{"id":21578,"date":"2023-08-07T16:04:46","date_gmt":"2023-08-07T19:04:46","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21578"},"modified":"2023-08-07T16:04:46","modified_gmt":"2023-08-07T19:04:46","slug":"lookalike-domains-in-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/lookalike-domains-in-bec\/21578\/","title":{"rendered":"Como identificar dom\u00ednios lookalike"},"content":{"rendered":"

Voc\u00ea recebeu um e-mail do trabalho solicitando que voc\u00ea altere a senha do seu e-mail, confirme o per\u00edodo de f\u00e9rias ou fa\u00e7a uma transfer\u00eancia de dinheiro urgente a pedido do CEO. Essas solicita\u00e7\u00f5es inesperadas podem ser o in\u00edcio de um ciberataque \u00e0 sua empresa, portanto, voc\u00ea precisa garantir que n\u00e3o seja uma farsa. Ent\u00e3o, como voc\u00ea verifica endere\u00e7os de e-mail ou links para sites?<\/p>\n

A pe\u00e7a central de uma falsifica\u00e7\u00e3o geralmente \u00e9 o nome de dom\u00ednio; ou seja, a parte do e-mail ap\u00f3s o @ ou o in\u00edcio da URL. Sua tarefa \u00e9 inspirar confian\u00e7a na v\u00edtima. Claro, os cibercriminosos adorariam sequestrar um dom\u00ednio oficial da empresa-alvo, ou de um de seus fornecedores ou parceiros de neg\u00f3cios, mas nos est\u00e1gios iniciais de um ataque eles geralmente n\u00e3o t\u00eam essa op\u00e7\u00e3o. Em vez disso, antes de um ataque direcionado, eles registram um dom\u00ednio semelhante ao da organiza\u00e7\u00e3o v\u00edtima \u2013 e esperam que voc\u00ea n\u00e3o perceba a diferen\u00e7a. Essas t\u00e9cnicas s\u00e3o chamadas de ataques \u201clookalike\u201d, ou por semelhan\u00e7a, em tradu\u00e7\u00e3o livre. A pr\u00f3xima etapa \u00e9 hospedar um site falso no dom\u00ednio ou disparar e-mails falsos das caixas de correio associadas a ele<\/a>.<\/p>\n

Nesta postagem, exploramos alguns dos truques usados \u200b\u200bpelos invasores para impedir que voc\u00ea perceba uma falsifica\u00e7\u00e3o de dom\u00ednio.<\/p>\n

Hom\u00f3glifos: letras diferentes, mesma ortografia<\/h2>\n

Um truque \u00e9 usar letras visualmente muito semelhantes ou mesmo indistingu\u00edveis. Por exemplo, um \u201cL\u201d (l) min\u00fasculo em muitas fontes parece id\u00eantico a um \u201ci\u201d (I) mai\u00fasculo; portanto, um e-mail enviado do endere\u00e7o JOHN@MlCROSOFT.COM enganaria at\u00e9 os mais atentos. Claro, o endere\u00e7o real do remetente \u00e9 john@mL<\/strong>crosoft.com!<\/p>\n

O n\u00famero de falsifica\u00e7\u00f5es aumentou depois que se tornou poss\u00edvel registrar dom\u00ednios em diferentes idiomas, inclusive os que n\u00e3o usam o alfabeto latino. As letras \u201cs\u00e3o totalmente indistingu\u00edveis para um ser humano, mas aos olhos de um computador s\u00e3o tr\u00eas letras distintas. Isso torna poss\u00edvel registrar muitos dom\u00ednios que se parecem com microsoft.com usando diferentes combina\u00e7\u00f5es de o\u2019s. Essas t\u00e9cnicas que empregam caracteres visualmente semelhantes s\u00e3o conhecidas como ataques hom\u00f3glifos ou hom\u00f3grafos.<\/p>\n

Combo-squatting: mais palavras, mais confus\u00e3o<\/h2>\n

O combo-squatting tornou-se popular entre os cibercriminosos nos \u00faltimos anos. Para imitar um e-mail ou site da empresa-alvo, eles criam um dom\u00ednio que combina seu nome e uma palavra auxiliar relevante, como Microsoft-login.com ou SkypeSupport.com. O assunto do e-mail e o final do nome de dom\u00ednio devem corresponder: por exemplo, um aviso sobre acesso n\u00e3o autorizado a uma conta de e-mail pode ser vinculado a um site com o alerta de perspectiva de dom\u00ednio.<\/p>\n

A situa\u00e7\u00e3o \u00e9 agravada pelo fato de algumas empresas possu\u00edrem, de fato, dom\u00ednios com palavras auxiliares. Por exemplo, login.microsoftonline.com \u00e9 um site perfeitamente leg\u00edtimo da Microsoft.<\/p>\n

De acordo com a Akamai<\/a>, os add-ons de combina\u00e7\u00e3o mais comuns s\u00e3o: suporte, com, login, ajuda, secure, www, account, app, verify e service. Dois deles \u2013 www e com \u2013 merecem uma men\u00e7\u00e3o separada. Eles s\u00e3o frequentemente encontrados em nomes de sites, e o usu\u00e1rio desatento pode n\u00e3o perceber o ponto que falta, como nos seguintes exemplos: wwwmicrosoft.com, microsoftcom.au.<\/p>\n

Falsifica\u00e7\u00e3o de dom\u00ednio de n\u00edvel superior<\/h2>\n

\u00c0s vezes, os cibercriminosos conseguem registrar um clone em um dom\u00ednio de n\u00edvel superior (TLD) diferente, como microsoft.co em vez de microsoft.com ou office.pro em vez de office.com. Nesse caso, o nome da empresa falsificada pode permanecer o mesmo. Essa t\u00e9cnica \u00e9 chamada Tld-squatting.<\/p>\n

Uma substitui\u00e7\u00e3o como essa pode ser muito eficaz. Recentemente, foi relatado que, por mais de uma d\u00e9cada, v\u00e1rios contratados e parceiros do Departamento de Defesa dos EUA enviaram e-mails por engano para o dom\u00ednio .ML pertencente \u00e0 Rep\u00fablica do Mali, em vez do dom\u00ednio .MIL do ex\u00e9rcito americano. Somente em 2023, um empreiteiro holand\u00eas interceptou mais de 117.000 e-mails mal direcionados<\/a> com destino ao Mali, em vez do Departamento de Defesa.<\/p>\n

Typo-squatting: dom\u00ednios com erros ortogr\u00e1ficos<\/h2>\n

A maneira mais simples (e mais antiga) de produzir dom\u00ednios clonados \u00e9 explorar v\u00e1rios erros de digita\u00e7\u00e3o que s\u00e3o f\u00e1ceis de fazer e dif\u00edceis de detectar. Existem muitas varia\u00e7\u00f5es aqui: adicionar ou remover letras duplas (ofice.com em vez de office.com), adicionar ou remover pontua\u00e7\u00e3o (cloud-flare ou c.loudflare em vez de cloudflare), substituir letras com sons semelhantes (savebank em vez de safebank) , e assim por diante.<\/p>\n

Os erros de digita\u00e7\u00e3o foram inicialmente armados por spammers e fraudadores de an\u00fancios, mas hoje esses truques s\u00e3o usados \u200b\u200bem conjunto com o conte\u00fado de sites falsos para estabelecer as bases para spear-phishing e o comprometimento de e-mail comercial (BEC).<\/a><\/p>\n

Como se proteger contra dom\u00ednios clonados e ataques lookalike<\/h2>\n

Hom\u00f3glifos s\u00e3o os mais dif\u00edceis de detectar e quase nunca s\u00e3o usados \u200b\u200bpara fins leg\u00edtimos. Como resultado, os desenvolvedores de navegadores e, em parte, os registradores de dom\u00ednio est\u00e3o tentando se defender contra esses ataques. Em algumas zonas de dom\u00ednio, por exemplo, \u00e9 proibido registrar nomes com letras de alfabetos diferentes. Mas em muitos outros dom\u00ednios n\u00e3o existe tal prote\u00e7\u00e3o, ent\u00e3o voc\u00ea tem que confiar em ferramentas de seguran\u00e7a<\/a>.<\/strong> \u00c9 verdade que muitos navegadores t\u00eam uma maneira especial de exibir nomes de dom\u00ednio contendo uma mistura de alfabetos. O que acontece \u00e9 que eles representam a URL em punycode<\/a>, ent\u00e3o fica mais ou menos assim: xn--micrsoft-qbh.xn--cm-fmc<\/em> (este \u00e9 o site microsoft.com com os dois o\u2019s no idioma russos).<\/p>\n

A melhor defesa contra o typo-squatting e o combo-squatting \u00e9 a aten\u00e7\u00e3o. Para desenvolver isso, recomendamos que todos os funcion\u00e1rios passem por treinamento b\u00e1sico de seguran\u00e7a da informa\u00e7\u00e3o<\/a>\u00a0<\/strong>para aprender a identificar as principais t\u00e9cnicas de phishing.<\/p>\n

Infelizmente, o arsenal dos cibercriminosos \u00e9 amplo e de forma alguma limitado a ataques do tipo lookalike. Nos casos de ataques cuidadosamente executados sob medida contra uma empresa espec\u00edfica, a mera aten\u00e7\u00e3o n\u00e3o \u00e9 suficiente. Por exemplo: neste ano, invasores criaram um site falso que clonou o gateway de intranet do Reddit<\/a> para funcion\u00e1rios e comprometeu a empresa com sucesso. Portanto, as equipes de infosec precisam pensar n\u00e3o apenas no treinamento de funcion\u00e1rios, mas tamb\u00e9m em ferramentas vitais de prote\u00e7\u00e3o:<\/p>\n