[MASOCH-L] Consulta WHOIS web - registro.br é antispam?

Ricardo Vendramini lista at amplus.com.br
Wed May 31 01:13:25 BRT 2017 

On 05/30/2017 09:31 PM, Rubens Kuhl wrote:
> 
> Consultando feeds como OpenPhish, PhishTank, Google SafeBrowsing e
> SpamHaus, talvez ?

	Aqui em nosso país, Brasil, temos (tinhamos) o registro.br que antes 
consultavamos a lista de domínios de um CPF (falso). Era muito útil. 
Escondendo essa informação, beneficia os spammers.

>>          Existem dezenas de milhares de domínios registrados com CPF
>> falsos, antes podiamos consultar a lista para bloquear esses malditos
>> spammers.

> Eu não imagino que sejam tantos assim, mas se forem, que tal denunciar os
> que você sabe que tenham usado identidade falsa ou criado
> phishing/malware/etc. para hostmaster at registro.br ?

	Já fiz isso algumas vezes no passado, mas como o registro.br é um 
excelente facilitador para os spammers, e infelizmente "dificultador" 
para os que querem denunciar, fica difícil.

	Para cadastrar um novo ID e depois domínios, basta usar um CPF 
qualquer, escolhido aleatóriamente. Tem banco de dados pela internet com 
listas de nomes e CPFs, só caçar no Google. O registro.br aceita 
qualquer cadastro de CPF, sem nenhuma conferência sólida, e qualquer 
domínio novo para enviar SPAM em massa antes mesmo de pagar a anuidade.

	Quando o spammer percebe que esse ID (e domínios) já estão bloqueados, 
os descarta e vai para o próximo cadastro falso. Ciclo sem fim.

	Do outro lado, para denunciar, precisamos ter a data de nascimento do 
CPF para conferir se o nome está ok. [1] Mesmo conferindo nas listas de 
nomes pela internet seria paliativo, pois não temos como entrar em 
contato com cada ID para saber se a pessoa está viva e foi ela mesma que 
se cadastrou, confirmando que teve seus dados cadastrados indevidamente 
por um spammer. Ou seja, denunciar é difícil.

	Denunciar domínios que imitem nome de bancos e operadoras é menos 
difícil, e não é muito usado pelos spammers.
	
[1]
https://www.receita.fazenda.gov.br/Aplicacoes/SSL/ATCTA/CPF/ConsultaSituacao/ConsultaPublica.asp

	Eu mesmo, na próxima hora, poderia cadastrar dezenas de novos IDs e 
domínios. Só acessar via vários proxys para não ser o mesmo IP, criar 
contas temporarias de email gratuito para cadastrar no registro.br (e 
confirmar o email) e pronto. Fácil e prático.

	Não existe nenhuma solicitação de documento fisicamente, confirmação de 
um telefone celular (com SMS), nem campos como RG, data de nascimento ou 
outras informações para confirmar com os sistemas do governo federal, 
etc. Uma simples confirmação de email e se o nome bate com o CPF 
coletado. Só isso. No fim, onde está a "segurança" desse sistema contra 
perfis falsos?
	

>          Bastava receber um SPAM ou email falso fazendo de conta que é
>> "alerta" de um banco, dar whois do dominio, coletar o CPF falso, dar um
>> whois do CPF e já ter a lista dos demais dominios cadastrados. Eu conferia
>> os demais dominios se eram falsos mesmo (para não bloquear uma eventual
>> conta invadida), em seguida bloqueava.
>>
> 
> O WHOIS porta 43 já não deva essa lista há bastante tempo, a resposta já
> era algo assim:
> 
> domaincount: 25
> inetcount:   55
> asncount:    14
> 
> O que mudou recentemente é que o WHOIS Web, com Captcha, passou a dar a
> mesma resposta.

	Sim, antes usavamos nosso próprio sistema automático para bloquear os 
spammers, depois por decisão do registro.br não pudemos mais fazer 
automaticamente. Telefonei duas vezes ao registro.br para reclamar disso 
e fui informado que essa decisão interna não iria mudar e ponto final, 
sem excessões.

	A partir disso bloquear spammers passou a ser feito manualmente, por 
causa do captcha.

	Mesmo assim foi decidido agora remover a única opção que tinhamos, 
fazer manualmente usando o whois web.

	Os spammers devem estar muito felizes e dando muita risada ao ler esse 
email. Aposto.

> Você pode fazer como o pessoal da SPFBL: o CPF/CNPJ vai para uma lista de
> abusos, e na primeira mensagem recebida por um novo domínio desse mesmo
> CPF/CNPJ, a primeira é aceita mas a próxima já é bloqueada, usando a
> consulta de domínio.

> Aliás, se você usar algo como o SPFBL ou outro mecanismo cooperativo,
> apenas um sistema precisará receber um spam para isso já ser bloqueado em
> todos os sistemas.

	Sim, concordo, infelizmente o registro.br protege os spammers, e a 
iniciativa do Leandro em montar um próprio sistema de bloqueio merece 
aplausos, eu estou torcendo que o SPFBL cresça e seja adotado em todos 
os provedores de internet e empresas o mais rápido possível.


> Essa é uma definição sujeita a controvérsias... a ICANN está tentando
> resolver a parte de policy de WHOIS em gTLDs disso há 15 anos, sem chegar a
> conclusão de qual é o melhor ponto de equilíbrio entre a proteção dos
> titulares de domínios e dos usuários da Internet como um todo.
> 
> Porém, caracterizar isso como informação básica não corresponde ao
> observado no mundo de DNS... isso é conhecido como "Reverse WHOIS" ou
> "Searchable WHOIS", e não é implementado por nenhum registro aberto que eu
> conheça, mas por prestadores externos (DomainTools, ViewDNS etc.), apesar
> de ser oferecido em alguns Brand TLDs (ex: .itau).
  	A maior controvérsia é os interesses e pontos de visão diferentes, 
entre os spammers e as empresas e pessoas que são contra spam. E o 
registro.br entre bem no meio da questão.

	O site antispam.br é muito bacana, sempre admirei e recomendo as 
pessoas conhecerem. Só lamento que mesmo com a "propaganda antispam" o 
nic.br tem FACILITADO para os spammers e DIFICULTANDO para as empresas 
sérias que são antispam.


	Perguntas interessantes:

	1) O que impede o registro.br melhorar o sistema de cadastro de IDs 
novos e ter uma checagem/validação/conferência de dados mais eficiente 
do CPF?

	2) O que impede de o registro.br permitir o site ir ao ar e enviar 
emails apenas depois de pagar a 1ª anuidade?

	3) O que impede o registro.br permitir que empresas possam se proteger 
dos spammers com a lista dos dominios registrados, como era antigamente? 
(não é porque o ICANN está em dúvida a 15 anos que vamos aproveitar essa 
desculpa e ficarmos passivos protegendo os spammers ne?) Pior que 
passivos protegendo spammers, foi retirar uma das ferramentas que eram 
ótimas para antispam.

	Em outro email seu:

 > Exato. Como essa mudança ocorreu de forma reativa, ainda está sendo
 > avaliado se essa lista poderá voltar a ser publicada com outro tipo de
 > controle/deterrence, ou se essa mudança se tornará permanente.

	Eu torço muito que o registro.br reconsidere essa questão e volte como 
era antes, ou que permita as empresas de internet e as que tem seu 
próprio TI se protegerem.

	Ou melhor ainda: que o registro.br deixe então apenas o SPFBL 
consultar, que tal? Seria muito admirável isso! :)


	Ricardo

More information about the masoch-l mailing list