionados obtenham acesso a sistemas e dados armazenados na referida rede. Pode ser Assim, pode ser uma boa ideia para as organizações bloquearem os endereços IP vinculados aos sites falsos mencionados nesta nesta postagem.

Produto nº 3: API de reputação de domínios

Para mostrar melhor a natureza maliciosa dessas propriedades on-line que imitam o site de liquidação do Yahoo! usamos a API de reputação de domínios para analisar dois dos domínios falsificados e dar a eles uma pontuação entre 0 e 100. Observe que o ideal é 0, o que indica que o site é seguro para ser acessado.

• Yahoodatabeeachsettlement(.)com teve uma pontuação de reputação de 66,67. Um aviso de sua novidade foi foi emitido pela API, juntamente com sua emissão muito recente de certificado SSL e vulnerabilidades.
• Yahoobreachdatasettlement(.)com teve uma pontuação de reputação de 77,41. Avisos sobre sua pouca idade e vulnerabilidades SSL também foram citadas.

Conclusão e práticas recomendadas

Com base em nossas pesquisas aprofundadas de IP e WHOIS, a maioria dos domínios potencialmente mal-intencionados parece ser apenas estacionados. No entanto, alguns ataques cibernéticos ainda podem estar em andamento.

Independentemente da motivação, uma coisa permanece clara: o registro de domínios em massa é um meio pelo qual typosquatters ou cybersquatters ganham dinheiro.

Os proprietários dos domínios falsificados podem estar esperando que outros bandidos os comprem para serem usados em ataques de phishing. Afinal de contas, é fácil criar um site que colete as credenciais do Yahoo! Credenciais.

Os requerentes podem ficar atentos a ataques de phishing seguindo estas práticas recomendadas:

• Verifique se o link que eles estão tentando acessar é, de fato, o site oficial de solução de violação de dados do Yahoo! oficial. Eles podem consultar o site oficial do Yahoo! para obter mais detalhes.
• Se receberem um e-mail de alguém que alega ser do Yahoo! para verificar a comunicação primeiro. Se o endereço de e-mail do remetente aparecer na tabela acima, provavelmente se trata de um e-mail de phishing que precisa ser excluído imediatamente.
• Verifique se há erros de digitação e gramaticais no endereço de e-mail do remetente, no conteúdo da mensagem e na linha de assunto. Esses erros geralmente são encontrados em e-mails de phishing.
• Evite clicar em links incorporados em e-mails e fazer download de anexos de remetentes desconhecidos. Essa ação pode levar os usuários, sem saber, a sites mal-intencionados.
• Use uma solução de segurança que bloqueie spam e malware, além do acesso a sites mal-intencionados conhecidos. sites maliciosos.

Por outro lado, o Yahoo! e as organizações que desejam proteger melhor os requerentes e outras pessoas contra phishing, typosquatting e spoofing de sites podem contar com a variedade de ferramentas oferecidas pelo Domain Research Suite:

• O Brand Monitor permite que os usuários detectem possíveis infratores de marcas registradas e outros abusadores de marcas. Usando seu recurso de erros de digitação, os usuários podem gerar automaticamente uma lista de variações com erros de ortografia de seu domínio para investigação adicional.
• Com o Registrant Monitor, os usuários podem manter o controle sobre os registrantes que cometeram irregularidades no passado. no passado.
• O Domain Monitor, por sua vez, pode ajudar os usuários a rastrear domínios com passado duvidoso. que, sempre que eles forem reutilizados em ataques, poderão ser rapidamente derrubados.
• A pesquisa reversa do WHOIS permite que os usuários coletem informações detalhadas do WHOIS correspondentes a um determinado "Termo de pesquisa" em um domínio, conforme contido nos registros WHOIS - nomes, números de telefone, endereços de e-mail, etc.
• A Pesquisa de histórico do WHOIS possibilita aprofundar-se no histórico de um domínio para verificar todos os seus proprietários anteriores, bem como outras modificações ao longo dos anos.

Esperamos que esta investigação sobre cybersquatting do site de liquidação do Yahoo! tenha sido útil para você. Para obter mais informações sobre o Domain Research Suite, entre em contato conosco ou inscreva-se e experimente o pacote. experimentar.