Defaults.Exposed

Defaults.Exposed › Relatórios

Sequestro de Domínio e de DNS: Como os Domínios São Roubados e Como Proteger o Seu (2026)

Publicado 2026-07-01

Valores de 2026-06-29 · metodologia v7. Dados agregados do censo em 261 milhões de domínios avaliados. Sequestro significa assumir o controlo do DNS ou do registo do seu domínio para redirecionar o seu tráfego e correio. Veja como avaliamos.

O sequestro de domínio não toca no seu site — assume o controlo do DNS ou da conta de registo que aponta para ele, pelo que os seus próprios visitantes e correio eletrónico são discretamente reencaminhados para um atacante. Os dois controlos de DNS que mais reduzem o risco estão entre os menos implementados na web: apenas 1,99% dos domínios têm DNSSEC válido e só 1,56% publicam um registo CAA. Eis como os domínios são roubados e como proteger o seu.

Como os domínios são efetivamente sequestrados

A concentração acrescenta uma dimensão sistémica

A maioria dos domínios depende de um punhado de fornecedores de DNS, pelo que um único incidente num fornecedor tem um alcance desproporcionado: o maior operador de servidores de nomes serve por si só 15,4% dos domínios que usam um fornecedor reconhecido, e os cinco principais em conjunto 42,1%. A concentração não é uma falha que possa corrigir sozinho, mas é uma razão para acertar nos controlos que efetivamente controla. Veja concentração de servidores de nomes.

Como proteger o seu domínio

  1. Proteja a conta de registo — palavra-passe única, MFA forte e ative o bloqueio de registrar (transferência proibida), para que o domínio não possa ser movido sem um desbloqueio explícito.
  2. Ative o DNSSEC sempre que o seu fornecedor o automatize — impede respostas de DNS forjadas no resolvedor.
  3. Publique um registo CAA nomeando apenas as autoridades de certificação que utiliza, para que não possa ser emitido um certificado fraudulento.
  4. Audite o DNS em busca de registos pendentes — remova entradas que apontam para recursos que já não controla.
  5. Nunca deixe caducar domínios essenciais — renove automaticamente o registo e mantenha os dados de contacto atualizados, para que um aviso de renovação nunca passe despercebido.

Perguntas frequentes

O que é o sequestro de domínio? Assumir o controlo do registo ou do DNS do seu domínio para redirecionar o seu tráfego web e de correio eletrónico — sem nunca comprometer os seus servidores reais.

Em que difere o sequestro de DNS? O sequestro de DNS adultera especificamente os registos que resolvem o seu domínio (através do comprometimento de conta, envenenamento de cache ou de um fornecedor de DNS comprometido). O DNSSEC defende contra respostas forjadas; apenas 1,99% dos domínios o têm.

Qual é a melhor proteção individual? Proteger a conta de registo — palavra-passe única, MFA e bloqueio de transferência no registrar. A maioria dos sequestros começa com acesso à conta, não com ataques engenhosos.

O DNSSEC impede o sequestro? Impede uma classe importante — respostas de DNS forjadas/envenenadas — mas não o comprometimento da conta de registo. Use-o em conjunto com a segurança da conta e o CAA.

Algo disto é dispendioso? Não. O bloqueio de registrar, o DNSSEC e o CAA são definições gratuitas; o custo é a disciplina de as aplicar.

Verifique gratuitamente as defesas de DNS do seu domínio

Veja se o DNSSEC e o CAA estão implementados e corretamente configurados — de forma privada e apenas para o proprietário.

Verifique o seu domínio → · Corrigir DNSSEC → · Corrigir CAA → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.