O que é spoofing de domínio?

O que é spoofing de domínio?

O spoofing de domínio é uma forma de phishing na qual um invasor se passa por uma empresa ou pessoa conhecida usando um website ou domínio de e-mail falso para enganar as pessoas e ganhar a confiança delas. Normalmente, o domínio parece legítimo à primeira vista, mas uma análise mais detalhada revelará que um W é, na verdade, dois Vs, ou um L minúsculo é, na verdade, um I maiúsculo. Usuários que respondem à mensagem ou interagem com o website são induzidos a revelar informações confidenciais, enviar dinheiro ou clicar em links maliciosos.

Além de enganar um usuário por vez, o spoofing também causa outros danos:

• O spoofing pode ser usado para distribuir malware e outros tipos de ameaça, como ataques de negação de serviço distribuído (DDoS) e ataques man-in-the-middle.
• Invasores podem usar spoofing para ocultar sua identidade das autoridades policiais e de outras pessoas.
• O invasor pode redirecionar usuários para websites indesejados a fim de ganhar com anúncios, ou enganar anunciantes para inserir anúncios maliciosos em websites convencionais.
• Muitas vezes, as redes atacadas nem ficam sabendo da ação criminosa e, por isso, não emitem alertas.
• Endereços IP com spoofing buscam parecer legítimos para evitar serem inseridos em blacklists de firewalls e outros controles de segurança.

Quais são os principais tipos de spoofing de domínio?

1. Spoofing de e-mail

O invasor envia e-mails que parecem vir de um remetente conhecido, como um amigo, uma empresa ou um órgão do governo. E-mails fraudulentos podem conter um download ou link malicioso, atrair o destinatário para um website contaminado ou redirecionar o usuário para um website que ele não quer visitar.

2. Spoofing de websites

Invasores registram um domínio semelhante a um domínio legítimo. Eles podem usar isso para criar um website que replica quase perfeitamente o website legítimo e disparar e-mails falsos para atrair vítimas. Uma vez no website falso, os usuários são expostos a downloads maliciosos ou solicitações de dados pessoais, como credenciais de login ou informações bancárias. Websites falsos também podem ser usados para fraudes publicitárias. O golpista envia o domínio falso para uma bolsa de anúncios a fim de induzir os anunciantes a dar lances por espaço no website falso no lugar do legítimo.

3. Envenenamento de DNS

O envenenamento de DNS é uma forma de spoofing de IP mais difícil de detectar. No envenenamento de DNS, ao tentar acessar um website os usuários são redirecionados para outro. Por exemplo, para impedir que cidadãos chineses visitem websites censurados, o “Grande Firewall da China” do governo chinês redireciona os usuários para fora de websites censurados e para dentro de websites legítimos de vários tipos. O fluxo inesperado de tráfego para esses websites legítimos pode causar travamentos e, quando usado dessa maneira, o envenenamento de DNS se torna um ataque de DDoS.

Como funciona o ataque de spoofing de domínio

Um ataque spoofing de e-mail pode funcionar como qualquer ataque de spam, phishing ou spear phishing, em que o invasor envia spam para pessoas aleatoriamente ou tem como alvo os usuários de um setor ou empresa com mensagens falsas que contêm links maliciosos ou atraem usuários para websites contaminados. Os websites falsos são, em si, exemplos de spoofing de domínio, por isso não é incomum ver spoofing de e-mail e spoofing de domínio usados em conjunto.

Ou um ataque de spoofing de domínio pode ser parte de um golpe maior, como um ataque de DDoS em que o invasor usa endereços IP com spoofing para inundar um website ou servidor até que seus recursos se esgotem e ele fique lento ou trave.

Dicas para detectar um domínio falso

• Verifique se o domínio tem letras ou números extras. Procure principalmente caracteres que sejam facilmente confundidos com outros, como "L"s minúsculo e "I"s maiúsculo.
• Confira as informações do cabeçalho do e-mail. Examine os campos "Received from" e "Received-SPF". Se os domínios exibidos nesses campos não correspondem ao que você conhece sobre o suposto remetente, o e-mail está sendo usado para spoofing. Às vezes, os dados exibidos nesses campos são um endereço IP. Verifique-o acessando uma pesquisa whois em um website legítimo, como ICANN, Domain Tools ou GoDaddy e inserindo o IP. Se os resultados não forem o que você esperava — por exemplo, se o domínio parecer ser hospedado na Europa Oriental — então o e-mail não é confiável.
• Se o domínio parecer correto, verifique se outras informações correspondem. Por exemplo, se o e-mail parece vir de uma sede corporativa localizada na Califórnia, certifique-se de que todos os códigos de área nos números de telefone sejam da cidade correta. Passe o mouse sobre qualquer hiperlink para ver se ele leva ao destino esperado. Certifique-se de que o nome da empresa não seja um subdomínio: por exemplo, se o e-mail parece vir da CrowdStrike, os links não devem levar a crowdstrike.customersupport.com, mas de customersupport.crowdstrike.com. O nome correto deve sempre aparecer logo antes do ".com" ou outra extensão de arquivo, jamais em primeiro lugar.
• Certifique-se de que haja um certificado SSL (secure sockets layer). O certificado SSL é um arquivo de texto que autentica a identidade de um website e criptografa as informações enviadas ao servidor. A maioria dos websites hoje em dia tem certificados SSL.
• Verifique o certificado SSL. Certifique-se de que o domínio no certificado seja o domínio correto, não um domínio com spoofing. No Chrome ou Brave, verifique o certificado clicando no ícone de cadeado na barra de endereço e, em seguida, clique em "Certificado (Válido)" no pop-up. No Firefox, faça o mesmo, mas em vez de procurar por "Certificado (Válido)" no pop-up, clique na seta à direita do nome da empresa e uma mensagem declarando a segurança do status da conexão aparecerá. No Safari, clique duas vezes no cadeado e selecione "Mostrar certificado".
• Não clique em links dentro da mensagem ou do website. Em vez disso, pesquise a entidade e clique no link nos resultados da pesquisa.