[HSC MailInspector] - Verificação de domínio similar (Cousin domain attack / Look-A-Like Attack)

Uma técnica de ataques muito utilizada por hackers é compra de domínios “parecidos/similares” em relação ao domínio alvo.

O MailInspector consegue verificar se a origem do e-mail é similar ao domínio aplicado no remetente e ainda compara com eventual problema de SPF em relação ao domínio.

Além da proteção já mencionada, podemos utilizar o sistema de DNSTwister para verificar domínios parecidos com o domínio original.

O cousin domain ou domínios primos, também chamado de lookalike domain (também conhecidos como domínios similares), é um domínio DNS (sistema de nome de domínio) semelhante a outro nome quando processado por um agente de usuário de email (MUA).

Por exemplo, americanas1.com ou americamas.com são domínios primo de americanas.com.

Outros exemplos incluem erros de ortografia de um domínio, como americamas.com e americanas.com

Os domínios primos geralmente são criados como uma ferramenta de phishing para falsificar sua marca e seu nome de domínio.

No MLI existem 3 (três) formas de bloqueio a domínios similares:

1. Bloqueio a nível de conexão;
2. Bloqueio a nível de pontuação de SPAM;
3. Bloqueio em quarentena customizada

Em qualquer uma das formas de bloqueio, primeiramente o administrador deverá acessar o DNSTwister e verificar as variações do domínio já registradas.

No exemplo, vamos considerar o domínio HSCBRASIL.COM.BR

https://dnstwister.report/

Então temos os domínios variantes:

• icsbrasil.com.br
• hsebrasil.com.br
• hdcbrasil.com.br
• scbrasil.com.br
• scbrasil.com.br
• hscbrasil.com.br

É possível também verificar os domínios que ainda não foram registrados (possíveis domínios similares), para isso, basta clicar no botão SHOW UNRESOLVED DOMAINS.

Com as variações dos domínios em mãos, é possível bloquear os domínios similares por alguns métodos:

1 Bloqueando na camada de conexão

Em Configurações > Cadastros > Configurações do MTA > Filtragem

Inclua toda a lista apresentada no DNSTwister, como exemplo a seguir:

Repita o processo acima até finalizar com todos os domínios similares.

Clique em Salvar.

Clique em Aplicar Configurações.

2 Bloqueando na camada de SPAM

Em Configurações > Cadastros > Grupos de Usuários

Crie um Grupo de usuários (domínios), com toda a lista dos domínios similares indicados pelo DNSTwister, conforme imagem abaixo:

Clique em Salvar

Depois vá em: Configurações > Filtros de SPAM > Controle Avançado

Clique em Adicionar

Regras do Controle Avançado:

Seleção de Controle: Cabeçalho

Clique em Avançar

Define o Cabeçalho a Ser Utilizado: From

Grupos: Domínios Similares

Número Mínimo de Ocorrências: 1

Clique em Avançar

Nome: Domínios Similares

Descrição: Domínios similares detectados pelo DNSTwiester

Pontuação: 7

Clique em Avançar

Clique em Salvar

Clique em Aplicar Configurações

3 Quarentena Customizada

Em Configurações > Quarentena > Customizada

Clique em Adicionar

Nome: Domínio similar

Tipo: Armazenamento

Tamanho: 0

Tempo de Armazenamento de Mensagens: 3

Tempo de Armazenamento dos Logs: 90

Clique em Salvar

Em Configurações > Email Compliance > Regras

Clique em Adicionar

Seleção de Controle: Cabeçalho

Define o cabeçalho a ser utilizado: From

Grupos: Domínio Similar

Número Mínimo de Ocorrências: 1

Clique em Avançar

Nome: Dominios similares

Descrição: Domínios similares

Tipo: Quarentena

Armazenar na Quarentena: Domínio similar

Clique em Avançar

Clique em Salvar e depois em Aplicar Configurações.