Typosquatting é uma técnica enganosa na qual os agentes de ameaças registram domínios com erros ortográficos ou semelhantes de organizações legítimas para induzir os usuários a visitar sites fraudulentos. Continua a ser um dos vetores de ataque mais eficazes e subestimados no cenário moderno de ameaças cibernéticas.
O que parece ser um domínio com erros ortográficos muitas vezes esconde campanhas sofisticadas projetadas para fazer phishing de funcionários ou clientes de empresas, coletar credenciais, distribuir malware e prejudicar a reputação organizacional. Observações recentes das operações de contra-adversário da CrowdStrike revelam que os agentes de ameaças refinaram suas técnicas de typosquatting a um grau preocupante de sofisticação, tornando a detecção cada vez mais desafiadora para as equipes de segurança.
A capacidade dos adversários de estabelecer facilmente infraestruturas aparentemente legítimas representa riscos significativos para organizações de todos os tamanhos. Um domínio typosquatted pode servir a vários propósitos maliciosos, ao mesmo tempo que parece benigno para observadores casuais. Neste blog, examinamos as principais táticas de typosquatting para ajudar as organizações a compreender e se defender contra ataques de falsificação de identidade de marca e coleta de credenciais.
A Fundação: Explorando as Fraquezas do Registro de Domínio
O processo de registro de domínio apresenta inúmeras oportunidades para os agentes de ameaças estabelecerem uma infraestrutura aparentemente confiável. A maioria dos registradores de domínio exige verificação mínima, permitindo que adversários preencham WHOIS registros com informações da empresa fabricadas, mas convincentes, refletindo as de organizações legítimas.
Embora o Contrato de Credenciamento de Registradores de 2013 da Cooperação na Internet para Atribuição de Nomes e Números (ICANN) exija que os registradores validem e verifiquem determinados WHOIS campos — muitas vezes apenas o suficiente para garantir que os detalhes de contato fornecidos pelo registrante estejam operacionais — os agentes de ameaças ainda podem registrar infraestruturas de aparência confiável usando endereços de e-mail descartáveis e detalhes comerciais copiados.
Os atores de ameaças geralmente registram domínios usando pequenas variações de nomes de empresas-alvo, substituindo caracteres por alternativas visualmente semelhantes, adicionando prefixos ou sufixos comuns ou explorando erros de digitação comuns. Por exemplo, um agente de ameaça direcionado a examplecorp(.)com pode registrar examplecorp(.)com, example-corp(.)com ou examplecorp-support(.)com.
Um domínio registrado WHOIS a informação desempenha um papel crítico no engano. Os adversários muitas vezes preenchem esses registros com informações que parecem legítimas à primeira vista: nomes de empresas aparentemente reais, endereços de e-mail profissionais e números de telefone válidos. Alguns intervenientes sofisticados registam até domínios utilizando informações empresariais publicamente disponíveis — incluindo endereços comerciais legítimos e detalhes de contacto recolhidos dos registos públicos da organização alvo — para aumentar a sua aparência de autenticidade.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!