“Sequestro de Domínios” – Mito ou Realidade?

Pra quem nunca ouviu falar no termo “Sequestro de Domínios(*), saiba que em geral é algo mais comum e simples do que poderíamos pensar.

De uma maneira bem resumida, podemos dizer que , ao invés de gastar energia procurando brechas na segurança da infraestrutura dos alvos, os hackers direcionam seus esforços ao elo mais fraco da cadeia, os usuários.

Até aí, nenhuma novidade… Usuários são costumeiramente vítimas de ataques de Phishings e Engenharia Social mas, o que tem de diferente neste tipo de ataque?

A novidade é que os hackers não tentam descobrir senhas de acesso direto aos sistemas ou à infraestrutura da empresa em questão, mas sim a dos contatos cadastrados no sistema de Registro de Domínios utilizada pela empresa.

 

Credenciais de acesso ao sistema de registro de domínio costumam ser esquecidas ou pouco utilizadas no dia-a-dia da empresa. Em alguns casos, estas credenciais são administradas por colaboradores não técnicos (Ex: Dep. Financeiro, Jurídico, Administrativo, etc) que, mesmo sendo de extrema confiança, muitas vezes ignoram ou desconhecem os riscos tecnológicos envolvidos. Muitos não trocam sua senha com a frequência ideal e utilizam caminhos frágeis para a recuperação de senhas, como redefinição de senha através de e-mails pessoais e perguntas secretas (“qual o nome do meio da sua mãe?”).

Para agravar ainda mais a situação, muitos provedores de serviço de Registro de Domínio não protegem os dados de seus administradores, bastando buscar no “WHOIS” do site para descobrir o nome, e-mail, telefone, endereço e até CPF em alguns casos – o que facilita ainda mais as atividades de reconhecimento e obtenção das credenciais de acesso.

Este tipo de ataque, se bem conduzido, pode enganar muita gente e ficar meses sem ser percebido (BANG!).

O que fazer?

Como tudo em segurança, não há uma “bala de prata” mágica que resolve todos os problemas, mas algumas recomendações devem ser reforçadas e seguidas:

  • Escolha bem o seu provedor de Registro de Domínios: Verifique a reputação de seu provedor. Identifique quais recursos de segurança ele oferece para robustecer sua autenticação. Se possível, opte pelo duplo fator de autenticação (como os tokens de bancos).
  • Revise as informações publicadas pelo provedor de domínio, buscando expor o mínimo possível de informações para pessoas mal intencionadas
  • Oriente seus usuários administradores de domínio: Estabeleça processos de troca de senhas e revisão periódica das pessoas e credenciais autorizadas a acessar o sistema.
  • Revise os processos de recuperação de senha: Evite habilitar o recurso de redefinição de senhas por e-mails e perguntas secretas, mas se não tiver outra opção, defina e-mails seguros (de uso restrito e acesso através de autenticação de duplo fator) e perguntas secretas planejadas com o setor de segurança da empresa.
  • Monitore suas entradas DNS: Estabeleça rotinas automatizadas de detecção e alerta para alterações inesperadas nos registros DNS públicos.
  • Estabeleça um canal de contato com o seu provedor de Registro de Domínios e defina um plano de resposta a incidentes. Quanto mais rápido e claro for o processo de resposta em eventuais incidentes, menos os eventuais impactos serão sentidos e menos exposta estará a sua empresa.

Se assustou? Quer saber mais sobre o assunto ?

Recomendo que leiam dois artigos publicados pelo Renato Marinho, Diretor e Pesquisador de Segurança da Morphus Labs, que explica em detalhes dois casos recentes de ataques como este:

 

Sequestro de Domínios – Uma ameaça invisível e destrutiva que merece a nossa atenção

O “google.com.br” foi hackeado?

(*) Obs: Diferente do conceito de sequestro de DNS (“DNS Hijacking”), o “sequestro de DOMÍNIOS” não envolve necessariamente o comprometimento da infraestrutura tecnológica através da ação de malwares ou ação direta em servidores DNS.

Deixe aqui seu comentário