Executando verificação de segurança...
8
RavenaStar
5 min de leitura ·

Subdomínios Gratuitos: O Truque que Mantém Campanhas de Phishing Sempre Ativas 🎭

📌 RESUMO

Golpistas frequentemente registram domínios pagos (.com, .net, etc.) para hospedar sites de phishing ou malware. Quando denunciados, esses domínios são bloqueados, gerando uma falsa sensação de sucesso na mitigação. No entanto, subdomínios gratuitos, associados a serviços como GitHub Pages, Vercel, Netlify, entre outras, podem permanecer ativos, servindo como pontos de persistência para ataques. Esses subdomínios oferecem pistas forenses valiosas, mesmo após o domínio principal ser derrubado, e exigem estratégias de investigação proativas.

🚨 1. Contexto e Desafio

🔨 1.1 Domínios Pagos: Alvo Prioritário de Takedowns

Criminosos usam domínios pagos para:

  • Phishing 🎣 (páginas falsas de login)
  • Typosquatting 🏷️ (domínios com erros ortográficos)
  • Distribuição de malware 🦠 (via downloads)
  • 📑 Entre outras formas de ataque.

O uso de um domínio pago, com extensões como .com, .net, .org, entre outras, transmite credibilidade e profissionalismo, aumentando a taxa de sucesso dos golpes. Usuários desavisados tendem a confiar mais em sites que seguem padrões reconhecidos na internet, o que favorece a coleta de credenciais e a disseminação de ataques.

Quando o site malicioso é denunciado, o registrador pode suspendê-lo rapidamente, removendo-o do ar em poucas horas ou dias. No entanto, isso não encerra completamente a campanha, pois criminosos frequentemente exploram subdomínios gratuitos associados a serviços como GitHub Pages, Vercel, Netlify, entre outros, mantendo pontos de persistência ativos para seus ataques.

🕵️‍♂️ 1.2 Subdomínios Gratuitos: A Persistência Invisível

Serviços como Netlify, Vercel, GitHub Pages e outras plataformas, permitem criar subdomínios grátis (ex: phishing.netlify.app). Mesmo que o domínio principal (phishing.com) seja bloqueado, esses subdomínios continuam:

  • Ativos → Funcionam independentemente do domínio pago.
  • Não monitorados → Muitas vezes ignorados em ações de takedown.

🔗 2. Mecanismos Técnicos de Persistência

🔄 2.1 Configurações DNS Remanescentes

  • CNAMEs Ocultos: Se phishing.com tem um registro CNAME apontando para phishing.netlify.app, muita das vezes o subdomínio gratuito sobrevive ao takedown.
  • DNS Dinâmico: Ferramentas de DDNS renovam subdomínios automaticamente, dificultando bloqueios.

🤖 2.2 Automação em Massa

Ataques modernos usam scripts para:

  1. Gerar subdomínios grátis em múltiplos serviços.
  2. Replicar códigos maliciosos via CI/CD (GitHub Actions, etc.).

🛡️ 3. Investigação e Resposta a Incidentes

🔎 3.1 Coleta de Evidências em Subdomínios Ativos

  • Capturas de Tela 📸: Use gowitness, urlscan.io, Wayback Machine, entre outras, para documentar páginas.
  • Logs de DNS 📜: Ferramentas como dnstwist.it,viewdns.info, entre outras, identificam subdomínios vinculados.
  • Consulta WHOIS 🕵️: Use whois para verificar registradores e datas de criação (ex: whois.com/whois/phishing.com).
  • 📑 Entre outras ferramentas e fontes relevantes.

🧩 3.2 Correlação de Dados com OSINT

Subdomínios ativos podem revelar:

  • Certificados TLS 🔑: Domínios vinculados via SSL (use crt.sh).
  • Metadados de Hospedagem 📡: IPs, ASNs e geolocalização.
  • 📑 Entre outras fontes relevantes.

🚨 3.3 Takedown Estratégico

  • Alvo Duplo: Sempre denuncie tanto o domínio principal (pago) quanto os subdomínios gratuitos associados, garantindo a desativação completa da infraestrutura maliciosa.

🛠️ 4. Ferramentas e Boas Práticas

  • 🕵️ WHOIS:
    Identifique registradores e histórico de domínios.

  • 🔍 Enumeração de Subdomínios:
    Utilize scanners de DNS, como Amass, Sublist3r, assetfinder e outros, para identificar subdomínios gratuitos associados ao alvo.

  • 📡 Monitoramento Contínuo:
    Configure inteligência de ameaças para alertar quando novos subdomínios aparecerem no DNS reverso.

  • 🚀 Takedown Multivetor:
    Além de denunciar ao registrador, entre em contato com o suporte do serviço de hospedagem (Netlify, Vercel, etc.) para remoção.

  • 📑 Entre outras ferramentas e boas práticas.

🏆 5. Registro Forense em Plataformas OSINT

Armazene evidências em:

  • VirusTotal 🛡️: Relatórios de URLs e arquivos.
  • urlscan.io 🔍: Relatórios de URLs.
  • Wayback Machine ⏳: Histórico de snapshots.
  • WHOIS Databases 🌐: Consultas públicas (ex: ICANN Lookup).
  • Tria.ge 🚀: Análise dinâmica de malware.
  • 📑 Entre outras ferramentas, use a SEC GUIDE para consultar algumas das ferramentas OSINT.

Por que documentar?

  • Preservar provas antes do takedown.
  • Identificar padrões para futuras investigações (ex: mesmo certificado TLS em múltiplos subdomínios).

🧾 6. Cheatsheet de Subdomínios Gratuitos

Cloudflare Pages:
    - [nome].pages.dev

GitHub Pages:
    - [nome].github.io

GitLab Pages:
    - [nome].gitlab.io

Netlify:
    - [nome].netlify.app

Vercel:
    - [nome].vercel.app

Firebase Hosting:
    - [nome].web.app
    - [nome].firebaseapp.com

Render:
    - [nome].onrender.com

Surge:
    - [nome].surge.sh

Glitch:
    - [nome].glitch.me

AWS Amplify:
    - [branch-hash].amplifyapp.com

Heroku:
    - [nome].herokuapp.com

Hostinger:
    - [nome].hostingerapp.com

000Webhost:
    - [nome].000webhostapp.com

InfinityFree:
    - [nome].epizy.com
    - [nome].rf.gd

Neocities:
    - [nome].neocities.org

Replit:
    - [nome].replit.app

Railway:
    - [id].up.railway.app

🛡️ BÔNUS: Guia básico para Vítimas de Crimes Cibernéticos

🔍 Passos Imediatos (Até 72h Após o Golpe)

📌 1. Registro Digital de Provas

  • Utilize Verifact para:
    ✅ Captura automática de URLs e metadados
    ✅ Carimbo de tempo com validade jurídica
    ✅ Custos até 80% menores que ata notarial

📌 2. Registre um Boletim de Ocorrência

Formalize sua denúncia na delegacia especializada em crimes digitais para garantir que a investigação ocorra corretamente.

📌 3. Consulte Profissionais Especializados

Busque apoio de investigadores e advogados especializados em crimes cibernéticos para aumentar suas chances de recuperação.

🛠️ Melhores Práticas Complementares

  • 📅 Cronologia Detalhada
    Documente horários exatos de todas as interações e eventos relacionados ao crime.

  • 🖥️ Preservação de Dispositivos
    Evite reinstalar o sistema operacional ou apagar dados até que a perícia seja realizada.

  • 🔔 Monitoramento Pós-Ataque
    Configure alertas para:

    • 🏷️ Novos registros DNS com seu nome
    • 🔍 Vazamentos em bancos de dados (Have I Been Pwned)
    • 💳 Movimentações atípicas em crédito (Serasa Alerta)

📌 Manter uma documentação completa aumenta suas chances de recuperação de perdas e responsabilização dos criminosos.

icon COMPLEMENTARES

💡 EM RELAÇÃO AO POST

  • O post visa capacitar, não culpar.
  • Não é destinado a todos os públicos. Pessoas idosas ou que não têm tanto domínio do assunto devem receber auxílio de familiares que possuam tal conhecimento.
  • Apresenta apenas uma visão underground da situação abordada, sem "escovar bits" ou expor informações técnicas ao extremo.
  • Contém informações baseadas em análise, investigação e prevenção.
  • Revela técnicas utilizadas por golpistas para manter campanhas de phishing ativas.
  • Não informa todas as técnicas possíveis, pois, do contrário, o artigo ficaria muito extenso.
Carregando publicação patrocinada...
7
JuanMathewsRebelloSantos

"Ah, aqueles subdomínios do gov.br, né? quem lembra? Extremamente 'bem cuidados', cheios de brechas e usados à vontade em ataques de spoofing — principalmente por prefeituras do interior. Um verdadeiro show de horrores. Segurança da informação no Brasil? Só pode ser piada de mau gosto."

1
RavenaStar
  • Autor
    Autor

Não são apenas os subdomínios do gov.br; isso também ocorre com subdomínios de BigTechs internacionais e nacionais. Algumas respondem rapidamente aos pedidos de "abuse report" e conseguem realizar o takedown do site malicioso de forma eficiente, tanto para domínios pagos quanto gratuitos.

Porém, meu artigo é meramente informativo, com o objetivo de mostrar que essa técnica existe, como investigá-la, como evitá-la e como agir caso seja vítima.

Como é um assunto um pouco complexo e há várias vertentes, tentei deixar o texto o mais simples possível, sem "escovar bits" e mais direto.

0
0
0
kgzin

Adorei o artigo, agrega valor e conhecimento trazendo detalhes de como subdominios são utilizados para manter as campanhas de phishing online. Mas parece que algumas pessoas faltaram na aula de interpretação de texto...

0
RavenaStar
  • Autor
    Autor

É uma dádiva quando alguém reconhece o valor real de um artigo.

Lamentavelmente, não posso afirmar o mesmo para alguns, pois, ao meu ver, aparentam ser analfabetos funcionais... Por isso, uso esta frase como referência:

“Ninguém atira pedras em árvores sem frutos. Quando for atacado, não se sinta incomodado. Tenha certeza de que o incômodo vem do outro, que não aceita o seu brilho e, no fundo, deseja ter a sua luz.”

0
loremipsun

"Desavisados? É sério isso?

A carga de responsabilidade sobre os usuários está cada vez mais insustentável. Se uma plataforma de desenvolvimento de código, com todos os seus recursos e aliada à inteligência artificial, não consegue identificar tais ações, como o usuário pode lidar com tanto estresse?

Links pipocam por todos os lados — afinal, sem links, a internet não existiria. Os cookies são aceitos em loop infinito; o botão "Saiba mais" leva a outro site que, por sua vez, também pede autorização, junto com outro botão de "Saiba mais". A personalização é tão (ou mais) ineficiente quanto os avisos de cookies da União Europeia.

Por Deus, quem é o culpado disso? Ah, o "desavisado", porque ele não foi avisado... ou foi avisado demais, como o Pedro do conto do lobo.

E já que estamos aqui, não podemos deixar de citar a insistência do Google para trocar senhas — como se a criptografia fosse apenas uma desculpa para que os dados do usuário mudem de mão, mantendo "anonimamente" atualizadas as informações de todos.

Será que é a Microsoft que vai nos salvar disso? Com aquele cofre antiquado, mas eficiente... Enquanto isso, biometria e reconhecimento facial ainda demoram para substituir nossos velhos teclados."

3
RavenaStar
  • Autor
    Autor

Entendo sua preocupação, mas acredito que houve um pequeno equívoco na interpretação. Vamos esclarecer alguns pontos importantes:

  1. Sobre o termo "desavisados":
    • Refere-se simplesmente a pessoas que ainda não tiveram acesso a determinadas informações sobre segurança digital.
    • Assim como ninguém nasce sabendo dirigir, ninguém nasce sabendo identificar golpes online, isso se aprende!
  2. Objetivo do post:
    • Não se trata de culpar usuários, mas sim de:
      • Explicar táticas usadas por criminosos
      • Compartilhar conhecimento preventivo
      • Oferecer recursos para quem já foi vítima
  3. Sobre a responsabilidade:
    • Concordo que as plataformas precisam melhorar seus sistemas de detecção.
    • Porém, enquanto isso não acontece de forma ideal, a informação ainda é nossa melhor defesa.
  4. Comparação ilustrativa:
    • Alertar sobre golpes online é como ensinar sobre:
      • Não falar com estranhos (segurança pessoal)
      • Olhar para os dois lados antes de atravessar (segurança no trânsito)
    • Ninguém diria que isso é "culpar a vítima", certo?

🛡️ Resumo Final:

  • O post visa capacitar, não culpar.
  • Informação de qualidade é diferente de culpabilização.
  • Ignorar esses alertas seria como desligar o alarme de fumaça porque "a casa não deveria pegar fogo".

"O conhecimento nos torna menos vulneráveis. Negá-lo não resolve os problemas, apenas nos deixa mais expostos."

📌 P.S.: Se mesmo assim achar que alertas preventivos são inúteis, sugiro refletir: qual seria a alternativa prática para proteger as pessoas hoje, enquanto as plataformas não resolvem o problema?

7
VictorCorrea

"Enquanto o cenário ideal ainda não se concretiza, a informação continua sendo nossa melhor defesa."

Essa é uma corrida em que quase sempre estamos um passo atrás.
Na mesma velocidade em que desenvolvemos soluções para combater os golpes, os golpistas se reinventam.

Sem dúvidas, o conhecimento é a nossa melhor arma nessa luta.

Parabéns pelo post! Já compartilhei com meus familiares — foi realmente uma aula.

1
1
loremipsun

Puxa Ravena (adoro este nome!) talvez - por patinar há tanto tempo neste tópico e zero avanço - não tenha me dado o 'o meu contexto' de forma correta. Vou tentar não ser a bruxa do velho oeste novamente.

  • Entender sobre os milhares informações de segurança - deixadas em todos os sites, de golpistas ou não - é algo que um usuário qualquer possa realmente entender, mesmo que realmente tente fazê-lo (em vão já tentei muitas vezes)
  • não é algo que possa ser aprendido sem uma necessidade real ou um esforço hercúleo.
  • houve um golpe real? então buscar uma autoridade é a única solução viável para quase 100% dos usuários.

O POST É REALMENTE ÚTIL!

  • Entendi que se trata realmente de algo útil para alguém que como eu que mesmo não sendo desenvolvedora já testei milhares de cenários sem medo de errar, sem medo de golpes, sem medo de questionar e posso não ter conseguido realmente entender como me proteger, aliás me proteger do que?
  • Minha opinião sobre pessoas que tem a mesma opinião que o https://www.tabnews.com.br/fuze é algo simples de assimilar: se hoje temos a disposição uma ferramenta que nos ajude apenas reescrevendo um texto gerado a partir de um pensamento próprio, eu posso e vou usar.
  • Nisso tudo notei que 'erros' muito pontuais servem para encontrar certos conteúdos exclusivos na web. É como um mapa do tesouro ou o que quer que seja que apenas um grupo 'merece ter acesso'.

QUEM IRÁ RESOLVER O PROBLEMA?
Me parece que plataforma nenhuma está interessada nisso e quem são elas?
Os 'recursos' de investigação citados no post servem para diversos propósitos, são ferramentas e vão além saber se sou vítima ou não.

CAPACITAR?
Prometo que tentarei, com força! Devo encaminhar este e-mail para meu pai que tem 85 anos e tem sua tela do celular bloqueada por pop ups todos os dias?
Prometo voltar aqui, este post merece continuidade, talvez um outro pensamento sobre tudo isso e quem sabe alguma ação de cobrança efetiva para que as plataformas tomem uma atitude real?

Obrigada de verdade pelo post e sua intervenção! <3

2
RavenaStar
  • Autor
    Autor

No final do post, há o "Guia Básico para Vítimas de Crimes Cibernéticos", que detalha os procedimentos para que o usuário tenha total certeza ao conseguir derrubar completamente a campanha golpista. Na maioria das vezes, recorrer à Justiça pode ser custoso e, quando o usuário tem poucas informações sobre a campanha de phishing, ele não consegue derrubá-la completamente por meio da polícia, Justiça e afins.

Caso o usuário seja vítima de um golpe financeiro, os procedimentos são diferentes e vão além do que é abordado no artigo. O artigo, por sua vez, explica como os golpistas conseguem manter campanhas de phishing ativas e quais são os passos corretos para derrubá-las completamente.

Se cada pessoa realizasse os passos do artigo para derrubar as campanhas de phishing, garanto que seria possível mitigar uma grande quantidade de anúncios fraudulentos. Muita gente cai nesses golpes, e os principais alvos são pessoas idosas, crianças, jovens e afins. Portanto, a ajuda de quem tem mais conhecimento pode proteger os mais vulneráveis.

Em relação às pessoas idosas que não têm tanta familiaridade com tecnologia, esse conhecimento pode ser desafiador. Por isso, elas devem sempre receber o auxílio de familiares que tenham experiência na área.

Como VictorCorrea informou anteriormente: "Enquanto o cenário ideal ainda não se concretiza, a informação continua sendo nossa melhor defesa."

✨ Gratidão por achar o post útil. Sempre tento compartilhar um conhecimento mais acessível e gratuito na web.

1
loremipsun

"Eu também já me perdi nesses domínios malditos da Microsoft — aqueles subdomínios de teste que parecem feitos pra confundir, não pra ajudar. E quando eu falei do 'cofre antiquado', não era o BitLocker nem o Authenticator (que, aliás, tá com os dias contados mesmo). Era aquela coisa antiga do Windows que ninguém lembra o nome, mas todo mundo já viu: o lugar onde senhas ficam meio perdidas, meio salvas, sem nenhuma explicação decente.

A Microsoft sabe que sua bagunça é intencional. Eles fragmentam tudo — dispositivo, conta, sessão — pra ninguém entender direito. E aí jogam a culpa no usuário: 'Ah, mas você não configurou o MFA direito'. Como se uma pessoa normal soubesse que 'dispositivo confiável' não é o PC, nem o celular, mas um token escondido em algum JSON do Azure.

E os smartphones? Esquece. Eles querem ser irrelevantes em mobile, porque no desktop eles têm o monopólio na base do 'funciona, mas só se você rezar'.

Mas sabe o que me deixa mais puta?

E-mails, Assinaturas e Emojis Vigaristas

Os 'Enviado do meu iPhone' ou 'Microsoft 365 Certified' carregados metadados e de quebra tracking pixel mais vendido que os "fone" de 10,
Vamos colocar mais águano feijão, obrigado HubSpot e Mailchimp e os códigos de rastreamento. Se você responde um e-mail, eles sabem quando, de onde e quantas vezes você abriu. Assinou? É só servir.

  • Endereços de e-mail manipulados: é prato cheio pra te rastrear e pra fechar com a senha de ouro, cobertura dos domínios dinâmicos recheado de automação e É óbvio que ninguém vai te avisar sobre isso né não?
2
RavenaStar
  • Autor
    Autor

O phishing de e-mail e os chamados "endereços de e-mail manipulados" são práticas muito comuns na web por golpistas. Felizmente, há ótimos conteúdos disponíveis que abordam esse tema com profundidade. Aqui estão alguns exemplos:

Esses conteúdos ajudam a entender melhor as táticas utilizadas por criminosos digitais e como se proteger contra essas ameaças.

Entre outras informações e estratégias.

Conteúdo excluído
2
RavenaStar
  • Autor
    Autor

Lamentável é quem acha que o texto foi gerado 100% usando IA e que não houve nenhum esforço humano envolvido, sendo que trabalho na área de educação cibernética...

A IA, na vasta maioria das vezes, não incluirá informações redundantes, como as presentes no artigo, nem apresentará detalhes específicos mencionados no mesmo (geralmente, fornecem dados genéricos e públicos). Além disso, não abordam projetos pessoais citados no artigo. Caso tenha lido por completo, saberá, e entre outras particularidades.

acho que você tem que rever suas "acusações" ou "análises", antes de sair informando: "ctrl-Vzão direto do ChatGPT".

Acredito que muitos usam o ChatGPT para produtividade, poupar tempo, organizar, formatar textos, otimizar algo previamente escrito (já com expertise e conhecimento sobre o assunto), simplificar e afins. Para esse uso, a meu ver, não há problema algum em utilizar tal tecnologia, já que estará sendo usada para agregar valor e trazer conhecimento ao público, não para disseminar desinformações, fake news e afins.

Porém, há usuários (não citarei nomes) que geram textos no ChatGPT, enviam e sequer se dão ao trabalho de formatá-los, organizá-los e afins. Apenas fazem um "copy-paste" do texto cru e enviam no chat, apenas para farmar tabcoins.

Diferente de alguns, consigo discernir quando um conteúdo foi realmente feito 100% por uma IA e quando houve um esforço humano envolvido, valorizando, assim, o valor real do artigo e incentivando o(a) autor(a).

Dica: Às vezes, uma análise holística da situação ajuda, antes de sair comentando algo sem saber...