Dave Piscitello escreveu um artigo interessante no SPAMHAUS.org que questionava a prática de registros de nomes de domínio em massa.
Piscitello descreveu o fascínio do registro em massa de criminosos cibernéticos. Ele fala sobre o armamento de nomes de domínio e como a ICANN e os registradores de domínio têm um papel a desempenhar na redução da velocidade.
Ele detalha a economia dos criminosos cibernéticos, a partir do artigo:
Nomes de domínio baratos, acessíveis em massa, contribuem para um mercado criminoso no qual pequenos investimentos podem gerar retornos extraordinários. No relatório Interisle, consideramos o investimento em um ataque de ransomware:
- As listas de discussão podem ser compradas na Dark Web, on-line ou criadas usando coletores de e-mail, novamente disponíveis em repositórios de programação como GitHub.
- Milhares de nomes de domínio podem ser adquiridos por centavos por domínio de vários registradores
- O malware pode ser adquirido através do RaaS por US $ 39,00. Existem oportunidades semelhantes para adquirir um kit de Phishing, ou podem ser baixadas gratuitamente em repositórios como GitHub.
- Tutoriais online para iniciantes estão disponíveis no YouTube.
Supondo uma taxa de extorsão de US $ 200 a 500, um ataque de ransomware pode ser lucrativo com menos de uma dúzia de vítimas. Várias campanhas de ransomware bem-sucedidas, que resultam em milhares de vítimas, estão ao seu alcance, tornando essa atividade criminosa uma possível empresa de US $ 1 milhão / ano.
O artigo faz algumas analogias hiperbólicas, colocando registros de domínio em massa em pé de igualdade com o rastreamento de nitrato de amônio.
Piscitello escreve:
Outras indústrias reconhecem e aceitam sua obrigação de proteger o público do uso indevido de produtos potencialmente perigosos por meio de regimes de validação obrigatórios ou recomendados. As farmácias dos EUA, por exemplo, exigem validade prova de identidade de qualquer parte que tente comprar quantidades de pseudoefedrina que excedam limites bem definidos. As empresas legítimas cumprem com estes e regulamentos semelhantes no interesse da segurança pública.
O setor de nomes de domínio pode aceitar uma obrigação semelhante, verificando os métodos de pagamento do registrante como parte do processo de validação; por exemplo, registradores podem recusar transações nas quais os dados de contato do registrante não correspondem ao usuário autorizado do cartão de crédito. Eles também podem proibir métodos de pagamento anônimos ou não rastreáveis.
Você pode ler o artigo completo aqui
