Defaults.Exposed › Relatórios
Sequestro de Domínio e de DNS: Como os Domínios São Roubados e Como Proteger o Seu (2026)
Publicado 2026-07-01
Valores de 2026-06-29 · metodologia v7. Dados agregados do censo em 261 milhões de domínios avaliados. Sequestro significa assumir o controlo do DNS ou do registo do seu domínio para redirecionar o seu tráfego e correio. Veja como avaliamos.
O sequestro de domínio não toca no seu site — assume o controlo do DNS ou da conta de registo que aponta para ele, pelo que os seus próprios visitantes e correio eletrónico são discretamente reencaminhados para um atacante. Os dois controlos de DNS que mais reduzem o risco estão entre os menos implementados na web: apenas 1,99% dos domínios têm DNSSEC válido e só 1,56% publicam um registo CAA. Eis como os domínios são roubados e como proteger o seu.
Como os domínios são efetivamente sequestrados
- Comprometimento da conta de registo — uma palavra-passe obtida por phishing ou reutilizada no início de sessão do seu registrar permite a um atacante alterar os servidores de nomes ou transferir o domínio por completo. O vetor de maior impacto, e o mais evitável.
- Adulteração de registos DNS / envenenamento de cache — respostas de DNS forjadas apontam utilizadores e correio para outro lugar. É exatamente isto que o DNSSEC foi concebido para impedir — e 1,99% dos domínios têm-no (com mais 3,02% assinados, mas inoperantes).
- Registos pendentes — uma entrada de DNS que continua a apontar para um recurso na nuvem que já não é seu permite que outra pessoa o reivindique (apropriação de subdomínio).
- Reregisto de domínio expirado — deixe um domínio caducar e qualquer pessoa o pode voltar a registar, herdando o seu tráfego e confiança residuais. Em todo o censo, 6,2% dos domínios já não resolvem — um vasto conjunto de nomes caducados. Veja os domínios mortos da internet.
- Emissão de certificados fraudulentos — sem um registo CAA que restrinja quais as autoridades que podem emitir para o seu domínio, um certificado emitido indevidamente é mais fácil de obter. Apenas 1,56% dos domínios definem um.
A concentração acrescenta uma dimensão sistémica
A maioria dos domínios depende de um punhado de fornecedores de DNS, pelo que um único incidente num fornecedor tem um alcance desproporcionado: o maior operador de servidores de nomes serve por si só 15,4% dos domínios que usam um fornecedor reconhecido, e os cinco principais em conjunto 42,1%. A concentração não é uma falha que possa corrigir sozinho, mas é uma razão para acertar nos controlos que efetivamente controla. Veja concentração de servidores de nomes.
Como proteger o seu domínio
- Proteja a conta de registo — palavra-passe única, MFA forte e ative o bloqueio de registrar (transferência proibida), para que o domínio não possa ser movido sem um desbloqueio explícito.
- Ative o DNSSEC sempre que o seu fornecedor o automatize — impede respostas de DNS forjadas no resolvedor.
- Publique um registo CAA nomeando apenas as autoridades de certificação que utiliza, para que não possa ser emitido um certificado fraudulento.
- Audite o DNS em busca de registos pendentes — remova entradas que apontam para recursos que já não controla.
- Nunca deixe caducar domínios essenciais — renove automaticamente o registo e mantenha os dados de contacto atualizados, para que um aviso de renovação nunca passe despercebido.
Perguntas frequentes
O que é o sequestro de domínio? Assumir o controlo do registo ou do DNS do seu domínio para redirecionar o seu tráfego web e de correio eletrónico — sem nunca comprometer os seus servidores reais.
Em que difere o sequestro de DNS? O sequestro de DNS adultera especificamente os registos que resolvem o seu domínio (através do comprometimento de conta, envenenamento de cache ou de um fornecedor de DNS comprometido). O DNSSEC defende contra respostas forjadas; apenas 1,99% dos domínios o têm.
Qual é a melhor proteção individual? Proteger a conta de registo — palavra-passe única, MFA e bloqueio de transferência no registrar. A maioria dos sequestros começa com acesso à conta, não com ataques engenhosos.
O DNSSEC impede o sequestro? Impede uma classe importante — respostas de DNS forjadas/envenenadas — mas não o comprometimento da conta de registo. Use-o em conjunto com a segurança da conta e o CAA.
Algo disto é dispendioso? Não. O bloqueio de registrar, o DNSSEC e o CAA são definições gratuitas; o custo é a disciplina de as aplicar.
Verifique gratuitamente as defesas de DNS do seu domínio
Veja se o DNSSEC e o CAA estão implementados e corretamente configurados — de forma privada e apenas para o proprietário.
Verifique o seu domínio → · Corrigir DNSSEC → · Corrigir CAA → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.