A palavra-chave mais comum de combosquatting é "support".
Resumo executivo
O cybersquatting (também conhecido como invasão de domínio e sequestro de URL) costuma ser usado durante campanhas de phishing, roubo de identidade e tentativas de instalação de malware.
O combosquatting supera o typosquatting em termos de número de domínios ativos e cliques, tornando-o a maior ameaça de cybersquatting da atualidade.
Analisamos o tráfego DNS global e as listas internas de domínios maliciosos para identificar as palavras-chave de combosquatting comumente usadas.
Compilamos uma amostra das 50 palavras-chave de combosquatting mais populares.
Introdução
Atores maliciosos estão imitando sites de marcas diariamente. Sua operação seria difícil de realizar na vida real; por exemplo, o edifício físico necessário pode ser difícil de obter. No entanto, on-line, esses agentes de ameaças podem hospedar sites semelhantes bem projetados que incluem nomes de domínio imitados.
Muitas vezes, esses sites são hospedados em nomes de domínio que se aproximam bastante do domínio da marca original. Nós nos referimos a eles como domínios de cybersquatted.
Nossa análise de domínios maliciosos mostrou que o combosquatting é a maior ameaça de cybersquatting. Nesta postagem, apresentamos como podemos detectar combosquatting no tráfego DNS e listar as palavras-chave de combosquatting mais comuns que os invasores estão usando para enganar organizações e indivíduos.
O que é cybersquatting?
Os domínios de cybersquatted são nomes de domínio registrados e usados por agentes maliciosos para lucrar com a boa vontade de uma marca ou nome que não possuem. O cybersquatting costuma ser visto como um facilitador em campanhas que tentam instalar ransomware (por exemplo, por meio de publicidade maliciosa), fazer tentativas de phishing ou roubar a identidade de alguém.
Variantes de cybersquatting
Há vários tipos de cybersquatting por aí. A Tabela 1 demonstra as diferenças entre eles, utilizando a marca fictícia safebank[.]com.
Variante |
Descrição |
exemplo safebank[.]com |
|---|---|---|
Combosquatting |
Uma palavra-chave é adicionada ao domínio da marca |
safebank-security[.]com |
Typosquatting |
Adição, remoção ou substituição de um caractere |
safebqnk[.]com |
Bitsquatting |
Inversão aleatória de bits ASCII |
sagebank[.]com |
IDN homógrafo |
Uso de caracteres semelhantes |
sǎfebank[.]com |
TLD squatting |
Substituição do domínio de nível superior (TLD) |
safebank[.]co |
Soundsquatting |
Uso de homófonos |
savebank[.]com |
Dotsquatting |
Inserção de um ou mais pontos |
sa.febank[.]com |
Tabela 1: As variantes de cybersquatting
Com essas variantes, o dotsquatting ganha uma menção extra. Durante nossa pesquisa da literatura existente, não encontramos nenhuma menção a ele. No entanto, estávamos vendo esses casos com frequência suficiente em nossos dados para justificar a inclusão dessa categoria. Dotsquatting é o nome descritivo para isso entre nossa equipe, então é assim que o chamamos aqui.
Como as variantes interagem
Há alguma sobreposição entre os vários tipos de squatting, especialmente entre bitsquatting e typosquatting. O exemplo de bitsquatting acima é uma prova disso: Como "g" está ao lado de "f" em um teclado QWERTY, também pode ser considerado typosquatting.
Esses tipos também não são mutuamente exclusivos. Vários tipos de squatting também podem ser combinados dentro de um único nome de domínio, como safebank-security[.]co,que pode ser considerado tanto combosquatting quanto TLD squatting.
Finalmente, nem todo cybersquatting no mundo real é coberto pela Tabela 1. E provavelmente haverá ainda mais variantes no futuro, pois esses vetores de ataque tendem a evoluir.
Monetização de cybersquatting
Os danos financeiros e os impactos do cybersquatting existem há muitos anos, mas ainda continuam sendo uma enorme ameaça para organizações e indivíduos.
O termo também é comumente usado em contextos mais gerais. Métodos típicos nesta área são armazenamento de nome de domínio e frontrunning de nomes de domínio. Por exemplo, alguém compra coke[.]net (um squat de TLD) e tenta vendê-lo por um lucro considerável para a Coca-Cola Company. Outro tipo de monetização comumente encontrado é o marketing afiliado por roubo de hit. Por exemplo, registrando payypal[.]com e, em seguida, redirecionando os visitantes para o site genuíno através de um código de referência. As tentativas são numerosas e muitas vezes bem-sucedidas. Os sucessos do passado levaram à aprovação de várias leis e regulamentações, incluindo a Lei de Proteção ao Consumidor contra Cybersquatting dos EUA (ACPA).
Exemplos de cybersquatting bem-sucedidos
Em 2023, o Reddit se tornou vítima de uma campanha de phishing altamente direcionada. O ataque envolveu um site que clonou o comportamento da sua intranet gateway, hospedado em um domínio cybersquatted, sendo este último mencionado implicitamente na resposta do incidente de segurança do Reddit. Os agentes maliciosos obtiveram acesso a informações limitadas de funcionários e anunciantes.
O Facebook se tornou uma vítima em 2011 através de mais de 100 nomes de domínio parecidos criados a partir de simples erros ortográficos. Mais tarde, o Facebook recebeu uma indenização de quase US$ 2,8 milhões em danos.
Os consumidores também podem ser direcionados diretamente. Em outubro de 2022, o Bleepingcomputer relatou uma extensa campanha de typosquatting com o objetivo de fazer as pessoas instalarem aplicativos infectados por malware. As vítimas foram infectadas com keyloggers e malware que roubavam credenciais de contas bancárias e carteiras de criptomoedas.
A popularidade do combosquat
Em nossa análise de 2022,o combosquatting foi o tipo de cybersquatting mais comumente observado em termos de nomes de domínio únicos. Em outras palavras, os agentes maliciosos estão usando combosquatting como parte de seu vetor de ataque com muito mais frequência do que outros tipos de cybersquatting.
O combosquatting também parecia gerar a maioria das consultas de DNS, com cada uma dessas consultas representando uma vítima em potencial visitando um domínio malicioso.
Esses dois pontos de dados tornam o combosquatting a maior ameaça de cybersquatting, de acordo com nossa análise.
O Typosquatting está roubando o foco
Essa percepção de nossa equipe está alinhada com as descobertas de um estudo em grande escala de 2017 que foi focado especificamente em combosquatting: "Descobrimos que os domínios de combosquatting são 100 vezes mais prevalentes do que os domínios de typosquatting."
Apesar de tudo isso, parece-nos que o typosquatting — e não o combosquatting — é a variante que recebe mais atenção em pesquisas, blogs e revistas. Como pesquisadores, não conseguimos encontrar nenhum dado para apoiar essa atenção no typosquatting. Os dados que vimos nos fazem acreditar que os agentes maliciosos estão mais do que felizes com o fato de o typosquatting ser o centro das atenções, de modo que o combosquatting pode continuar passando despercebido.
Palavras-chave em combosquatting
Lembre-se: Combosquatting é uma variante do cybersquatting em que uma palavra-chave é adicionada ao domínio da marca. Aqui estão alguns exemplos adicionais para safebank[.]com:
safebank-members[.]com
mysafebank[.]com
login-safebank[.]com
Mas, como definimos palavras-chave? Observando os exemplos acima, podemos ver palavras-chave como "membros," "meu, " e "login" anexado à marca "safebank" através de um hífen (login-safebank) ou simplesmente concatenada (mysafebank) diretamente em ambos os lados.
As palavras-chave são destinadas a invocar certos sentimentos, como mostra a Tabela 2.
Palavras-chave |
Sentimentos |
|---|---|
Verificação, conta, login |
Segurança, autoridade |
Agora, alerta |
Urgência |
Grátis, promoção |
Medo de ficar de fora |
Tabela 2: Exemplos de palavras-chave e os sentimentos que eles evocam
Nomes de marcas não são iguais a legitimidade
O nome da marca (safebank) faz com que o link pareça legítimo. É claro que o fato de um link conter um nome de marca não o torna seguro. Nada impede que qualquer pessoa registre nomes de domínio que contenham nomes de marcas comerciais. É claro que o objetivo do invasor aqui é acionar uma resposta rápida e emocional no usuário, em vez de uma resposta racional. Combinar a marca com uma palavra-chave parece uma maneira sensata de conseguir isso.
Agora, como usamos esse conhecimento para proteger as pessoas?
Como uma equipe de pesquisa de segurança cibernética, temos a arma mais poderosa: dados! Temos acesso a uma enorme lista de domínios que sinalizamos como maliciosos. É essa lista que compartilhamos com nossos clientes e permite que eles protejam os usuários finais enquanto navegam na Internet. Além disso, também podemos usar dados de tráfego DNS para ver tendências de palavras-chave no domínios observados recentemente,que contêm domínios benignos e maliciosos.
Descoberta de palavras-chave baseada em dados
É importante observar que o conjunto de dados que usamos para esta análise contém apenas domínios de phishing maliciosos. Isso nos permitiu focar apenas em quais palavras-chave os invasores estão usando ativamente hoje. Cada entrada foi sinalizada como phishing por meio de vários processos internos para garantir a precisão. Nesta seção, vamos orientá-lo através de um esboço de como reunimos a lista de palavras-chave comuns.
Início da análise
Você deve se lembrar que, às vezes, as palavras-chave são anexadas a uma marca por um hífen e, às vezes, são concatenadas diretamente.
As palavras-chave anteriores são fáceis de encontrar — só precisamos dividir um nome de domínio por hifens, pois os hifens são delimitadores naturais. Por exemplo: Suponha que tenhamos um domínio amazon-e[.]com. O hífen revela quais são as palavras-chave: o nome da marca amazon e a palavra-chave e. Muito simples.
As palavras-chave concatenadas diretamente, no entanto, apresentam um desafio muito maior. Eles exigem uma variedade de pontos de conhecimento, como idioma, marcas localizadas e até comportamento de navegação. As sobreposições de palavras-chave são um exemplo comum disso.
Vamos dar uma olhada em amazone[.]com. Aqui, não temos ideia se a marca é Ama (fabricante italiano de tênis de couro), Amaz (estilista grego de roupas femininas), ou Amazon (empresa americana de tecnologia). Este domínio nos oferece as seguintes opções de palavras-chave: zone, one, eos quais todos podem ser válidos.
Filtragem dos domínios
Agora, simplificamos bastante a tarefa. Restringimos a análise ao primeiro tipo de palavras-chave fáceis de extrair: os nomes de domínio que contêm hifens. A distribuição neste subconjunto deve seguir a distribuição em todo o conjunto de dados, devido ao grande volume de dados.
Em poucas palavras, o processo inicial incluiu quatro etapas principais:
Use os nomes de domínio de nossa lista de phishing como entrada
Remova o TLD
Filtre a lista restante para nomes de marcas comuns
Divididos pelo hífen
Depois que essas quatro etapas estiverem concluídas, coletamos todas as palavras resultantes em uma grande lista. Em seguida, refinamos ainda mais essa lista (removendo os nomes das marcas), deixando apenas as palavras-chave. Por fim, compilamos todas as palavras-chave e fazemos uma contagem.
As 50 palavras-chave de combosquatting mais populares
Por meio do processo de filtragem acima, encontramos as palavras-chave de combosquatting mais populares voltadas para marcas populares. Sabemos que isso é verdade porque as próprias entradas foram todas confirmadas como domínios de phishing no passado.
A Tabela 3 lista as 10 principais palavras-chave de combosquatting extraídas por meio desse processo, por classificação de popularidade. Você pode encontrar a lista abrangente dos 50 principais em nosso GitHub.
Classificação |
Palavra-chave |
|---|---|
1 |
support |
2 |
com |
3 |
login |
4 |
help |
5 |
secure |
6 |
www |
7 |
account |
8 |
app |
9 |
verify |
10 |
service |
Tabela 3: As 10 principais palavras-chave de combosquatting em ordem de popularidade
Isso nos dá uma visão muito clara de quais palavras-chave os invasores estão usando para fraudar as vítimas. Como você pode ver, a palavra-chave de combosquatting mais comumente usada é "support." Provavelmente, porque as páginas de suporte legítimas geralmente são portais dentro de um site, tornando o URL algo como support[.]nome da empresa[.]com.
Surpresas
Uma descoberta surpreendente foi "com." É uma palavra-chave que não esperávamos ter uma classificação tão alta e não teríamos conhecimento dela sem a abordagem baseada em dados descrita e nosso vasto conjunto de dados. Alguns exemplos são accountpaypal-com[.]info e com-apple[.]co.
Outro é "jp", o TLD para o Japão. Alguns exemplos são apple1-jp[.]com e jp-rakuten[.]com. Existem algumas outras palavras-chave nesta lista que são códigos TLD: "US", "UK" e "FR". Isso pode indicar os países mais visados.
Conclusão
As aplicações potenciais de cybersquatting são inúmeras, e as vítimas visadas variam de consumidores individuais a grandes corporações. Isso torna difícil quantificar o dano total que o cybersquatting está causando. Além disso, acreditamos que as campanhas de cybersquatting são gravemente subnotificadas; muitos só são divulgados quando uma grande entidade é afetada.
Esses incidentes de grande escala e seus primos menores são lucrativos — e é fundamental realizarmos análises como esta para aumentar nossa compreensão do comportamento do invasor.
Continuaremos monitorando ameaças como essas para análise posterior e compartilharemos as descobertas com a comunidade. Para se manter atualizado com as pesquisas de segurança mais recentes, siga-nos no Twitter.
