Saiba o que é o Domain Takeover e como proteger a sua empresa deste ciberataque

Um ataque informático simples e fácil de executar, que pode deixar os seus dados em risco

Publicado por Braus Team em November 27, 2023

Domain Takeover é um tipo de ataque informático muito fácil de realizar, que não requer conhecimentos avançados de informática e que representa um potencial de risco muito elevado. No entanto, com a tomada de algumas medidas simples e a adopção de um conjunto de boas práticas, pode ser facilmente evitado.

Tal como o nome indica, Domain Takeover consiste em assumir o controlo do domínio que pertence ou pertenceu a uma empresa ou entidade de interesse para o atacante.

O cenário mais comum ocorre quando uma empresa adopta um novo nome/marca ou cessa a sua actividade e na sequência desse processo deixa de ter interesse em manter o domínio web usado até ao momento no seu website e email profissional. Não sendo renovado, o domínio eventualmente ficará disponível para o público em geral, podendo ser adquirido por qualquer pessoa.

A título de exemplo, consideremos um caso em que uma firma de advogados decide encerrar a sua actividade. Completamente alheios a este tipo de ataque, ao dissolver a empresa descartam todos os serviços associados à actividade que já não têm interesse. O serviço de fornecimento do domínio, sendo um deles, deixa de ser renovado.

Neste momento abre-se a porta para o ataque informático. Um oportunista mais atento verá aqui a hipótese de adquirir o domínio, com o objectivo de replicar as contas de email dos profissionais que lá trabalhavam.

fraude-de-identidade Um atacante ao ganhar controlo sobre um domínio que já tenha sido seu, pode replicar as suas antigas contas de email, fazer-se passar por si e aceder a serviços subscreveu usando esse endereço de email.

A partir desse momento o atacante consegue fazer-se passar por qualquer um dos profissionais da firma e iniciar contactos nos seus nomes para proveito próprio. Mas a capacidade deste ataque não fica por aqui.

Uma vez que a grande maioria dos serviços e plataformas online permite a recuperação de conta com recurso ao email usado no registo, é possível ao atacante saber ou descobrir outros serviços ou plataformas com contas de acesso criadas usando esse email e solicitar a recuperação de palavra-passe. Redes sociais, plataformas documentais, caixas de correio electrónico e outros que tenham sido criados com base nos endereços de email profissionais estão a partir desse momento em risco ficar sob o controlo deste atacante.

Este é um aspecto muito fácil de descurar se a empresa não estiver ciente dos riscos. Afinal, alguém terá de ficar responsável por esse encargo, o que, no momento da dissolução de uma sociedade, poderá ser a menor das preocupações. No entanto este lapso, aparentemente inócuo, pode constituir sérias complicações para os responsáveis da empresa e todos os que com ela lidaram ao longo do tempo.

Medidas de prevenção

Idealmente, ao encerrar uma actividade, todas as contas criadas com base nos emails profissionais deveriam ser eliminadas. Ou pelo menos todas as que permitem acesso a plataformas que contenham dados sensíveis. O que nem sempre poderá ser feito com rigor, visto que ao longo dos anos várias plataformas podem ter sido usadas e o seu uso descontinuado, sendo difícil manter o registo de cada uma para as eliminar. Este processo teria que ser seguido para todos os elementos da equipa. Sendo uma boa prática, apenas esta medida poderá ser insuficiente.

Adicionalmente, como medida de protecção, a utilização da autenticação de 2 factores é um forte aliado para evitar estes ataques, pois para proceder à recuperação da palavra-passe será necessário também o acesso ao telemóvel, cartão de segurança ou outro tipo de identificação para concluir a operação. Sempre que possível, deverá ser configurada e usada em todos os serviços que o permitam.

Por último, a medida mais eficaz consiste em manter o domínio sempre em sua posse, renovando-o recorrentemente. Esta medida implica suportar os custos periódicos com a renovação do domínio (ou domínios) o que pode não ser comportável ou desejável em alguns cenários. Mas, de todas, é a medida que maior segurança oferece.

De forma resumida, os cuidados básicos a manter passam por tirar partido da autenticação por 2 factores sempre que estiver disponível, eliminar ou desactivar contas de acesso a serviços que já não sejam necessárias e manter sempre o pagamento do domínio, assegurando a sua posse.

Se for alvo de um ataque deverá agir de imediato. Entre em contacto com a empresa fornecedora do domínio expondo a situação para que o domínio seja bloqueado. Se tiver um Plano de Resposta a Incidentes, é altura de o accionar. Avalie também se há a possibilidade de haverem dados pessoais de clientes em risco de exposição. Considere contactar as autoridades locais ou o Centro Nacional de Cibersegurança (CNCS) para orientação e apoio.