Você recebeu um e-mail no trabalho solicitando que você altere a senha do seu e-mail, confirme o período de férias ou faça uma transferência de dinheiro urgente a pedido do CEO. Essas solicitações inesperadas podem ser o início de um ataque cibernético à sua empresa, portanto, você precisa garantir que não seja uma farsa. Então, como você verifica endereços de e-mail ou links para sites?
A peça central de uma falsificação geralmente é o nome de domínio; ou seja, a parte do e-mail após o @ ou o início da URL. Sua tarefa é inspirar confiança na vítima. Claro, os cibercriminosos adorariam sequestrar um domínio oficial da empresa-alvo, ou de um de seus fornecedores ou parceiros de negócios, mas nos estágios iniciais de um ataque eles geralmente não têm essa opção. Em vez disso, antes de um ataque direcionado, eles registram um domínio semelhante ao da organização da vítima – e esperam que você não perceba a diferença. Essas técnicas são chamadas de ataques parecidos. A próxima etapa é hospedar um site falso no domínio ou disparar e-mails falsos das caixas de correio associadas a ele .
Nesta postagem, exploramos alguns dos truques usados pelos invasores para impedir que você perceba uma falsificação de domínio.
Homóglifos: letras diferentes, mesma ortografia
Um truque é usar letras visualmente muito semelhantes ou mesmo indistinguíveis. Por exemplo, um “L” (l) minúsculo em muitas fontes parece idêntico a um “i” (I) maiúsculo; portanto, um e-mail enviado do endereço JOHN@MlCROSOFT.COM enganaria até os mais atentos. Claro, o endereço real do remetente é john@m L crosoft.com!
O número de doubles diabólicos aumentou depois que se tornou possível registrar domínios em diferentes idiomas, inclusive os que não usam o alfabeto latino. Um “ο” grego, um “о” russo e um “o” latino são totalmente indistinguíveis para um ser humano, mas aos olhos de um computador são três letras distintas. Isso torna possível registrar muitos domínios que se parecem com microsoft.com usando diferentes combinações de o’s. Essas técnicas que empregam caracteres visualmente semelhantes são conhecidas como ataques homóglifos ou homógrafos.
Agachamento combinado: um pouco mais
O combo-squatting tornou-se popular entre os cibercriminosos nos últimos anos. Para imitar um e-mail ou site da empresa-alvo, eles criam um domínio que combina seu nome e uma palavra auxiliar relevante, como Microsoft-login.com ou SkypeSupport.com. O assunto do e-mail e o final do nome de domínio devem corresponder: por exemplo, um aviso sobre acesso não autorizado a uma conta de e-mail pode ser vinculado a um site com o alerta de perspectiva de domínio.
A situação é agravada pelo fato de algumas empresas possuírem, de fato, domínios com palavras auxiliares. Por exemplo, login.microsoftonline.com é um site perfeitamente legítimo da Microsoft.
De acordo com a Akamai , os complementos de ocupação combinada mais comuns são: suporte, com, login, ajuda, seguro, www, conta, aplicativo, verificação e serviço. Dois deles – www e com – merecem uma menção separada. Eles são frequentemente encontrados em nomes de sites, e o usuário desatento pode não perceber o ponto que falta: wwwmicrosoft.com, microsoftcom.au.
Falsificação de domínio de nível superior
Às vezes, os cibercriminosos conseguem registrar um doppelganger em um domínio de nível superior (TLD) diferente, como microsoft.co em vez de microsoft.com ou office.pro em vez de office.com. Nesse caso, o nome da empresa falsificada pode permanecer o mesmo. Essa técnica é chamada Tld-squatting.
Uma substituição como essa pode ser muito eficaz. Recentemente, foi relatado que, por mais de uma década, vários contratados e parceiros do Departamento de Defesa dos EUA enviaram e-mails por engano para o domínio .ML pertencente à República do Mali, em vez do domínio .MIL dos militaresy americanos. Somente em 2023, um empreiteiro holandês interceptou mais de 117.000 e-mails mal direcionados com destino ao Mali, em vez do DoD.
Typo-squatting: domínios com erros ortográficos
A maneira mais simples (e mais antiga) de produzir domínios doppelganger é explorar vários erros de digitação que são fáceis de fazer e difíceis de detectar. Existem muitas variações aqui: adicionar ou remover duplos (ofice.com em vez de office.com), adicionar ou remover pontuação (cloud-flare ou c.loudflare em vez de cloudflare), substituir letras com sons semelhantes (savebank em vez de safebank) , e assim por diante.
Os erros de digitação foram inicialmente armados por spammers e fraudadores de anúncios, mas hoje esses truques são usados em conjunto com conteúdo de site falso para estabelecer as bases para spear-phishing e comprometimento de e-mail comercial (BEC)
Como se proteger contra domínios doppelganger e ataques parecidos
Homóglifos são os mais difíceis de detectar e quase nunca são usados para fins legítimos. Como resultado, os desenvolvedores de navegadores e, em parte, os registradores de domínio estão tentando se defender contra esses ataques. Em algumas zonas de domínio, por exemplo, é proibido registrar nomes com letras de alfabetos diferentes. Mas em muitos outros TLDs não existe essa proteção, então você tem que contar com ferramentas de segurança . É verdade que muitos navegadores têm uma maneira especial de exibir nomes de domínio contendo uma mistura de alfabetos. O que acontece é que eles representam a URL em punycode , então fica mais ou menos assim: xn--micrsoft-qbh.xn--cm-fmc (este é o site microsoft.com com dois o’s russos).
A melhor defesa contra o agachamento tipográfico e o agachamento combinado é a atenção. Para desenvolver isso, recomendamos que todos os funcionários passem por um treinamento básico de conscientização de segurança para aprender a identificar as principais técnicas de phishing.
Infelizmente, o arsenal do cibercriminoso é amplo e de forma alguma limitado a ataques semelhantes. Contra ataques cuidadosamente executados sob medida para uma empresa específica, a mera atenção não é suficiente. Por exemplo, este ano, os invasores criaram um site falso que clonou o gateway de intranet do Reddit para funcionários e comprometeu a empresa com sucesso. Portanto, as equipes de infosec precisam pensar não apenas no treinamento de funcionários, mas também em ferramentas vitais de proteção.
