A falsificação de domínio envolve a falsificação de um nome de site ou nome de e-mail para que sites e e-mails inseguros ou maliciosos pareçam ser seguros.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Falsificação de domínio ocorre quando os cibercriminosos falsificam o nome de um site ou domínio de e-mail para tentar enganar os usuários. O objetivo da falsificação de domínio é induzir um usuário a interagir com um e-mail malicioso ou um site de phishing como se fosse legítimo. A falsificação de domínio é como um vigarista que mostra a alguém credenciais falsas para ganhar sua confiança antes de tirar vantagem delas.
A falsificação de domínio é frequentemente usada em ataques de phishing. O objetivo de um ataque de phishing é roubar informações pessoais, como credenciais de login da conta ou detalhes do cartão de crédito, para induzir a vítima a enviar dinheiro ao invasor ou induzir um usuário a baixar malware. A falsificação de domínio também pode ser usada para realizar fraudes de anúncios, enganando os anunciantes para que paguem por anúncios exibidos em sites que não sejam os sites pelos quais eles acham que estão pagando.
A falsificação de domínio é diferente da falsificação de DNS ou envenenamento de cache e também de sequestro de BGP. Essas são outras maneiras de direcionar um usuário para o site errado, que são mais complexas do que simplesmente falsificar o nome.
Um domínio, ou mais corretamente nome de domínio, é o nome completo de um site. "cloudflare.com" é um exemplo de nome de domínio. Para empresas e organizações, o domínio aparece nos endereços de e-mail dos funcionários após o símbolo "@". Uma conta de e-mail pessoal pode usar "gmail.com" ou "yahoo.com" como domínio, mas um e-mail corporativo geralmente usa o site da empresa. (Para saber mais sobre domínios, consulte O que é DNS?)
A falsificação de sites ocorre quando um invasor constrói um site com um URL muito semelhante, ou mesmo copia o URL de um site legítimo que o usuário conhece e em que confia. Além de falsificar o URL, o invasor pode copiar completamente o conteúdo e o estilo de um site, com imagens e texto.
Para imitar um URL, os invasores podem usar caracteres de outros idiomas ou caracteres Unicode que se parecem quase exatamente com os caracteres ASCII regulares. (Isso é chamado de ataque homógrafo.) URLs falsificados menos convincentes podem adicionar ou substituir caracteres usados regularmente ao URL e esperar que os usuários não percebam.
Esses sites falsos são normalmente usados para atividades criminosas, como phishing. Uma página de login falsa com um URL aparentemente legítimo pode induzir um usuário a enviar suas credenciais de login. Sites falsificados também podem ser usados para trotes ou brincadeiras.
A falsificação de e-mail ocorre quando um invasor usa um endereço de e-mail falso com o domínio de um site legítimo. Isso é possível porque a verificação de domínio não está incorporada no protocolo SMTP, o protocolo no qual o e-mail é incorporado. Os protocolos de segurança de e-mail desenvolvidos mais recentemente, como DMARC e DKIM, fornecem maior verificação.
Os invasores costumam usar a falsificação de e-mail em ataques de phishing. Um invasor falsificará um nome de domínio para convencer os usuários de que o e-mail de phishing é legítimo. Um e-mail que parece vir de um representante da empresa é mais convincente à primeira vista do que um e-mail de algum domínio aleatório.
O objetivo do ataque de phishing pode ser fazer com que os usuários visitem um determinado site, baixem malware, abram um anexo de e-mail malicioso, digitem as credenciais da conta ou transfiram dinheiro para uma conta controlada pelo invasor.
A falsificação de e-mail costuma ser associada à falsificação de site, pois o e-mail pode levar a um site falsificado, onde os usuários devem inserir seu nome de usuário e senha para a conta de destino.
Os autores de fraudes de anúncios falsificam o nome de sites de sua propriedade para ocultar a origem real de seu tráfego e oferecer seus domínios falsificados para licitação dos anunciantes. Então, os anúncios gráficos acabam em um site indesejável, em vez do site que os anunciantes queriam.
Estar atento à fonte. O link é de um e-mail? O e-mail era esperado? As solicitações e avisos inesperados costumam ser de golpistas.
Examinar cuidadosamente o URL. Há algum caractere extra que não pertencem? Tente copiar e colar o URL em uma nova guia: ele ainda tem a mesma aparência? (Isso pode detectar ataques homográficos.)
Certificar-se de que haja um certificado SSL. Um certificado SSL é um arquivo de texto que identifica um site e ajuda a criptografar o tráfego de e para o site. Os certificados SSL são geralmente emitidos por uma autoridade de certificação externa e, antes de emitir um, a autoridade de certificação verifica se a parte solicitante do certificado realmente possui esse nome de domínio (embora às vezes essa verificação seja mínima). Quase todos os sites legítimos hoje em dia terão um certificado SSL.
Verificar o certificado SSL, se houver. O domínio listado no certificado SSL é o nome que se esperava? (Para ver o certificado SSL no Chrome, clique no cadeado na barra de URL e em "Certificado".) Um site falsificado pode ter um certificado SSL real – mas para o nome de domínio falsificado, não para o nome de domínio real .
Adicionar marcadores dos sites importantes. Manter um marcador de páginas no navegador de cada site legítimo. Clicar no marcador, em vez de seguir um link ou digitar a URL, garante o carregamento correto da URL a cada vez. Por exemplo, em vez de digitar "mybank.com" ou realizar uma busca no Google para o website do banco, criar um marcador para o site.
O certificado SSL pode ajudar a tornar a falsificação do site mais difícil para os invasores, pois eles terão que se registrar para obter um certificado SSL falsificado, além de registrar o domínio falsificado. (A Cloudflare oferece certificados SSL gratuitos.)
Infelizmente, não há uma maneira de impedir a falsificação de domínio no e-mail. As empresas podem adicionar mais verificação aos e-mails enviados via DMARC, DKIM e outros protocolos, mas partes externas ainda podem enviar e-mails falsos usando seu domínio sem esta verificação.