[HSC MailInspector] - Verificação de domínio similar (Cousin domain attack / Look-A-Like Attack)

Uma técnica de ataques muito utilizada por hackers é compra de domínios “parecidos/similares” em relação ao domínio alvo.

O MailInspector consegue verificar se a origem do e-mail é similar ao domínio aplicado no remetente e ainda compara com eventual problema de SPF em relação ao domínio.

Além da proteção já mencionada, podemos utilizar o sistema de DNSTwister para verificar domínios parecidos com o domínio original.

O cousin domain ou domínios primos, também chamado de lookalike domain (também conhecidos como domínios similares), é um domínio DNS (sistema de nome de domínio) semelhante a outro nome quando processado por um agente de usuário de email (MUA).

Por exemplo, americanas1.com ou americamas.com são domínios primo de americanas.com.

Outros exemplos incluem erros de ortografia de um domínio, como americamas.com e americanas.com

Os domínios primos geralmente são criados como uma ferramenta de phishing para falsificar sua marca e seu nome de domínio.

No MLI existem 3 (três) formas de bloqueio a domínios similares:

1. Bloqueio a nível de conexão;
2. Bloqueio a nível de pontuação de SPAM;
3. Bloqueio em quarentena customizada
Em qualquer uma das formas de bloqueio, primeiramente o administrador deverá acessar o
DNSTwister e verificar as variações do domínio já registradas.
No exemplo, vamos considerar o domínio HSCBRASIL.COM.BR
https://dnstwister.report/

Este procedimento tem o propósito de orientar de forma clara o processo de criar uma regra para verificação de DLP em determinadas contas de email, ao qual esteja saindo informações de cartão de crédito.

Premissas

É necessário que o MLI esteja em ambiente funcional e acesso ao mesmo, bem como permissão de administrador.

Guia Passo a Passo

1. No MLI, vá em:
   Configurações > Cadastro > Grupo de Usuários
2. Clique em Adicionar
   
3. Insira no nome do Grupo, descrição e os e-mails dos remetentes que serão verificadas pelas regras de DLP.
   No exemplo, vamos criar um grupo chamado Remetentes com DLP, ao qual iremos inserir o email teste@hscbrasil.com.br como o email a ser monitorado.
   
   Obs: Não esqueça de clicar em (+) para incluir o email na lista.
4. Após inserida toda a lista de remetentes, clique em Salvar.
   
5. Será fechada a janela de Grupos de Usuários e aparecerá na lista o grupo que você acabou de criar.
   
6. Vá em:
   Configurações > Email compliance > Regras
   
7. Clique no Botão Adicionar 
   
8. Selecione a opção Corpo
   
   Clique em Avançar
9. No campo Dicionário de Palavras: Escolha Cartões de Crédito
   No Campo Número Mínimo de Ocorrências: Digite 1
   
   Clique em Avançar
10. Insira o Nome da Regra e a descrição e clique em Avançar. Não se preocupe em inserir as ações, nem o tipo. Pode deixar como DLP mesmo e as informações pode deixar com o que está marcado. Clique em Avançar.
    
11. Na tela que indica o resumo, clique em Salvar.
    
12. Após isso, fica marcado que foi criada regra com sucesso. Ainda não é a regra desejada, pois essa regra ainda não está completa (não está filtrando para que somente detecte nos e-mails do Grupo Remetentes com DLP)
    
13. Mande adicionar nova Regra.
    Clique em Adicionar 
    
14. Selecione Cabeçalho e clique em Avançar.
    
15. No campo Define o Cabeçalho a ser utilizado: Selecione From
    No campo Grupos: Selecione o grupo que você criou. No nosso caso é o grupo Remetentes com DLP
    No campo Número Mínimo de Ocorrências: Indique 1
    
    Clique em Avançar.
16. Indique o Nome da Regra e descrição.
    
    Clique em Avançar.
17. Na tela de Resumo, clique em Salvar.
    
    Repare que agora temos duas regras criadas:
    
18. Selecione as duas regras criadas e clique no botão Conectar.
    
19. Indique as condições para a ativação da regra.
    Agora sim, é importante especificar as ações do DLP. Também é nesta mesma tela que será decido as condições que ativarão o DLP.
    
    As ações possíveis são:
    Log: Se será registrado somente log e se o email será armazenado para auditoria.
    Notificação: Se será enviado aviso ao remetente e/ou destinatário de que o email foi detectado pela regra de DLP.
    Ação: Se será entre ou se será barrado.
    Encaminhar para: É possível criar um grupo de usuários ao qual receberão uma cópia do email.
    Alterar assunto.
    Alterar cabeçalho: Mudar algum valor do cabeçalho.
    Depois de decidida as condições e as ações, basta Salvar.
    
20. Clique no Botão Aplicar Configurações
    
21. Aplicar configurações, aguarde ele finalizar aplicação das novas configurações. Uma vez finalizada, já está pronto para uso.

Dúvidas

Caso ainda tenha mais dúvidas quanto a esse procedimento, entre em contato conosco.

Related articles

• Page:
  [HSC MailInspector] - Office 365 - BY-PASS de filtro de SPAM e Safe Links
• Page:
  [HSC MindAware] - Office 365 - Conector de Entrada MindAware
• Page:
  [HSC MailInspector] - Microsoft 365 - Ativação do M-SOAR
• Page:
  [HSC MindAware] - Documentação API
• Page:
  [HSC MailInspector] - Como apontar registro MX no DNS (no registro.br) para MLI Cloud