Mesmo enquanto o mundo continua a enfrentar a pandemia de coronavírus, eventos essenciais simplesmente não podem ser adiados. As eleições presidenciais dos EUA continuarão em 3 de novembro de 2020.
Embora ainda esteja a meses, as discussões estão esquentando. Paralelamente, como em outros eventos dignos de nota, dezenas de nomes de domínio relacionados a eleições estão sendo detectados.
Tendências de registro de nomes de domínio relacionados a eleições
Começamos a detectar nomes de domínio relacionados às eleições nos EUA em 2 de junho. Naquele dia, as primárias também foram realizadas em Washington, DC, e em sete estados, Indiana, Maryland, Montana, Novo México, Pensilvânia, Rhode Island e Dakota do Sul.
Rastreamos nomes de domínio relacionados a typosquatting relacionados a eleições no período de 2 a 13 de junho, principalmente aqueles que contêm as seguintes strings:
- “bide”
- “trump”
- “electio”
- “presiden”
Em 12 dias, vimos um total de 216 nomes de domínio relacionados a eleições que apareceram no DNS (Sistema de Nomes de Domínio).
Pico nos registros de nomes de domínio após um grande evento relacionado a eleições
O gráfico acima plota o número de domínios que contêm cada sequência, bem como o total. Isso mostra que o número de nomes de domínio relacionados a eleições atingiu o pico nas seguintes datas:
- 03 de junho: Um dia após as primárias em Washington D.C. e sete estados foram realizadas. Um total de 30 nomes de domínios foram detectados.
- 5-6 de Junho: Ilhas Virgens O caucus presidenciais foram realizadas. Vinte e cinco nomes de domínio foram vistos em cada dia.
- 10 de junho: primárias foram realizadas na Geórgia e Virgínia Ocidental, um dia antes. Cerca de 29 nomes de domínio foram detectados.
Outros eventos relacionados às eleições que podem moldar o registro de domínio são as primárias de Kentucky e Nova York, programadas para 23 de junho. Com a tendência emergente, os registros de domínio podem aumentar a partir dessa data. Vimos o mesmo acontecer com os nomes de domínio com tema de coronavírus.
A anatomia dos nomes de domínio “Biden” e “Trump”
Embora a contagem dos domínios de typosquatting de “Biden” e “Trump” pareça próxima (73 e 87, respectivamente), os temas variam. Os nomes de domínio “Biden”, por exemplo, sugerem quem as pessoas podem querer ser seu companheiro de chapa. Alguns exemplos são:
- bidenrice[.]org
- bidenrice[.]website
- biderice[.]org
- bidendemings-us[.]com
- bidendemings4us[.]com
- bidendemings-usa[.]com
- bidenriamondo[.]org
- bidenriamondo[.]net
- bidenriamondo[.]com
- bidenharrisforpresident[.]net
- bidenharrisforpresident[.]org
- bidenharrisforpresident[.]com
Alguns nomes de domínio também sugerem apoio a Biden vindo da comunidade ucraniano-americana. Vimos 24 nomes de domínio nesse tema registrados em apenas dois dias:
Os registros WHOIS dos nomes de domínio ucraniano-americanos pareciam ter o mesmo registrante quando executados em uma pesquisa WHOIS em massa. Todos eles usam os mesmos serviços de privacidade, apontando para o endereço 96 Mowat Ave., Ontario, Canadá.
Por outro lado, nomes de domínio de typosquatting que contêm a cadeia “trum” tinham temas ligeiramente diferentes. Por um lado, apenas o conjunto Owen-Trump parecia promover um companheiro de chapa, embora ostentassem as tags 2024 e 2028:
- owenstrump2024[.]org
- owenstrump2028[.]com
- owenstrump2028[.]org
- owenstrump2024[.]com
Alguns nomes de domínio também parecem mostrar apoio a Trump, como:
- whytrumpiagreat[.]com
- whyrrumpisgreat[.]com
- whytrumpisgrear[.]com
- armyfortrump[.]club
- armyfortrump[.]live
- armyfortrump[.]org
- supporttrumpsleadership[.]com
- supporttrumpsleadership[.]org
- supporttrumpsleadership[.]info
- liberalsfortrumpactioncommittee[.]info
- liberalsfortrumpactioncommittee[.]org
- liberalsfortrumpactioncommittee[.]com
- electrumv[.]org
- electrumo[.]org
Outros também pareciam ser contra o presidente em exercício:
- donaldtrumpisajoke[.]net
- donaldtrumpisajoke[.]org
- donaldtrumpisajoke[.]com
- death2trump[.]golf
- death2trump[.]org
- death2trump[.]party
- donaldtrumpvsthepeople[.]net
- donaldtrumpvsthepeople[.]org
- donaldtrumpvsthepeople[.]info
- pucktrump[.]com
- fuctrump[.]org
- fucktrump[.]site
O que domínios de typosquatting relacionados a eleições podem estar fazendo
É um fato conhecido que os domínios de typosquatting podem ser usados em atividades nefastas, como campanhas de phishing, golpes e ataques de malware. Então, que tipo de conteúdo esses domínios poderiam hospedar?
Podemos ter uma ideia dos domínios sem precisar visitar os sites usando uma ferramenta de captura de tela.
Os nomes de domínio inspirados em Biden que promovem parceiros em execução, por exemplo, geralmente estão estacionados, com alguns anúncios de hospedagem.
O mesmo vale para nomes de domínio que expressam apoio a Trump, embora algumas páginas prometam ter conteúdo em breve.
Outras capturas de tela mostram que a maioria dos domínios relacionados às eleições segue os mesmos padrões. Eles estão estacionados ou em construção, exceto alguns que já estão em funcionamento.
O aumento dos nomes de domínio relacionados às eleições reforça o ponto de que novos registros geralmente seguem eventos dignos de destaque. Embora a maioria desses domínios esteja atualmente estacionada ou seja objeto de investimentos especulativos, eles também podem se transformar em entidades de phishing em um futuro próximo.
Fonte: (http://www.circleid.com/)