Em 2018, a British Airways foi atacada através da exploração de um pacote JavaScript de terceiros em execução em seu site. O script foi comprometido, e os atacantes adicionaram linhas de código que copiavam automaticamente todos os detalhes de cartão de crédito e transações dos clientes para um novo domínio: baways.com. Este domínio foi astutamente comprado pelos atacantes alguns dias antes da operação.
A cside atualmente possui o baways.com. Se você visitar o site, encontrará uma explicação de todo o ataque do início ao fim. O domínio agora é completamente seguro e serve para fins educacionais.
No entanto, a questão que estamos levantando é esta: Como conseguimos obter um domínio usado anteriormente em um ataque cibernético?
Como adquirimos o baways.com
Quando o ataque aconteceu, o domínio estava hospedado na Romênia por um provedor de hospedagem lituano que oferecia servidores virtuais a preços acessíveis.
Hoje, a cside pode detectar tais anomalias e prevenir problemas semelhantes. Infelizmente, não estávamos disponíveis naquela época. Você pode aprender mais sobre como este ataque aconteceu lendo o artigo completo em baways.com.
O burburinho em torno deste ataque diminuiu após outubro de 2020, quando a British Airways recebeu uma multa recorde por violação de dados. Primeiro estabelecida em £183 milhões, depois reduzida para £20 milhões. Após julho de 2021, eles encerraram o caso ao chegar a um acordo legal com os clientes afetados.
À medida que a cobertura da mídia sobre o incidente eventualmente parou, o mundo seguiu em frente.
Então, como conseguimos adquirir o domínio usado no maior ataque desse tipo na época?
Embora desejássemos compartilhar uma história intrincada de vasculhar fóruns duvidosos e negociar acordos obscuros, a verdade é na verdade mais perturbadora. Nós o compramos em um registro público.
Algumas semanas antes da cside ser oficialmente estabelecida, nosso fundador tuitou o seguinte:
Enquanto examinava pesquisas para o que eventualmente se tornaria a cside, ele examinou artigos sobre a violação de dados da British Airways. Durante esta pesquisa, o domínio em questão chamou sua atenção. Para seu espanto, estava disponível para qualquer pessoa reivindicar.
Comprar um domínio expirado que esteve envolvido em um ataque cibernético é preocupante por várias razões:
Acesso a dados
Obter controle sobre um domínio com uso anterior pode dar acesso aos dados mais privados.
Inti De Ceukelaire, um especialista em segurança cibernética da Bélgica, compartilhou esta postagem de blog em maio de 2024. Ele havia comprado vários domínios expirados anteriormente pertencentes a serviços policiais locais e instituições sociais na Bélgica.
Ele acabou comprando mais de 100 domínios e relatou o seguinte:
"Para os 848 endereços de e-mail que consegui identificar em uma semana, obtive com sucesso os e-mails de redefinição de senha para 80 contas do Dropbox, 142 contas do Google Drive, 57 contas da Microsoft / OneDrive / SharePoint e uma dúzia de contas Smartschool e Doccle. Percebi que ao comprar esses domínios, havia obtido acesso a toneladas de informações sensíveis de cidadãos armazenadas nas contas em nuvem vinculadas a esses endereços de e-mail."
Assim como:
"Esses não foram os únicos e-mails que comecei a receber. Chocantemente, anos após esses endereços de e-mail serem abandonados, eles ainda recebiam informações extremamente sensíveis [...]. Informações confidenciais de justiça, informações sobre detentos libertados e defensores públicos, lembretes de pagamento para pessoas endividadas, e-mails relacionados à saúde ou situação social de pessoas vulneráveis, recebendo convites para comitês especiais, [...]"
Você pode ler sua investigação completa aqui.
Perder a confiança em sua marca
O Royal Mail no Reino Unido usa domínios de aparência incomum que podem minar a confiança. Isso é evidente em outro tweet (postagem no X) que publicamos após encontrarmos este problema nós mesmos. Embora possamos estar mais alertas para este problema, estamos confiantes de que não somos os únicos desconfortáveis em clicar em tais links.
O que tornou a situação pior foi que sua própria equipe de suporte respondeu afirmando que isso era uma mensagem de phishing. Mas isso estava incorreto. Um tweet mais antigo do Royal Mail abaixo usou o mesmo domínio como encurtador de URL. Isso mina a confiança com usuários atentos, demonstrando claramente que as empresas perderam o controle de seus próprios nomes de domínio.
Usaremos o HubSpot como exemplo final. Eles têm dezenas de domínios com níveis variados de estrutura. Esses domínios são usados em vários scripts e em diferentes plataformas:
- hubspot.com
- hs-scripts.com
- hs-banner.com
- hs-analytics.net
- hubapi.com
- hsforms.com
- hscollectedforms.net
- ...
O risco aqui é que as pessoas possam encontrar esses domínios em scripts e não confiar neles ou facilitar para um agente mal-intencionado comprar um domínio que pareça legítimo, pois segue um formato semelhante aos outros domínios.
Domínios são usados em scripts antigos de terceiros
Recentemente relatamos sobre o ataque Polyfill. Um domínio que era usado por um projeto de código aberto foi comprado. O domínio foi então encontrado injetando código malicioso. Este código gerava dinamicamente payloads baseados em cabeçalhos HTTP, ativando apenas em dispositivos específicos, evitando detecção, evitando usuários administradores e atrasando a execução.
Em alguns casos, os usuários recebem arquivos JavaScript adulterados, que incluem um domínio com erro de digitação googie-anaiytics[.]com/gtags.js. Este link redireciona os usuários para vários sites de apostas esportivas e sites adultos com base em sua região. Mas sendo JavaScript, poderia a qualquer momento introduzir novos ataques como formjacking, clickjacking e roubo de dados mais amplo.
No ataque Polyfill, o serviço estava desatualizado e não era mais necessário na maior parte. No entanto, o domínio permaneceu ativo em milhares de sites.
Se não for o domínio sendo comprado, as ferramentas podem falir, ser descontinuadas ou parar de receber atualizações. Quando isso acontece, alguns sites não conseguem remover os scripts desatualizados de seu código. Se o domínio antigo ou script de uma empresa extinta for então adquirido, ele se torna automaticamente incorporado em milhares de sites, criando uma via fácil para ataques.
Muitas ferramentas de segurança verificam apenas as fontes dos scripts, o que nesses casos mencionados não seria suficiente. Os ataques simplesmente fluiriam despercebidos. Leia mais sobre este problema aqui.
A necessidade de monitorar seus scripts
Esta é uma das razões pelas quais o PCI DSS 4.0 exigirá monitoramento e varredura de scripts em portais de pagamento até março de 2025. A cside faz isso automaticamente, até mesmo protegendo scripts de terceiros cada vez que uma página é carregada por um usuário. Isso é feito em todo o seu site, não apenas em portais de pagamento, o que vai além de suas recomendações. Leia aqui para entender por que isso é crítico para a segurança do seu site.
Como resolver a ameaça de domínios expirados
Esta é uma questão multifacetada. Simplesmente comprar um domínio expirado não é ilegal. No entanto, se um nome de domínio for registrado como marca, então comprá-lo (conhecido como cybersquatting) poderia potencialmente violar leis de direitos autorais. Mas isso não impedirá atacantes que geralmente permanecem anônimos e despercebidos.
Obter acesso a e-mails enviados para um domínio anteriormente pertencente a outra pessoa (ou outra empresa) é uma área cinzenta legal e eticamente. Embora alguns países tenham leis que impedem você de abrir correspondência física direcionada a outra pessoa, a aplicação dessas leis a e-mails é frequentemente aberta para debate.
Leis que abordam comunicação eletrônica normalmente proíbem a interceptação de comunicação entre participantes que não consentiram ou não estão cientes. No entanto, no caso de e-mails enviados para um domínio expirado, pode-se argumentar que o destinatário é o proprietário legítimo do nome de domínio e, portanto, o destinatário pretendido.
Leis de privacidade também proíbem o compartilhamento e processamento de dados de indivíduos sem seu consentimento. Então, ao enviar conteúdo para um endereço de e-mail expirado, o remetente pode na verdade violar indiretamente os direitos de privacidade do destinatário devido à falta de diligência devida no endereço de e-mail. Um problema completamente diferente em si.
Como você pode ver, esta é uma questão que é melhor evitar completamente, se possível.
Como empresa ou proprietário de site, tente reter domínios com uso anterior, especialmente aqueles usados para criar contas e transferir dados. Obter domínios semelhantes e impedir que atacantes os usem (isso é chamado de cybersquatting) também deve ser considerado. Mesmo que isso possa potencialmente adicionar custos anuais indesejados.
Se você não puder, ou ao mudar domínios e endereços de e-mail, é importante fornecer um período de ajuste razoável para as pessoas. Se possível, aprimore as medidas de segurança e configure notificações de resposta automática para aqueles que tentam fazer contato durante e após esta transição.
Para proteger seu site de atos maliciosos causados por scripts de terceiros e domínios nesses scripts, a cside está aqui. Fazemos proxy de todos os scripts de terceiros em seu site e verificamos cada sessão antes que o código seja renderizado nos navegadores de seus usuários.
Você pode começar gratuitamente e encontrar nossos planos de preços aqui.
