Se você acha que está vendo em dobro, provavelmente está. Atualmente enfrentamos uma ameaça crescente de domínios semelhantes, uma forma direcionada de phishing, no qual agentes mal-intencionados se utilizam de domínios de sites visualmente semelhantes, de forma a enganar os usuários e fazê-los clicar em links ou visitar sites falsos. E, embora a indústria de cibersegurança venha expandindo a sua capacidade de detectar ameaças automaticamente, os criminosos cibernéticos continuam inovando.
Como os ataques ocorrem
De acordo com dados da Infoblox, 43% dos ataques sofridos pelas empresas são provenientes de phishing. Desta forma, os cibercriminosos se aproveitam do desconhecimento das pessoas e levam com sucesso as vítimas a domínios semelhantes por meio de SMS, mensagens diretas nas redes sociais e códigos QR. Por exemplo, uma mensagem de SMS falsa que parece ser do Serviço Postal de Correios, fornecendo um link de rastreamento para o seu pacote.
Neste caso, ao clicar no link, o site para o qual é direcionado é muito parecido com o original, dificultando aos usuários perceber que se trata de um golpe de ataque de domínio semelhante. Em seguida, os criminosos coletam dados pessoais que podem levar ao roubo de identidade.
Geralmente, os hackers começam no nível do sistema de nomes de domínio (DNS), que é o primeiro ponto de ataque para muitos agentes de ameaças. O uso mais comum do DNS é para que os computadores sejam capazes de encontrar conteúdos na internet, por meio de um nome de domínio. O Facebook/Meta, por exemplo, pode ser acessado pelo domínio facebook.com.
No entanto, o DNS é frequentemente ignorado e desprotegido, ou seja, se os hackers rompem a camada inicial do sistema com um ataque de domínio semelhante, muitas vezes poderão obter acesso a uma rede inteira. Assim, esses nomes de domínio podem parecer indistinguíveis do esperado e o usuário pode ser pego de surpresa.
"O uso de domínios semelhantes é lucrativo e, infelizmente, os preços baratos de registro e a capacidade de distribuir ataques em grande escala dão a estes criminosos uma vantagem. Embora as técnicas para identificar atividades maliciosas venham sendo otimizadas, acompanhar o ritmo desses ataques tem sido um trabalho cada vez mais árduo.", revela Renée Burton, head de Inteligência de Ameaças na Infoblox.
Os 4 tipos de ataques
Da mesma forma, kits de ferramentas são vendidos na dark web por apenas US$ 300, permitindo que estes hackers consigam atacar em grande escala com pouco ou nenhum esforço. Assim, de forma a se atentar a estes crimes, confira a seguir quatro tipos de domínios semelhantes:
-
Homógrafos ou homóglifos: utilizam caracteres visualmente semelhantes de diferentes conjuntos de caracteres, como cirílico ou grego, para criar nomes de domínios que parecem idênticos aos legítimos (por exemplo, substituindo "o" por "0"). O que torna os homógrafos particularmente eficazes é o fato da diferença entre caracteres individuais nem sempre ser claramente distinguível, dependendo das fontes e dos tipos de letra usados.
-
Typosquats: incluem erros de digitação sorrateiros ao registrar domínios que se assemelham muito a sites populares (por exemplo, substituindo "amazon" por "amazonn"). Muitas vezes, os typosquats serão utilizados para domínios populares que já estão registados para obter ganhos financeiros e atrair dinheiro para publicidade, mas os agentes maliciosos também se "ocupam" nestes domínios com websites que estão visualmente próximos daquilo que os utilizadores esperam ver.
-
Combosquats: combinam marcas ou nomes de empresas bem conhecidas com outras palavras-chave como "correio", "segurança" ou "suporte". Por exemplo, o domínio wordpresssecurity pode ser pesquisável no Google para usuários do WordPress que procuram ajuda, mas na verdade tem um endereço IP baseado na Rússia. De acordo com o relatório da Infoblox, cerca de 60% desses domínios de combosquatting abusivos permanecem ativos por mais de 1.000 dias e apenas 20% são denunciados e bloqueados após 100 dias. O Combosquatting é cerca de 100 vezes mais prevalente do que o typosquatting.
-
Soundsquats: são a forma mais recente de ameaças, usando nomes de domínio que parecem semelhantes aos legítimos quando falados em voz alta (por exemplo, "hsbsee" em vez de "hsbc"). Isso pode enganar os usuários que ouvem um domínio ao invés de lê-lo, e foi pesquisado por dispositivos inteligentes como Google Home, Siri e Alexa.
Como se proteger
Embora os quatro enfatizem diferentes tipos de ataques, os agentes de ameaças raramente se limitam a uma dessas vias. Frequentemente, eles tentam utilizar uma combinação dessas técnicas com o intuito de fraudar usuários e atingir empresas. Domínios semelhantes são projetados para enganar os consumidores e, embora alguns possam identificá-los, basta uma ou duas pessoas para interagir e ativar os efeitos do ataque.
Ainda que saber identificar domínios semelhantes seja fundamental, isso não basta a fim de se proteger completamente. Uma das melhores maneiras de se defender contra esses ataques é ter uma forte estratégia de segurança de DNS já implementada, visto que isso auxilia na detecção e bloqueio prematuro desses sites.
"Detectar e não ser vítima desses tipos de ciberataques é crucial, mas a capacidade de derrubar estes domínios é igualmente importante. Os ataques a domínios semelhantes estão aumentando em sofisticação e prevalência, tornando soluções especializadas, como a segurança DNS, obrigatórias para todos.", finaliza a executiva.
Renée Burton, head de Inteligência de Ameaças na Infoblox.