Sequestro de domínio é um dos pesadelos mais subestimados de quem mantém um negócio online. Não é um ataque cinematográfico de "hacker invadindo servidor" — na maioria dos casos reais, é simplesmente alguém explorando uma conta de e-mail mal protegida ou um painel de registrador sem trava nenhuma.
A boa notícia é que as defesas contra esse tipo de ataque são bem conhecidas, baratas e, na maioria dos registradores modernos, vêm disponíveis — só não vêm sempre ativadas por padrão.
#O que é sequestro de domínio
Sequestro de domínio acontece quando alguém não autorizado ganha controle administrativo sobre o seu domínio — seja transferindo-o para outro registrador, alterando os servidores de nome, ou simplesmente trocando os dados de contato e a senha da conta. A partir desse momento, o atacante decide para onde o tráfego do seu domínio vai.
As consequências variam de "site fora do ar" a cenários mais graves, como redirecionamento de e-mails corporativos, interceptação de comunicações sensíveis ou uso do domínio sequestrado para campanhas de phishing contra os próprios clientes da marca original.
#Como o sequestro acontece na prática
Os vetores mais comuns não envolvem invasão sofisticada de servidor. Envolvem, na maioria das vezes:
- Comprometimento do e-mail de contato associado à conta do registrador, usado para resetar a senha do painel.
- Engenharia social contra o suporte do registrador, se fazendo passar pelo titular legítimo.
- Domínios expirados que ninguém renovou a tempo, capturados por terceiros no momento em que ficam disponíveis novamente.
- Senhas reutilizadas de outros serviços vazados, testadas contra o painel do registrador.
O elo mais fraco quase nunca é o registrador em si. É o e-mail de contato cadastrado. Se esse e-mail for comprometido, todas as outras travas ficam mais frágeis.
#Trava 1: registrar lock
O registrar lock (também chamado de transfer lock) bloqueia transferências do domínio para outro registrador sem autorização explícita. Com essa trava ativa, mesmo que alguém obtenha o código EPP de alguma forma, a transferência exige um passo adicional de desbloqueio manual antes de prosseguir.
É a primeira linha de defesa e deveria estar ativa por padrão em qualquer domínio que não esteja no meio de uma migração planejada.
#Trava 2: autenticação em duas etapas
2FA no painel do registrador significa que mesmo com a senha em mãos, um atacante precisaria de um segundo fator — geralmente um código gerado em um aplicativo autenticador — para acessar a conta e fazer qualquer alteração administrativa.
- Prefira aplicativos autenticadores a SMS, que pode ser interceptado via troca de chip fraudulenta.
- Ative 2FA tanto na conta do registrador quanto no e-mail de contato associado a ela.
- Guarde os códigos de recuperação em local seguro e separado, nunca no mesmo e-mail protegido por eles.
#Trava 3: DNSSEC
DNSSEC adiciona assinaturas criptográficas às respostas DNS, permitindo que resolvers verifiquem que a resposta recebida realmente veio do servidor autoritativo legítimo e não foi adulterada no caminho. Isso protege contra um tipo específico de ataque — DNS spoofing e cache poisoning — diferente do sequestro administrativo, mas igualmente capaz de redirecionar visitantes para um destino malicioso sem tocar no painel do registrador.
Registrar lock protege o painel. DNSSEC protege a resposta que o mundo recebe quando pergunta pelo seu domínio.
#Travas 4 e 5: e-mail seguro e monitoramento
As duas últimas camadas são menos técnicas e mais comportamentais, mas igualmente eficazes:
- E-mail de contato dedicado e protegido — use um endereço exclusivo para assuntos administrativos do domínio, com 2FA próprio e senha única, nunca reaproveitada em outro serviço.
- Monitoramento de mudanças — verifique periodicamente o status WHOIS e os registros DNS do domínio; alertas de mudança não autorizada são a diferença entre reagir em minutos ou descobrir o problema dias depois, quando o estrago já é maior.
#Conclusão
Sequestro de domínio raramente é sofisticado — geralmente explora exatamente a trava que não foi ativada. Registrar lock, 2FA, DNSSEC, e-mail dedicado e monitoramento periódico, juntos, fecham praticamente todas as portas mais comuns. Nenhuma delas é cara nem complexa de configurar; o custo real está em não configurá-las antes que alguém precise testar se elas existem.