Dominios de Phishing Hundidos Después de Que Meta Demandara a Freenom
El número de sitios web de phishing vinculados al registrador de nombres de dominio Nombre libre cayó precipitadamente en los meses que rodearon una demanda reciente del gigante de las redes sociales Meta, que alegó que el proveedor de nombres de dominio gratuitos tiene un largo historial de ignorar las quejas de abuso sobre sitios web de phishing mientras monetiza el tráfico a esos dominios abusivos.
El volumen de sitios web de phishing registrados a través de Freenom se redujo considerablemente desde que Meta demandó al registrador. Imagen: Interisle Consulting.
Freenom es el proveedor de servicios de registro de nombres de dominio para cinco de los llamados" dominios de nivel superior con código de país " (CCTLD), incluidos .cf para la República Centroafricana; .ga para Gabón; .gq para Guinea Ecuatorial; .ml para Malí; y .tk para Tokelau.
Freenom siempre ha renunciado a las tarifas de registro para dominios en estos dominios de código de país, pero el registrador también se reserva el derecho de recuperar dominios gratuitos en cualquier momento y desviar el tráfico a otros sitios, incluidos sitios web para adultos. Y hay innumerables informes de usuarios de Freenom que han visto dominios gratuitos eliminados de su control y reenviados a otros sitios web.
Por el momento Meta inicialmente presentó su demanda en diciembre de 2022, Freenom fue la fuente de más de la mitad de todos los nuevos dominios de phishing provenientes de dominios de nivel superior de código de país. Meta inicialmente solicitó a un tribunal que sellara su caso contra Freenom, pero esa solicitud fue denegada. Meta retiró su demanda de diciembre de 2022 y la volvió a presentar en marzo de 2023.
"Los cinco ccTLD a los que Freenom brinda sus servicios son los TLD preferidos por los ciberdelincuentes porque Freenom brinda servicios gratuitos de registro de nombres de dominio y protege la identidad de sus clientes, incluso después de que se les presenten pruebas de que los nombres de dominio se están utilizando con fines ilegales", la queja de Meta acusó. "Incluso después de recibir avisos de infracción o phishing por parte de sus clientes, Freenom continúa otorgando licencias de nuevos nombres de dominio infractores a esos mismos clientes.”
Meta señaló la investigación de Grupo Consultor Interisle, que descubrió en 2021 y nuevamente el año pasado que los cinco ccTLD operados por Freenom constituían la mitad de los Diez TLD más abusados por los phishers.
Socio Interisle Dave Piscitello dijo que algo notable ha sucedido en los meses posteriores a la demanda de Meta.
"Hemos observado una disminución significativa en los dominios de phishing reportados en los ccTLD comercializados por Freenom en los meses que rodearon la demanda", escribió Piscitello en Mastodonte. "Responsable de más del 60% de los dominios de phishing reportados en noviembre de 2022, el porcentaje de Freenom se ha reducido a menos del 15%.”
Interisle recopila datos de 12 listas de bloqueo principales para spam, malware y phishing, y recibe datos específicos de phishing de Casa de Spam, Tanque de Pesca, OpenPhish y el Intercambio de Delitos Electrónicos APWG. La compañía publica conjuntos de datos históricos trimestralmente, tanto en malware y suplantación de identidad.
Piscitello dijo que es demasiado pronto para decir el impacto total de la demanda de Freenom, y señaló que las fuentes de spam y datos de phishing de Interisle tienen políticas diferentes sobre cuándo se eliminan los dominios de sus listas de bloqueo.
"Una de las cosas que no tenemos visibilidad es cómo cada una de las listas de bloqueo determina eliminar una URL de sus listas", dijo. "Algunos de ellos caducan [los dominios listados] después de 14 días, otros lo hacen después de 30 y otros los conservan para siempre.”
Freenom no respondió a las solicitudes de comentarios.
Esta es la segunda vez en tantos años que una demanda de Meta contra un registrador de dominios ha interrumpido la industria del phishing. En marzo de 2020, Meta demandó a giant, el registrador de dominios Namecheap, alegando ciberocupación y violación de marcas registradas.
Las dos partes resolvió el asunto en abril de 2022. Si bien los términos de ese acuerdo no se han revelado, los nuevos dominios de phishing registrados a través de Namecheap disminuyeron más del 50 por ciento en el trimestre siguiente, descubrió Interisle.
Ataques de phishing utilizando sitios web registrados a través de Namecheap, antes y después de que el registrador resolviera una demanda con Meta. Imagen: Interisle Consulting.
Desafortunadamente, las demandas han tenido poco efecto en el número total de ataques de phishing y dominios relacionados con el phishing, que han aumentado constantemente en volumen a lo largo de los años. Piscitello dijo que los phishers tienden a gravitar hacia los registradores que ofrecen la menor resistencia y el precio más bajo por dominio. Y con constantemente se introducen nuevos dominios de nivel superior, rara vez hay escasez de dominios de precio súper bajo.
"El abuso de un nuevo dominio de nivel superior es en gran parte el resultado de la cartera de un registrador", dijo Piscitello a KrebsOnSecurity. "Alibaba o Namecheap u otro registrador ejecutarán una promoción para un dominio barato, y luego veremos el flujo y la migración de los phishers a ese TLD. Es como la minería a cielo abierto, donde compran cientos o miles de dominios, los usan en una campaña, agotan ese TLD y luego pasan a otro proveedor.”
Piscitello dijo que a pesar de la fuerte caída en los dominios de phishing que salen de Freenom, las alternativas disponibles para los phishers son muchas. Después de todo, hay más de 2,000 registradores de dominios acreditados, sin mencionar docenas de servicios que permiten a cualquiera configurar un sitio web de forma gratuita sin siquiera tener un dominio.
"No hay evidencia de que la línea de tendencia se estabilice", dijo. "Creo que lo que la demanda de Meta nos dice es que litigar es como darle a alguien un cuenta de ocho de pie. Interrumpe temporalmente un proceso. Y en ese sentido, el litigio parece estar funcionando.”
>>Más