George Floyd falecendo enquanto estava preso em Minneapolis, Minnesota, provocou vários protestos por Black Lives Matter (BLM) em todo o mundo. Os protestos começaram em 26 de maio, um dia após a morte de Floyd, abrangendo estados e até países dentro de alguns dias.
O sistema de nomes de domínio (DNS) também testemunhou um aumento no número de registros de domínio relacionados em todo o mundo. Nosso Feed de dados de typosquatting começou a detectar domínios recém-registrados (NRDs) que continham palavras-chave incluindo “protesto”, “todas as vidas são importantes” e “BLM” a partir de 1º de junho.
Tendência Emergente: Domínios Relacionados a “Todas as Vidas Importam”, “BLM” e “Protesto”
De 1 a 11 de junho, foram registrados 138 novos nomes de domínio que contêm a palavra-chave “protesto”. Os registros atingiram o pico em 3 de junho, quando 43 domínios se tornaram parte do DNS. Entre os primeiros registrados foram:
- georgefloydprotest[.]org
- georgefloydprotesters[.]com
- georgefloydprotester[.]com
- weprotestdifferent[.]info
- weprotestdifferent[.]org
- weprotestdifferent[.]net
- weprotestdifferent[.]com
Alguns nomes de domínio pareciam promover meios pacíficos de protestos, como:
- peacefulprotesting[.]org
- peaceful-protesting[.]com
- peacefulprotesting[.]com
- prayerspraiseprotest[.]com
- prayerspraiseprotests[.]com
- praypraiseprotest[.]com
- prayerpraiseprotest[.]com
- praypraiseprotest[.]org
- prayerpraiseprotest[.]org
- prayerspraiseprotests[.]org
- prayerspraiseprotest[.]org
Outros, enquanto isso, sugerem problemas:
- protestsmayhem[.]com
- protestormayhem[.]com
- protestermayhem[.]com
- protestmayhem[.]com
A aparência de nomes de domínio com temas de protesto é incomum porque esses domínios geralmente não eram detectados antes de 1º de junho. O mesmo se aplica aos nomes de domínio que pareciam inspirados no BLM e no All Lives Matter. A maioria não apareceu no DNS até 3 de junho. Mas em 11 de junho, 88 domínios com o tema BLM e 51 com o tema All Lives Matter foram vistos.
O gráfico abaixo mostra o número de registros de domínio que contêm as palavras-chave “protesto”, “BLM” e “todas as vidas são importantes” dentro do período de 10 dias.
O que esses registros de domínio podem significar
Enquanto alguns manifestantes da vida real defendem manifestações pacíficas, outros foram vistos como tumultos e saques em lojas. Não podemos deixar de esperar algo semelhante no mundo online. Alguns domínios podem ser usados para apoiar agendas legítimas, mas outros provavelmente aparecerão em atividades obscuras.
Como o movimento é bastante popular nas mídias sociais, as pessoas devem ter cuidado com links para artigos e portais de doações on-line. Alguns deles podem levar à infecção por malware, enquanto outras páginas podem estar lá para executar vários golpes.
Atualmente, os atores de ameaças já estão participando do movimento Black Lives Matter para espalhar malware. Um email pedindo que as pessoas votem sobre o assunto está circulando, embora seu objetivo pareça estar injetando malware no computador do eleitor.
O envio de emails mal-intencionados semelhantes usando nomes de domínio mais confiáveis, como os detectados pelo Typosquatting Data Feed, podem atrair mais pessoas para votar e, consequentemente, baixar o malware.
Nomes de domínio com base no local
À medida que os protestos se espalhavam, vimos muitos domínios baseados em localização, como o seattleprotests [.] Com também. Foi registrado junto com domínios semelhantes que incluem:
- seattleprotest[.]com
- seattleprotests[.]org
- seattleprotest[.]org
Mais domínios como esse podem ser vistos nos dias ou semanas seguintes, já que também estão sendo realizados protestos no Canadá, no Reino Unido, na Alemanha e em outros países. Novamente, deve-se ter cuidado quando os links para domínios exigirem que os usuários divulguem informações pessoais ou solicitem doações.
Propomos um processo de duas etapas para aprender mais sobre os nomes de domínio. Esses são:
1. Verifique o registro WHOIS do domínio com a ajuda da Pesquisa WHOIS. Os domínios de protesto de Seattle, por exemplo, foram todos registrados através de um serviço protegido por privacidade no Canadá. Como tal, não podemos estabelecer claramente a localização do registrante nos EUA e isso pode ser motivo de preocupação.
2. Veja como é a página da Web usando a API de Screenshot. A ferramenta permite que os usuários vejam o conteúdo do site sem precisar visitá-lo. Os domínios de Seattle, neste caso, estavam todos em construção.
Vimos atores de ameaças capitalizarem com a pandemia de coronavírus para espalhar malware, obter credenciais de usuário e roubar dinheiro das vítimas. Os movimentos Black Lives Matter e All Lives Matter e protestos relacionados também podem servir para esses propósitos. Com a grande quantidade de NRDs participando de eventos globais e de tendências, os usuários on-line são aconselhados a permanecer vigilantes.
Fonte: (http://www.circleid.com/)