Uma análise dos dados do serviço whois RuCenter referentes aos primeiros seis meses deste ano mostrou um interesse crescente nos domínios de empresas russas. Com um total de 51,8 milhões de solicitações, mais de 39 milhões foram para domínios pertencentes a pessoas jurídicas. Segundo especialistas, isso se deve não tanto à demanda por inteligência competitiva, mas às ações de invasores, para os quais os domínios corporativos são o ponto de partida dos ataques.
Fonte da imagem: Glenn Carstens-Peters / Unsplash
O relatório afirma que, no primeiro semestre do ano, a intensidade média de monitoramento por domínio corporativo foi duas vezes maior que no mesmo período do ano passado. O número de endereços IP únicos a partir dos quais as solicitações foram feitas atingiu 3,2 milhões de unidades. Ao mesmo tempo, apenas 3% dos endereços IP eram russos, e a maior parte da atividade foi gerada a partir dos Estados Unidos (30%). O serviço de segurança da informação RuCenter classificou cerca de 15 mil endereços IP como questionáveis durante o trimestre. Destes, 65% estavam associados a ferramentas de anonimização de tráfego, 30% estavam associados a atividades de vírus conhecidas e 5% eram endereços IP associados a mensagens de spam, centros de controle de botnets e grupos de hackers.
O RuCenter acredita que tal atividade indica coleta sistemática de informações sobre domínios pertencentes a empresas, o que pode criar uma série de ameaças graves. Não se trata apenas da possibilidade de interceptação legítima de domínios (cybersquatting) após o vencimento do registro para fins de revenda posterior ao proprietário original. Uma das principais ameaças é a possibilidade de comprometer a conta do administrador.
“Isso dá ao invasor não apenas acesso ao domínio, mas também a capacidade de interceptar o e-mail corporativo da empresa. O resultado é um vazamento de dados críticos sobre a empresa e seus clientes. Uma conta pode ser comprometida de várias maneiras: desde hackear o e-mail de um funcionário responsável até métodos de engenharia social”, observa Sergey Zhurilo, Diretor de Segurança da Informação da RuCenter.
Mikhail Khlebunov, Diretor de Produtos da Servicepipe, acrescentou que os meios de coleta e análise de dadosOs ativos permitem descobrir não apenas endereços IP, domínios e subdomínios de uma organização. Com a ajuda deles, é possível coletar dados sobre endereços de caixa de correio, telefones, números ASN (identificadores globais para acelerar o roteamento de tráfego), intervalos CIDR (designações de blocos de endereços IP relacionados às atividades de uma organização), etc. Ele observou que tal análise pode ser realizada por concorrentes, mas geralmente, nesses casos, a inteligência é de natureza pontual. Se houver monitoramento em massa de intensidade, provavelmente é de natureza maliciosa.