Executando verificação de segurança...
9
RavenaStar
5 min de leitura ·

Subdomínios Gratuitos: O Truque que Mantém Campanhas de Phishing Sempre Ativas 🎭

📌 RESUMO

Golpistas frequentemente registram domínios pagos (.com, .net, etc.) para hospedar sites de phishing ou malware. Quando denunciados, esses domínios são bloqueados, gerando uma falsa sensação de sucesso na mitigação. No entanto, subdomínios gratuitos, associados a serviços como GitHub Pages, Vercel, Netlify, entre outras, podem permanecer ativos, servindo como pontos de persistência para ataques. Esses subdomínios oferecem pistas forenses valiosas, mesmo após o domínio principal ser derrubado, e exigem estratégias de investigação proativas.

🚨 1. Contexto e Desafio

🔨 1.1 Domínios Pagos: Alvo Prioritário de Takedowns

Criminosos usam domínios pagos para:

  • Phishing 🎣 (páginas falsas de login)
  • Typosquatting 🏷️ (domínios com erros ortográficos)
  • Distribuição de malware 🦠 (via downloads)
  • 📑 Entre outras formas de ataque.

O uso de um domínio pago, com extensões como .com, .net, .org, entre outras, transmite credibilidade e profissionalismo, aumentando a taxa de sucesso dos golpes. Usuários desavisados tendem a confiar mais em sites que seguem padrões reconhecidos na internet, o que favorece a coleta de credenciais e a disseminação de ataques.

Quando o site malicioso é denunciado, o registrador pode suspendê-lo rapidamente, removendo-o do ar em poucas horas ou dias. No entanto, isso não encerra completamente a campanha, pois criminosos frequentemente exploram subdomínios gratuitos associados a serviços como GitHub Pages, Vercel, Netlify, entre outros, mantendo pontos de persistência ativos para seus ataques.

🕵️‍♂️ 1.2 Subdomínios Gratuitos: A Persistência Invisível

Serviços como Netlify, Vercel, GitHub Pages e outras plataformas, permitem criar subdomínios grátis (ex: phishing.netlify.app). Mesmo que o domínio principal (phishing.com) seja bloqueado, esses subdomínios continuam:

  • Ativos → Funcionam independentemente do domínio pago.
  • Não monitorados → Muitas vezes ignorados em ações de takedown.

🔗 2. Mecanismos Técnicos de Persistência

🔄 2.1 Configurações DNS Remanescentes

  • CNAMEs Ocultos: Se phishing.com tem um registro CNAME apontando para phishing.netlify.app, muita das vezes o subdomínio gratuito sobrevive ao takedown.
  • DNS Dinâmico: Ferramentas de DDNS renovam subdomínios automaticamente, dificultando bloqueios.

🤖 2.2 Automação em Massa

Ataques modernos usam scripts para:

  1. Gerar subdomínios grátis em múltiplos serviços.
  2. Replicar códigos maliciosos via CI/CD (GitHub Actions, etc.).

🛡️ 3. Investigação e Resposta a Incidentes

🔎 3.1 Coleta de Evidências em Subdomínios Ativos

  • Capturas de Tela 📸: Use gowitness, urlscan.io, Wayback Machine, entre outras, para documentar páginas.
  • Logs de DNS 📜: Ferramentas como dnstwist.it,viewdns.info, entre outras, identificam subdomínios vinculados.
  • Consulta WHOIS 🕵️: Use whois para verificar registradores e datas de criação (ex: whois.com/whois/phishing.com).
  • 📑 Entre outras ferramentas e fontes relevantes.

🧩 3.2 Correlação de Dados com OSINT

Subdomínios ativos podem revelar:

  • Certificados TLS 🔑: Domínios vinculados via SSL (use crt.sh).
  • Metadados de Hospedagem 📡: IPs, ASNs e geolocalização.
  • 📑 Entre outras fontes relevantes.

🚨 3.3 Takedown Estratégico

  • Alvo Duplo: Sempre denuncie tanto o domínio principal (pago) quanto os subdomínios gratuitos associados, garantindo a desativação completa da infraestrutura maliciosa.

🛠️ 4. Ferramentas e Boas Práticas

  • 🕵️ WHOIS:
    Identifique registradores e histórico de domínios.

  • 🔍 Enumeração de Subdomínios:
    Utilize scanners de DNS, como Amass, Sublist3r, assetfinder e outros, para identificar subdomínios gratuitos associados ao alvo.

  • 📡 Monitoramento Contínuo:
    Configure inteligência de ameaças para alertar quando novos subdomínios aparecerem no DNS reverso.

  • 🚀 Takedown Multivetor:
    Além de denunciar ao registrador, entre em contato com o suporte do serviço de hospedagem (Netlify, Vercel, etc.) para remoção.

  • 📑 Entre outras ferramentas e boas práticas.

🏆 5. Registro Forense em Plataformas OSINT

Armazene evidências em:

  • VirusTotal 🛡️: Relatórios de URLs e arquivos.
  • urlscan.io 🔍: Relatórios de URLs.
  • Wayback Machine ⏳: Histórico de snapshots.
  • WHOIS Databases 🌐: Consultas públicas (ex: ICANN Lookup).
  • Tria.ge 🚀: Análise dinâmica de malware.
  • 📑 Entre outras ferramentas, use a SEC GUIDE para consultar algumas das ferramentas OSINT.

Por que documentar?

  • Preservar provas antes do takedown.
  • Identificar padrões para futuras investigações (ex: mesmo certificado TLS em múltiplos subdomínios).

🧾 6. Cheatsheet de Subdomínios Gratuitos

Cloudflare Pages:
    - [nome].pages.dev

GitHub Pages:
    - [nome].github.io

GitLab Pages:
    - [nome].gitlab.io

Netlify:
    - [nome].netlify.app

Vercel:
    - [nome].vercel.app

Firebase Hosting:
    - [nome].web.app
    - [nome].firebaseapp.com

Render:
    - [nome].onrender.com

Surge:
    - [nome].surge.sh

Glitch:
    - [nome].glitch.me

AWS Amplify:
    - [branch-hash].amplifyapp.com

Heroku:
    - [nome].herokuapp.com

Hostinger:
    - [nome].hostingerapp.com

000Webhost:
    - [nome].000webhostapp.com

InfinityFree:
    - [nome].epizy.com
    - [nome].rf.gd

Neocities:
    - [nome].neocities.org

Replit:
    - [nome].replit.app

Railway:
    - [id].up.railway.app

🛡️ BÔNUS: Guia básico para Vítimas de Crimes Cibernéticos

🔍 Passos Imediatos (Até 72h Após o Golpe)

📌 1. Registro Digital de Provas

  • Utilize Verifact para:
    ✅ Captura automática de URLs e metadados
    ✅ Carimbo de tempo com validade jurídica
    ✅ Custos até 80% menores que ata notarial

📌 2. Registre um Boletim de Ocorrência

Formalize sua denúncia na delegacia especializada em crimes digitais para garantir que a investigação ocorra corretamente.

📌 3. Consulte Profissionais Especializados

Busque apoio de investigadores e advogados especializados em crimes cibernéticos para aumentar suas chances de recuperação.

🛠️ Melhores Práticas Complementares

  • 📅 Cronologia Detalhada
    Documente horários exatos de todas as interações e eventos relacionados ao crime.

  • 🖥️ Preservação de Dispositivos
    Evite reinstalar o sistema operacional ou apagar dados até que a perícia seja realizada.

  • 🔔 Monitoramento Pós-Ataque
    Configure alertas para:

    • 🏷️ Novos registros DNS com seu nome
    • 🔍 Vazamentos em bancos de dados (Have I Been Pwned)
    • 💳 Movimentações atípicas em crédito (Serasa Alerta)

📌 Manter uma documentação completa aumenta suas chances de recuperação de perdas e responsabilização dos criminosos.

icon COMPLEMENTARES

Carregando publicação patrocinada...
6
kgzin

Adorei o artigo, agrega valor e conhecimento trazendo detalhes de como subdominios são utilizados para manter as campanhas de phishing online. Mas parece que algumas pessoas faltaram na aula de interpretação de texto...

1
RavenaStar
  • Autor
    Autor

É uma dádiva quando alguém reconhece o valor real de um artigo.

Lamentavelmente, não posso afirmar o mesmo para alguns, pois, ao meu ver, aparentam ser analfabetos funcionais... Por isso, uso esta frase como referência:

“Ninguém atira pedras em árvores sem frutos. Quando for atacado, não se sinta incomodado. Tenha certeza de que o incômodo vem do outro, que não aceita o seu brilho e, no fundo, deseja ter a sua luz.”

5
JuanMathewsRebelloSantos

"Ah, aqueles subdomínios do gov.br, né? quem lembra? Extremamente 'bem cuidados', cheios de brechas e usados à vontade em ataques de spoofing — principalmente por prefeituras do interior. Um verdadeiro show de horrores. Segurança da informação no Brasil? Só pode ser piada de mau gosto."

1
RavenaStar
  • Autor
    Autor

Não são apenas os subdomínios do gov.br; isso também ocorre com subdomínios de BigTechs internacionais e nacionais. Algumas respondem rapidamente aos pedidos de "abuse report" e conseguem realizar o takedown do site malicioso de forma eficiente, tanto para domínios pagos quanto gratuitos.

Porém, meu artigo é meramente informativo, com o objetivo de mostrar que essa técnica existe, como investigá-la, como evitá-la e como agir caso seja vítima.

Como é um assunto um pouco complexo e há várias vertentes, tentei deixar o texto o mais simples possível, sem "escovar bits" e mais direto.

4
2
2
loremipsun

"Desavisados? É sério isso?

A carga de responsabilidade sobre os usuários está cada vez mais insustentável. Se uma plataforma de desenvolvimento de código, com todos os seus recursos e aliada à inteligência artificial, não consegue identificar tais ações, como o usuário pode lidar com tanto estresse?

Links pipocam por todos os lados — afinal, sem links, a internet não existiria. Os cookies são aceitos em loop infinito; o botão "Saiba mais" leva a outro site que, por sua vez, também pede autorização, junto com outro botão de "Saiba mais". A personalização é tão (ou mais) ineficiente quanto os avisos de cookies da União Europeia.

Por Deus, quem é o culpado disso? Ah, o "desavisado", porque ele não foi avisado... ou foi avisado demais, como o Pedro do conto do lobo.

E já que estamos aqui, não podemos deixar de citar a insistência do Google para trocar senhas — como se a criptografia fosse apenas uma desculpa para que os dados do usuário mudem de mão, mantendo "anonimamente" atualizadas as informações de todos.

Será que é a Microsoft que vai nos salvar disso? Com aquele cofre antiquado, mas eficiente... Enquanto isso, biometria e reconhecimento facial ainda demoram para substituir nossos velhos teclados."

3
RavenaStar
  • Autor
    Autor

Entendo sua preocupação, mas acredito que houve um pequeno equívoco na interpretação. Vamos esclarecer alguns pontos importantes:

  1. Sobre o termo "desavisados":
    • Refere-se simplesmente a pessoas que ainda não tiveram acesso a determinadas informações sobre segurança digital.
    • Assim como ninguém nasce sabendo dirigir, ninguém nasce sabendo identificar golpes online - isso se aprende!
  2. Objetivo do post:
    • Não se trata de culpar usuários, mas sim de:
      • Explicar táticas usadas por criminosos
      • Compartilhar conhecimento preventivo
      • Oferecer recursos para quem já foi vítima
  3. Sobre a responsabilidade:
    • Concordo que as plataformas precisam melhorar seus sistemas de detecção.
    • Porém, enquanto isso não acontece de forma ideal, a informação ainda é nossa melhor defesa.
  4. Comparação ilustrativa:
    • Alertar sobre golpes online é como ensinar sobre:
      • Não falar com estranhos (segurança pessoal)
      • Olhar para os dois lados antes de atravessar (segurança no trânsito)
    • Ninguém diria que isso é "culpar a vítima", certo?

🛡️ Resumo Final:

  • O post visa capacitar, não culpar.
  • Informação de qualidade é diferente de culpabilização.
  • Ignorar esses alertas seria como desligar o alarme de fumaça porque "a casa não deveria pegar fogo".

"O conhecimento nos torna menos vulneráveis. Negá-lo não resolve os problemas, apenas nos deixa mais expostos."

📌 P.S.: Se mesmo assim achar que alertas preventivos são inúteis, sugiro refletir: qual seria a alternativa prática para proteger as pessoas hoje, enquanto as plataformas não resolvem o problema?

4
VictorCorrea

"Enquanto o cenário ideal ainda não se concretiza, a informação continua sendo nossa melhor defesa."

Essa é uma corrida em que quase sempre estamos um passo atrás.
Na mesma velocidade em que desenvolvemos soluções para combater os golpes, os golpistas se reinventam.

Sem dúvidas, o conhecimento é a nossa melhor arma nessa luta.

Parabéns pelo post! Já compartilhei com meus familiares — foi realmente uma aula.

1
1
loremipsun

"Eu também já me perdi nesses domínios malditos da Microsoft — aqueles subdomínios de teste que parecem feitos pra confundir, não pra ajudar. E quando eu falei do 'cofre antiquado', não era o BitLocker nem o Authenticator (que, aliás, tá com os dias contados mesmo). Era aquela coisa antiga do Windows que ninguém lembra o nome, mas todo mundo já viu: o lugar onde senhas ficam meio perdidas, meio salvas, sem nenhuma explicação decente.

A Microsoft sabe que sua bagunça é intencional. Eles fragmentam tudo — dispositivo, conta, sessão — pra ninguém entender direito. E aí jogam a culpa no usuário: 'Ah, mas você não configurou o MFA direito'. Como se uma pessoa normal soubesse que 'dispositivo confiável' não é o PC, nem o celular, mas um token escondido em algum JSON do Azure.

E os smartphones? Esquece. Eles querem ser irrelevantes em mobile, porque no desktop eles têm o monopólio na base do 'funciona, mas só se você rezar'.

Mas sabe o que me deixa mais puta?

E-mails, Assinaturas e Emojis Vigaristas

Os 'Enviado do meu iPhone' ou 'Microsoft 365 Certified' carregados metadados e de quebra tracking pixel mais vendido que os "fone" de 10,
Vamos colocar mais águano feijão, obrigado HubSpot e Mailchimp e os códigos de rastreamento. Se você responde um e-mail, eles sabem quando, de onde e quantas vezes você abriu. Assinou? É só servir.

  • Endereços de e-mail manipulados: é prato cheio pra te rastrear e pra fechar com a senha de ouro, cobertura dos domínios dinâmicos recheado de automação e É óbvio que ninguém vai te avisar sobre isso né não?
2
RavenaStar
  • Autor
    Autor

O phishing de e-mail e os chamados "endereços de e-mail manipulados" são práticas muito comuns na web por golpistas. Felizmente, há ótimos conteúdos disponíveis que abordam esse tema com profundidade. Aqui estão alguns exemplos:

Esses conteúdos ajudam a entender melhor as táticas utilizadas por criminosos digitais e como se proteger contra essas ameaças.

Entre outras informações e estratégias.

-3
2
RavenaStar
  • Autor
    Autor

Lamentável é quem acha que o texto foi gerado 100% usando IA e que não houve nenhum esforço humano envolvido, sendo que trabalho na área de educação cibernética...

A IA, na vasta maioria das vezes, não incluirá informações redundantes, como as presentes no artigo, nem apresentará detalhes específicos mencionados no mesmo (geralmente, fornecem dados genéricos e públicos). Além disso, não abordam projetos pessoais citados no artigo. Caso tenha lido por completo, saberá, e entre outras particularidades.

acho que você tem que rever suas "acusações" ou "análises", antes de sair informando: "ctrl-Vzão direto do ChatGPT".

Acredito que muitos usam o ChatGPT para produtividade, poupar tempo, organizar, formatar textos, otimizar algo previamente escrito (já com expertise e conhecimento sobre o assunto), simplificar e afins. Para esse uso, a meu ver, não há problema algum em utilizar tal tecnologia, já que estará sendo usada para agregar valor e trazer conhecimento ao público, não para disseminar desinformações, fake news e afins.

Porém, há usuários (não citarei nomes) que geram textos no ChatGPT, enviam e sequer se dão ao trabalho de formatá-los, organizá-los e afins. Apenas fazem um "copy-paste" do texto cru e enviam no chat, apenas para farmar tabcoins.

Diferente de alguns, consigo discernir quando um conteúdo foi realmente feito 100% por uma IA e quando houve um esforço humano envolvido, valorizando, assim, o valor real do artigo e incentivando o autor(a).

Dica: Às vezes, uma análise holística da situação ajuda, antes de sair comentando algo sem saber...