Cibercriminosos pelo mundo já apontam suas armas de ataque para os novos gTLDs (generic Top Level domain), os domínios genéricos de nome, aprovados recentemente pela ICANN, o órgão que governa os domínios de internet. Os gTLDs já estão disponíveis através das empresas de registro, disponíveis para as companhias ou pessoas que querem registrar novos sites. Recentemente encontramos diversas atividades maliciosas que incluem malware e páginas de phishing nos seguintes domínios: .club, .berlin, .blue, .computer, .camera, .futbol, .link, .pink, .report, .travel, .vacations e .xyz.
Os gTLDs foram aprovados recentemente pela ICANN e as empresas já disponibilizam o registro para aqueles que querem fugir de sites .com ou .org e que buscam mais possibilidades de nomes. Devemos estar preparados para encontrar páginas do tipo “tudo.bom”, “sem.gripe”, “minha.webcam”, ou até mesmo “meu.email”. No Brasil diversas empresas como Globo, Natura, Bradesco e Vivo também registraram seus domínios.
TLDs mais populares, de acordo com http://ntldstats.com/tld
Os phishers brasileiros estão particularmente interessados nos gTLDs e já iniciaram seus ataques, registrando diversos deles usando nomes de marcas conhecidas, como bancos, lojas on-line e empresas de cartão de crédito. Por exemplo:
cielo-seucartaobateumbolao.xyz
megasaldao-americanas.xyz
lojadoricardoeletro.xyz
hsbc.club
santander.club
bradesco.club
ricardoeletro.club
ricardoeletro.computer
ricardoeletro.camera
Esses domínios foram utilizados com o intuito claro de atuarem em ataques de phishing, portanto não é surpresa saber que os dados encontrados no “whois” são completamente falsos.
Os brasileiros não são os únicos interessados; já encontramos sites fraudulentos em inglês, vendendo supostas moedas do jogo FIFA’14 hospedado num dominio .club.
Outros phishers continuam suas campanhas usando domínios mais antigos, como o .travel (criado em 2005). Abaixo você pode ver a página de phishing de um banco brasileiro.
Mas também há malware. Sabemos que os cibercriminosos por trás do exploit kit “Nuclear” estão hospedando seus kits de ataque e páginas comprometidas em .blue, .pink, .futbol, e .report.
Se você é um usuário de redes sociais e recebe e-mails constantemente fique atento, esses links mesmo sendo diferentes podem ser maliciosos como qualquer outro. Se você tem uma empresa é uma boa idéia monitorar os novos dominios registrados nos gTLDs para certificar-se de que a marca da sua companhia não é usada nesses ataques.