Dominios/TLD dañinos que pueden ser bloqueados para evitar spam y #phishing

Se ha escrito mucho sobre
las 50 marcas más suplantadas utilizadas en ataques de phishing pero un factor que se puede utilizar para ayudar a evaluar la legitimidad del
correo electrónico es su dominio de nivel superior (TLD), (sí, esa parte de la dirección de correo electrónico que viene después del
punto).

Los TLDs

En 1971,
Ray Tomlinson
envió el primer correo electrónico en red a través de ARPANET, utilizando el
carácter @ en la dirección. Cinco décadas después, el correo electrónico sigue
siendo relevante, pero también es un punto de entrada clave para los
atacantes.

El sistema de nombres de dominio, administrado por ICANN, abarca una variedad
de TLD, desde el clásico “.com” (1985) hasta las opciones genéricas más
nuevas. También existen los específicos de cada país (ccTLD), donde la Autoridad de Números Asignados de Internet (IANA) es responsable
de determinar un administrador apropiado para cada ccTLD. Una expansión de
ICANN en 2014 fue diseñada para
“aumentar la competencia y las opciones en el espacio de nombres de
dominio”, introduciendo numerosas opciones nuevas para fines profesionales,
comerciales e informativos específicos, lo que a su vez también
abrió nuevas posibilidades para intentos de phishing.

Uso dañinos

En este análisis, nos centramos en los TLD responsables de una proporción
significativa de correos electrónicos maliciosos o spam desde enero de 2023.
Para los fines de esta publicación, consideramos que los mensajes de correo
electrónico maliciosos equivalen a intentos de phishing. El objetivo es
identificar tendencias e indicar qué TLD se han vuelto más dudosos con el
tiempo. 

La información derivada de este análisis podría servir como guía para los
usuarios y empresas para bloquear dominios y correos electrónico dañinos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA)
señala que el 90% de los ataques cibernéticos comienzan con phishing y
falsificaciones. La confianza es un componente clave del éxito de los ataques
maliciosos. Vemos que hay dos formas de autenticidad que los atacantes pueden
aprovechar al crear mensajes de phishing: visual y organizacional.

Los ataques que aprovechan la autenticidad visual dependen de que los
atacantes utilicen elementos de marca, como logotipos o imágenes, para generar
credibilidad. Las campañas organizacionalmente auténticas dependen de que los
atacantes utilicen relaciones y dinámicas comerciales previamente establecidas
para generar confianza y tener éxito.

Los
hallazgos de CloudFlare de 2023
revelan que los TLD genéricos (gTLD) introducidos recientemente se utilizan predominantemente tanto para spam
como para ataques maliciosos. Estos TLD, como
“.uno”, “.sbs” y “.beauty”, todos introducidos desde 2014, se han visto
en el 95% de los correos electrónicos marcados como spam o maliciosos. Además,
es importante tener en cuenta que, en términos de volumen,
“.com” representa el 67% de todo el spam y los correos electrónicos
maliciosos.

Principales TLD de spam y phishing

El análisis cubre correos electrónicos no deseados considerados spam y
maliciosos de más de 350 TLD diferentes (y sí, hay muchos más).

Los TLD más nuevos, generalmente disponibles desde 2021, tienen las tasas más.
Los correos electrónicos maliciosos a menudo provienen de TLD genéricos
creados recientemente como “.bar”, “.makeup” o “.cyou”, así como de
ciertos TLD de código de país (ccTLD) empleados más allá de sus implicaciones
geográficas (por ejemplo, “.nl” de Netherlands).

Centrándonos en la participación en el volumen, “.com” domina la lista
de spam + malware con un 67%, y en el top 3 se le unen otros gTLD
“classic” y “.net”, con un 4%. Todos los TLD genéricos introducidos
desde 2014 representan el 13,4% del spam y los correos electrónicos maliciosos
y más del 14% de los correos únicamente maliciosos. Mientras tanto, los TLD de
código de país contribuyen a más del 12% de ambas categorías de correos
electrónicos no deseados.

Dicho esto, “.shop” merece un punto destacado propio. Este TLD, que ha
estado disponible desde 2016, ocupa el segundo lugar en volumen de spam y
correos electrónicos maliciosos, y representa el 5% de todos esos correos.

Para obtener una perspectiva más detallada, a continuación presentamos los 50
TLD principales con los porcentajes más altos de spam y correos electrónicos
maliciosos durante 2023.

Es notable que incluso fuera del top 10, otros TLD genéricos recientes también
están más arriba en el ranking, como “.autos” (el número 1 en la lista
de spam), “.today”, “.bid” o “.cam”. Los TLD que parecen
prometer entretenimiento o diversión o simplemente están relacionados con el
ocio o la recreación (incluido el propio “.fun”), ocupan una posición
en el ranking de los 50 principales.

2023 Top 50 spam & malicious TLDs (by highest %)

Rank

TLD

Spam %

Malicious %

Spam + malicious %

1

.uno

62%

37%

99%

2

.sbs

64%

35%

98%

3

.best

68%

29%

97%

4

.beauty

77%

20%

97%

5

.top

74%

23%

97%

6

.hair

78%

18%

97%

7

.monster

80%

17%

96%

8

.cyou

34%

62%

96%

9

.wiki

69%

26%

95%

10

.makeup

32%

63%

95%

11

.autos

93%

2%

95%

12

.today

92%

3%

94%

13

.shop

78%

16%

94%

14

.bid

74%

18%

92%

15

.cam

67%

25%

92%

16

.directory

91%

0%

91%

17

.icu

75%

15%

91%

18

.ml

33%

56%

89%

19

.lol

79%

10%

89%

20

.skin

49%

39%

88%

21

.boats

87%

1%

88%

22

.tattoo

34%

54%

87%

23

.click

61%

27%

87%

24

.ltd

70%

17%

86%

25

.rest

74%

11%

86%

26

.center

85%

0%

85%

27

.fun

64%

21%

85%

28

.cfd

39%

46%

84%

29

.bar

14%

70%

84%

30

.bio

72%

11%

84%

31

.tk

66%

17%

83%

32

.yachts

58%

23%

81%

33

.one

63%

17%

80%

34

.ink

68%

10%

78%

35

.wf

76%

1%

77%

36

.no

76%

0%

76%

37

.pw

39%

37%

75%

38

.site

42%

31%

73%

39

.life

56%

16%

72%

40

.homes

62%

10%

72%

41

.services

67%

2%

69%

42

.mom

63%

5%

68%

43

.ir

37%

29%

65%

44

.world

43%

21%

65%

45

.lat

40%

24%

64%

46

.xyz

46%

18%

63%

47

.ee

62%

1%

62%

48

.live

36%

26%

62%

49

.pics

44%

16%

60%

50

.mobi

41%

19%

60%

De las clasificaciones, queda claro que los TLD genéricos recientes tienen el
porcentaje más alto de spam y phishing. Los 10 principales TLD en ambas
mitades de 2023 son todos recientes y genéricos, y varios se introdujeron
desde 2021.

Algunos gTLD permiten el registro anónimo y, su bajo costo y la demora en la
actualización de los sistemas de seguridad para reconocer los nuevos gTLD como
spam y fuentes maliciosas también influyen.

También ha habido un cambio en los tipos de dominios con el mayor porcentaje
maliciosos en 2023, posiblemente debido a la demanda de Meta contra Freenom,
presentada en diciembre de 2022 y presentada de nuevo en marzo de 2023.
Freenom proporcionó servicios de registro de nombres de dominio de forma
gratuita en cinco ccTLD, lo que se utiliza para fines que van más allá de las
empresas o el contenido local: “.cf” (República Centroafricana),
“.ga” (Gabón), “.gq” (Guinea Ecuatorial), “.ml” (Malí) y
“.tk” (Tokelau). Freenom detuvo nuevos registros durante 2023 luego de
la demanda y,
en febrero de 2024, anunció su decisión de abandonar el negocio de nombres
de dominio.

En el ámbito de los TLD de código de país, el “.no” de Noruega lidera
el spam, seguido por el “.cn” de China, el “.ru” de Rusia, el
“.ua” de Ucrania y el “.ai” de Anguila, que se ha utilizado
recientemente. más para dominios relacionados con la inteligencia artificial
que para el propio país. La lista maliciosa también incluye algunos TLD
de código de país (ccTLD) que no se utilizan principalmente para temas
relacionados con países, como “.ml” (Malí), “.om” (Omán) y
“.pw” (Palau), “.ir” (Irán) y “.kg” (Kirguistán),
“.lk” (Sri Lanka).

En 2024, nuevos jugadores ingresaron a la zona de alto riesgo de correos
electrónicos no deseados. Los nuevos participantes incluyen “.ws” de
Samoa, “.id” de Indonesia (también utilizado debido a su significado de
identificación”) y “.cc” de las Islas Cocos. Estos ccTLD, que a menudo
se utilizan para algo más que fines relacionados con el país, han mostrado
altos porcentajes de correos electrónicos maliciosos, que van del 20% (.cc) al
95% (.ws) de todos los correos electrónicos.

Se puede utilizar esta lista (y esta más pequeña) para bloquear los TLDs mencionados en el presente artículo.

Fuente:
CloudFlare

Leave Your Comment