Como identificar domínios lookalike

Sites e endereços de e-mail falsos são frequentemente usados ​​em ataques direcionados e de phishing. Como os domínios falsos são criados e como identificar um deles?

Você recebeu um e-mail do trabalho solicitando que você altere a senha do seu e-mail, confirme o período de férias ou faça uma transferência de dinheiro urgente a pedido do CEO. Essas solicitações inesperadas podem ser o início de um ciberataque à sua empresa, portanto, você precisa garantir que não seja uma farsa. Então, como você verifica endereços de e-mail ou links para sites?

A peça central de uma falsificação geralmente é o nome de domínio; ou seja, a parte do e-mail após o @ ou o início da URL. Sua tarefa é inspirar confiança na vítima. Claro, os cibercriminosos adorariam sequestrar um domínio oficial da empresa-alvo, ou de um de seus fornecedores ou parceiros de negócios, mas nos estágios iniciais de um ataque eles geralmente não têm essa opção. Em vez disso, antes de um ataque direcionado, eles registram um domínio semelhante ao da organização vítima – e esperam que você não perceba a diferença. Essas técnicas são chamadas de ataques “lookalike”, ou por semelhança, em tradução livre. A próxima etapa é hospedar um site falso no domínio ou disparar e-mails falsos das caixas de correio associadas a ele.

Nesta postagem, exploramos alguns dos truques usados ​​pelos invasores para impedir que você perceba uma falsificação de domínio.

Homóglifos: letras diferentes, mesma ortografia

Um truque é usar letras visualmente muito semelhantes ou mesmo indistinguíveis. Por exemplo, um “L” (l) minúsculo em muitas fontes parece idêntico a um “i” (I) maiúsculo; portanto, um e-mail enviado do endereço JOHN@MlCROSOFT.COM enganaria até os mais atentos. Claro, o endereço real do remetente é john@mLcrosoft.com!

O número de falsificações aumentou depois que se tornou possível registrar domínios em diferentes idiomas, inclusive os que não usam o alfabeto latino. As letras “são totalmente indistinguíveis para um ser humano, mas aos olhos de um computador são três letras distintas. Isso torna possível registrar muitos domínios que se parecem com microsoft.com usando diferentes combinações de o’s. Essas técnicas que empregam caracteres visualmente semelhantes são conhecidas como ataques homóglifos ou homógrafos.

Combo-squatting: mais palavras, mais confusão

O combo-squatting tornou-se popular entre os cibercriminosos nos últimos anos. Para imitar um e-mail ou site da empresa-alvo, eles criam um domínio que combina seu nome e uma palavra auxiliar relevante, como Microsoft-login.com ou SkypeSupport.com. O assunto do e-mail e o final do nome de domínio devem corresponder: por exemplo, um aviso sobre acesso não autorizado a uma conta de e-mail pode ser vinculado a um site com o alerta de perspectiva de domínio.

A situação é agravada pelo fato de algumas empresas possuírem, de fato, domínios com palavras auxiliares. Por exemplo, login.microsoftonline.com é um site perfeitamente legítimo da Microsoft.

De acordo com a Akamai, os add-ons de combinação mais comuns são: suporte, com, login, ajuda, secure, www, account, app, verify e service. Dois deles – www e com – merecem uma menção separada. Eles são frequentemente encontrados em nomes de sites, e o usuário desatento pode não perceber o ponto que falta, como nos seguintes exemplos: wwwmicrosoft.com, microsoftcom.au.

Falsificação de domínio de nível superior

Às vezes, os cibercriminosos conseguem registrar um clone em um domínio de nível superior (TLD) diferente, como microsoft.co em vez de microsoft.com ou office.pro em vez de office.com. Nesse caso, o nome da empresa falsificada pode permanecer o mesmo. Essa técnica é chamada Tld-squatting.

Uma substituição como essa pode ser muito eficaz. Recentemente, foi relatado que, por mais de uma década, vários contratados e parceiros do Departamento de Defesa dos EUA enviaram e-mails por engano para o domínio .ML pertencente à República do Mali, em vez do domínio .MIL do exército americano. Somente em 2023, um empreiteiro holandês interceptou mais de 117.000 e-mails mal direcionados com destino ao Mali, em vez do Departamento de Defesa.

Typo-squatting: domínios com erros ortográficos

A maneira mais simples (e mais antiga) de produzir domínios clonados é explorar vários erros de digitação que são fáceis de fazer e difíceis de detectar. Existem muitas variações aqui: adicionar ou remover letras duplas (ofice.com em vez de office.com), adicionar ou remover pontuação (cloud-flare ou c.loudflare em vez de cloudflare), substituir letras com sons semelhantes (savebank em vez de safebank) , e assim por diante.

Os erros de digitação foram inicialmente armados por spammers e fraudadores de anúncios, mas hoje esses truques são usados ​​em conjunto com o conteúdo de sites falsos para estabelecer as bases para spear-phishing e o comprometimento de e-mail comercial (BEC).

Como se proteger contra domínios clonados e ataques lookalike

Homóglifos são os mais difíceis de detectar e quase nunca são usados ​​para fins legítimos. Como resultado, os desenvolvedores de navegadores e, em parte, os registradores de domínio estão tentando se defender contra esses ataques. Em algumas zonas de domínio, por exemplo, é proibido registrar nomes com letras de alfabetos diferentes. Mas em muitos outros domínios não existe tal proteção, então você tem que confiar em ferramentas de segurança. É verdade que muitos navegadores têm uma maneira especial de exibir nomes de domínio contendo uma mistura de alfabetos. O que acontece é que eles representam a URL em punycode, então fica mais ou menos assim: xn--micrsoft-qbh.xn--cm-fmc (este é o site microsoft.com com os dois o’s no idioma russos).

A melhor defesa contra o typo-squatting e o combo-squatting é a atenção. Para desenvolver isso, recomendamos que todos os funcionários passem por treinamento básico de segurança da informação para aprender a identificar as principais técnicas de phishing.

Infelizmente, o arsenal dos cibercriminosos é amplo e de forma alguma limitado a ataques do tipo lookalike. Nos casos de ataques cuidadosamente executados sob medida contra uma empresa específica, a mera atenção não é suficiente. Por exemplo: neste ano, invasores criaram um site falso que clonou o gateway de intranet do Reddit para funcionários e comprometeu a empresa com sucesso. Portanto, as equipes de infosec precisam pensar não apenas no treinamento de funcionários, mas também em ferramentas vitais de proteção:

  • Proteção especializada de servidores de e-mail contra spam e spear-phishing. Por exemplo, Kaspersky Security for Mail Server detecta mensagens maliciosas usando aprendizado de máquina e bancos de dados de spam atualizados em tempo real. O sistema também é capaz de “detonar” e-mails suspeitos em uma sandbox ou colocá-los em quarentena.
  • Proteção para todos os dispositivos dos funcionários – incluindo smartphones e computadores pessoais usados para o trabalho . Isso aumenta a segurança em geral, mas é especialmente importante para interceptar links e arquivos maliciosos enviados não por e-mail, mas por outros canais, como redes sociais.

 

Dicas