Os invasores de spear phishing usam domínios parecidos para personificar marcas e contornar a segurança. Aprenda a detectar, monitorar e prevenir essas ameaças com rastreamento de domínio, inteligência de ameaças e autenticação de e-mail.

O que você aprenderá neste guia

• Domínios semelhantes em phishing: como os invasores registram domínios enganosos para enganar os usuários.

• Domínios estacionados: uma ameaça oculta? Por que domínios inativos podem se transformar em golpes ativos da noite para o dia.

• Táticas de falsificação de e-mail: sua marca pode ser usada para enviar e-mails falsos sem você saber?

• Inteligência de ameaças em ação: como o monitoramento de domínios e servidores SMTP pode expor fraudes.

• Pegou um domínio suspeito? Os passos-chave para investigar, relatar e derrubá-lo rapidamente.

Em abril de 2023, a Axur identificou um domínio muito parecido com o nosso, registrado com contatos em modo de privacidade, exibindo inicialmente uma página em branco. Começamos a monitorar a infraestrutura, prevendo que em breve ela poderia hospedar uma página falsa ou serviço de e-mail para spear phishing. Algumas semanas depois, o site começou a replicar nossa página e ativou um servidor SMTP. Embora tenhamos removido o conteúdo, casos como esse acontecem diariamente, deixando muitas organizações sem saber como agir.

O perigo aumenta quando o domínio similar não exibe conteúdo falso, dificultando a solicitação de remoção (como discutimos em nosso artigo sobre domínios estacionados). Embora ataques direcionados a funcionários possam ser mitigados aplicando filtros na rede interna e no servidor de e-mail, ameaças a fornecedores ou clientes infelizmente acabam funcionando.

Este artigo apresenta insights práticos e ferramentas gratuitas para discutir como agir nesses cenários.

Como o Spear Phishing explora nomes de domínio semelhantes

Spear phishing é um ataque altamente direcionado em que criminosos conduzem pesquisas detalhadas para criar mensagens personalizadas destinadas a indivíduos específicos. Quando os invasores registram domínios que se assemelham visualmente ao domínio da sua empresa, eles aumentam a credibilidade dos e-mails de phishing. Veja como isso acontece:

• Reconhecimento: os invasores coletam informações públicas (de sites, redes sociais, dados vazados, etc.) para entender a estrutura e o estilo de comunicação da sua organização.

• Impersonificação por meio de domínios: ao registrar domínios visualmente semelhantes — por meio de substituições mínimas de caracteres, erros de digitação (typosquatting) ou até mesmo ataques homográficos — eles criam a ilusão de legitimidade.

• Mensagens personalizadas: com esses domínios enganosos, os criminosos enviam e-mails que parecem ser de fontes confiáveis, aumentando a probabilidade de os destinatários clicarem em links maliciosos ou revelarem informações confidenciais.

Os nomes de domínio são essenciais para o sucesso dos ataques de spear phishing pelos seguintes motivos:

• Estabelecendo confiança: um domínio que se assemelha muito ao legítimo confere credibilidade indevida aos e-mails de phishing.

• Evasão de filtros: domínios recém-registrados podem ainda não ter uma reputação negativa, o que lhes permite contornar filtros de e-mail.

• Confusão do usuário: sob pressão, os destinatários podem ignorar as diferenças sutis entre um domínio falso e o real, especialmente se a comunicação for urgente ou supostamente de uma autoridade.

Monitoramento de domínio com expressões regulares

O monitoramento proativo de domínios é essencial para identificar registros suspeitos — sejam domínios semelhantes, erros de digitação ou ataques homográficos —, pois os criminosos usam mudanças sutis em nomes para confundir os usuários. Se essas técnicas funcionam, é porque o domínio fraudulento precisa estar relacionado, de alguma forma, ao domínio legítimo da empresa, o que reforça a importância do monitoramento de domínios semelhantes.

Isso é feito por meio do monitoramento de listas de domínios, que podem ser obtidas gratuitamente nos principais TLDs ou adquiridas via feeds oferecidos por empresas especializadas. A partir dessas listas, atualizadas diariamente, é possível utilizar ferramentas automatizadas com expressões regulares (regex) para extrair e identificar registros que tenham características suspeitas, conforme os exemplos a seguir.

Exemplos de padrões Regex

• Padrão básico para domínio semelhante: Supondo que seu domínio legítimo seja example.com, uma regex para capturar substituições simples de caracteres pode ser:

  ^examp[l1]o\.com$

Este padrão identifica variações onde o caractere "l" é substituído por "1".

• Detectando erros de digitação e caracteres extras: para identificar domínios com números adicionais ou letras trocadas (por exemplo, example123.com ou exampelo.com), tente:

^examp(?:lo|ol)[0-9]{0,3}\.com$

Esta expressão permite pequenas alterações na posição das letras ou a adição de até três dígitos.

• Detectando ataques homográficos: embora o regex tenha limitações na captura de todos os homógrafos (devido à variedade de caracteres Unicode), uma abordagem simplificada pode ser:

^(?:e[xх]emplo)\.com$

Neste caso, o padrão verifica tanto o "x" latino quanto seu homógrafo cirílico ("х") na parte central do domínio.

Autenticação de e-mail: Configurando o ambiente para evitar spoofing

Uma configuração de autenticação de e-mail robusta é essencial para evitar que invasores usem sua marca para enviar e-mails falsificados. Spoofing é uma técnica amplamente usada em que o invasor configura seu serviço de e-mail para enviar mensagens como se fossem enviadas por meio do seu nome de domínio. Aqui estão os principais protocolos e práticas recomendadas:

• SPF (Sender Policy Framework): O SPF permite que você defina quais endereços IP estão autorizados a enviar e-mails em nome do seu domínio.

• DKIM (DomainKeys Identified Mail): Configure o DKIM gerando um par de chaves (pública e privada). A chave privada é usada para assinar e-mails de saída, enquanto a chave pública é publicada no DNS, permitindo que os servidores de recebimento verifiquem a integridade da mensagem. Guias detalhados podem ser encontrados em dmarcian .

• DMARC (Domain-based Message Authentication, Reporting & Conformance): DMARC complementa SPF e DKIM, instruindo servidores de recebimento sobre como lidar com e-mails que falham na autenticação. Ferramentas como DMARC Analyzer ajudam a analisar e ajustar continuamente as políticas DMARC.

Você pode usar o comando dig para consultar registros DNS e verificar as configurações DMARC e DKIM. Por exemplo, para verificar DMARC, execute:

Bash:

dig txt _dmarc.yourdomain.com

Para verificar o DKIM, você precisará saber o seletor configurado (por exemplo, "default"). Se for esse o caso, use:

dig txt default._domainkey.yourdomain.com

Se o seletor for diferente, substitua "default" pelo valor correto. Esses comandos retornarão os registros TXT configurados, permitindo que você confirme se eles são apropriados.

Inteligência de ameaças e monitoramento de infraestrutura

Além de monitorar os registros de domínio, é essencial monitorar a infraestrutura associada a esses domínios, como IPs e servidores SMTP.

Os invasores geralmente registram domínios apenas para operar um servidor SMTP, sem desenvolver um site. O monitoramento de registros de domínio, endereços IP e configurações SMTP pode revelar sinais precoces de atividade maliciosa. Recomendamos mapear os seguintes parâmetros para cada domínio semelhante identificado: se há um IP definido, se há registros MX (mail exchange) e NS (nameserver) configurados e quais portas estão abertas (80 e 443 para serviços da Web ou 25, 587, 465 e 2525 para SMTP).

Ferramentas como o Domain Watchdog da Axur oferecem monitoramento gratuito de domínio. Essas soluções alertam você sobre mudanças em registros DNS ou ativação de serviços SMTP, indicando que um domínio aparentemente estacionado pode estar sendo preparado para campanhas de spear phishing.

O que fazer quando você identifica um ataque

Documentar a evidência

É crucial reunir o máximo de informações possível para provar a atividade suspeita. Entre as evidências que você deve capturar estão:

• Cabeçalhos de e-mail: capture os cabeçalhos completos de e-mails suspeitos, que contêm informações sobre a rota, IPs de origem, servidores envolvidos e outras pistas essenciais para rastrear a origem da mensagem. Esta documentação é crucial para investigações internas e possíveis ações legais. Para saber como capturar cabeçalhos de e-mail, consulte os guias do Gmail ou do Outlook.

• Carimbos de data e hora: registre as horas e datas em que os e-mails foram recebidos, pois isso ajuda a estabelecer o cronograma do incidente.

• Links e arquivos anexados: salve cópias de links suspeitos e arquivos anexados, pois eles podem ser analisados ​​posteriormente para identificar conteúdo malicioso ou conexões com outros ataques.

Documentar essas evidências não apenas ajuda na investigação interna, mas também serve como prova em processos legais ou na comunicação com autoridades e parceiros.

Notificar equipes internas

Assim que uma atividade suspeita for identificada, informe imediatamente as equipes de TI e segurança cibernética. É importante que todos os funcionários estejam cientes para que tomem medidas de precaução e evitem ações que possam comprometer a segurança da empresa. Exemplo de mensagem interna aos funcionários:

Assunto: Alerta de segurança: Verificação de e-mails suspeitos

Caros funcionários,

Identificamos tentativas de phishing usando e-mails falsos que lembram nossas comunicações oficiais. Esses e-mails podem ter pequenas variações no domínio ou conter solicitações incomuns, como alterações em detalhes bancários.

Solicitamos que você fique atento a mensagens que contenham discrepâncias, como domínios ligeiramente diferentes ou solicitações inesperadas de informações confidenciais, acesso a determinados sites, suas senhas ou até mesmo transferências de dinheiro.

Se você receber ou identificar algo suspeito, encaminhe imediatamente para nossa equipe de TI em security@example.com.

Agradecemos a cooperação de todos na manutenção da segurança de nossas comunicações.

Atenciosamente,

[Seu nome / Equipe de segurança]

Esse tipo de comunicação visa alertar sem causar pânico, reforçando a importância da atenção e da colaboração.

Entre em contato com o registrador de domínio/provedor de hospedagem

Se você identificar um domínio fraudulento sendo usado para personificar sua empresa, é importante agir rapidamente. Além de contatar o registrador de domínio ou provedor de hospedagem, você pode usar o serviço de remoção da Axur para agilizar a remoção do domínio suspeito.

• Registrador vs. Provedor: Geralmente é mais eficaz entrar em contato com o registrador de domínio, pois ele tem controle direto sobre o registro. No entanto, em alguns casos, o provedor de hospedagem também pode ser contatado para suspender serviços associados ao domínio.

• Base Legal: Em algumas situações, pode ser possível invocar a legislação dos EUA, como o Digital Millennium Copyright Act (DMCA), que, embora focado em direitos autorais, demonstra como a legislação pode ser usada para argumentar contra o uso indevido de domínios. Essa base legal reforça a importância de agir mesmo quando as evidências são escassas, mas é aconselhável consultar um advogado para avaliar o caso específico.

Alerte seus clientes e parceiros

Quando o roubo de identidade se espalha e afeta partes externas, é crucial se comunicar com clientes e parceiros de forma clara e eficaz. Mantenha um tom calmo, factual e informativo, evitando alarmismo. Explique brevemente a situação e forneça orientação prática sobre como identificar comunicações legítimas da sua empresa. Use e-mails oficiais, atualizações no site da empresa, mídias sociais e, se possível, uma central de ajuda dedicada para responder a perguntas. Exemplo de comunicação:

Caro cliente/parceiro,

Informamos que identificamos tentativas de phishing que utilizam domínios similares ao nosso para enviar comunicações fraudulentas. Reforçamos que nossas comunicações oficiais são enviadas somente de [seu-dominio.com]. Caso receba algum e-mail suspeito, entre em contato conosco imediatamente através de [inserir canal de contato].

Estamos trabalhando para resolver a situação e agradecemos sua atenção e cooperação.

Atenciosamente,

[Sua empresa]

Revisar e fortalecer os protocolos de segurança

Após conter a ameaça, é essencial rever e fortalecer os protocolos de segurança. Para usuários dos serviços de e-mail da Microsoft ou Google, as seguintes práticas podem ser adotadas:

• Microsoft (Office 365): Use o Security & Compliance Center para configurar e monitorar políticas de segurança, incluindo SPF, DKIM e DMARC. A Microsoft oferece guias detalhados para implementar essas medidas, que podem ser acessados ​​aqui .

• Google (Google Workspace): No Google Admin Console, configure os registros SPF, DKIM e DMARC para garantir que os e-mails enviados em nome da sua empresa sejam autenticados corretamente. Mais informações e orientações podem ser encontradas neste link.

Essas configurações ajudam a evitar que e-mails falsos sejam entregues e garantem que comunicações legítimas sejam validadas pelos servidores de recebimento.

Envolva as autoridades policiais

Embora envolver as autoridades possa não resultar em ação imediata em alguns casos, é importante relatar o incidente à polícia, especialmente se houver evidências concretas de que o ataque está em andamento.

Preencher um relatório formal cria um histórico que pode ser essencial para investigações futuras. Mesmo que a ação policial não interrompa o ataque instantaneamente, o registro contribui para construir um caso sólido e pode ajudar a deter criminosos.

Essa medida só deve ser tomada se houver evidências claras de que uma atividade maliciosa está ocorrendo. Reportar às autoridades é um passo complementar que, junto com outras ações, fortalece a postura de segurança da empresa.

Caçadores de baleias e seus arpões

Spear phishing continua sendo uma ameaça persistente e em evolução, especialmente quando os invasores usam domínios semelhantes para personificar entidades confiáveis. Ao combinar monitoramento proativo de domínio, implementação robusta de protocolos de autenticação de e-mail (SPF, DKIM, DMARC) e monitoramento contínuo de infraestrutura e inteligência de ameaças, as organizações podem reduzir significativamente seus riscos.

O incidente que enfrentamos na Axur em abril de 2023 serve como um exemplo prático de como um domínio pode evoluir rapidamente de um estado estacionado para uma ameaça ativa. Com ferramentas gratuitas como o Domain Watchdog e uma abordagem técnica e proativa, é possível antecipar e neutralizar essas ameaças antes que elas causem danos a funcionários, fornecedores ou clientes.

Perguntas Frequentes (FAQ)

P: O que é spear phishing?

R: O spear phishing tem como alvo indivíduos ou organizações específicas, usando mensagens personalizadas para enganá-los.

P: Como posso reconhecer um nome de domínio enganoso?

R: Procure por erros ortográficos sutis, substituições de caracteres ou homógrafos (caracteres que se parecem).

P: O que é typosquatting?

R: Typosquatting usa erros ortográficos comuns de nomes de domínio legítimos para enganar os usuários.

P: O que são SPF, DKIM e DMARC?

R: Esses são métodos de autenticação de e-mail que ajudam a evitar falsificações e garantem a legitimidade do e-mail.

P: O que devo fazer se receber um e-mail suspeito?

A: Não clique em nenhum link ou anexo. Relate ao seu departamento de TI ou equipe de segurança.

P: Como as empresas podem se proteger contra spear phishing?

R: Monitore domínios suspeitos, implemente autenticação de e-mail, eduque funcionários e use plataformas de inteligência de ameaças.

P: Qual é o papel da inteligência de ameaças no combate ao spear phishing?

R: A inteligência de ameaças fornece insights sobre táticas de invasores e ajuda as organizações a se defenderem proativamente contra ameaças emergentes.

P: Quais são algumas ferramentas para monitorar registros de domínio?

R: Ferramentas como o Domain Watchdog da Axur podem ajudar você a monitorar registros de domínio suspeitos.

P: Como posso aprender mais sobre as melhores práticas de segurança cibernética?

R: Consulte recursos de organizações como o NIST (Instituto Nacional de Padrões e Tecnologia) e o SANS Institute.