[HSC MailInspector] - Verificação de domínio similar (Cousin domain attack / Look-A-Like Attack)
Uma técnica de ataques muito utilizada por hackers é compra de domínios “parecidos/similares” em relação ao domínio alvo.
O MailInspector consegue verificar se a origem do e-mail é similar ao domínio aplicado no remetente e ainda compara com eventual problema de SPF em relação ao domínio.
Além da proteção já mencionada, podemos utilizar o sistema de DNSTwister para verificar domínios parecidos com o domínio original.
O cousin domain ou domínios primos, também chamado de lookalike domain (também conhecidos como domínios similares), é um domínio DNS (sistema de nome de domínio) semelhante a outro nome quando processado por um agente de usuário de email (MUA).
Por exemplo, americanas1.com ou americamas.com são domínios primo de americanas.com.
Outros exemplos incluem erros de ortografia de um domínio, como americamas.com e americanas.com
Os domínios primos geralmente são criados como uma ferramenta de phishing para falsificar sua marca e seu nome de domínio.
No MLI existem 3 (três) formas de bloqueio a domínios similares:
- Bloqueio a nível de conexão;
- Bloqueio a nível de pontuação de SPAM;
- Bloqueio em quarentena customizada
Em qualquer uma das formas de bloqueio, primeiramente o administrador deverá acessar o DNSTwister e verificar as variações do domínio já registradas.
No exemplo, vamos considerar o domínio HSCBRASIL.COM.BR
Então temos os domínios variantes:
É possível também verificar os domínios que ainda não foram registrados (possíveis domínios similares), para isso, basta clicar no botão SHOW UNRESOLVED DOMAINS.
Com as variações dos domínios em mãos, é possível bloquear os domínios similares por alguns métodos:
1 Bloqueando na camada de conexão
Em Configurações > Cadastros > Configurações do MTA > Filtragem
Inclua toda a lista apresentada no DNSTwister, como exemplo a seguir:
Repita o processo acima até finalizar com todos os domínios similares.
Clique em Salvar.
Clique em Aplicar Configurações.
2 Bloqueando na camada de SPAM
Em Configurações > Cadastros > Grupos de Usuários
Crie um Grupo de usuários (domínios), com toda a lista dos domínios similares indicados pelo DNSTwister, conforme imagem abaixo:
Clique em Salvar
Depois vá em: Configurações > Filtros de SPAM > Controle Avançado
Clique em Adicionar
Regras do Controle Avançado:
Seleção de Controle: Cabeçalho
Clique em Avançar
Define o Cabeçalho a Ser Utilizado: From
Grupos: Domínios Similares
Número Mínimo de Ocorrências: 1
Clique em Avançar
Nome: Domínios Similares
Descrição: Domínios similares detectados pelo DNSTwiester
Pontuação: 7
Clique em Avançar
Clique em Salvar
Clique em Aplicar Configurações
3 Quarentena Customizada
Em Configurações > Quarentena > Customizada
Clique em Adicionar
Nome: Domínio similar
Tipo: Armazenamento
Tamanho: 0
Tempo de Armazenamento de Mensagens: 3
Tempo de Armazenamento dos Logs: 90
Clique em Salvar
Em Configurações > Email Compliance > Regras
Clique em Adicionar
Seleção de Controle: Cabeçalho
Define o cabeçalho a ser utilizado: From
Grupos: Domínio Similar
Número Mínimo de Ocorrências: 1
Clique em Avançar
Nome: Dominios similares
Descrição: Domínios similares
Tipo: Quarentena
Armazenar na Quarentena: Domínio similar
Clique em Avançar
Clique em Salvar e depois em Aplicar Configurações.