Falsificação de Domínio

O que é Spoofing de Domínio?

O spoofing de domínio é uma técnica de ataque cibernético onde atacantes imitam um domínio legítimo para enganar usuários, contornar sistemas de segurança ou obter acesso não autorizado. Isso pode envolver forjar cabeçalhos de email, registrar domínios parecidos ou explorar vulnerabilidades de DNS para redirecionar o tráfego.

Tipos de Spooping de Domínio

# # E-mail Spoofing

Forjando o endereço "De" em e-mails para aparecer de um domínio confiável:

Legitimate:
  From: support@paypal.com
  Actual sender: PayPal's mail servers

Spoofed:
  From: support@paypal.com
  Actual sender: attacker's server
  Without SPF/DKIM/DMARC, appears legitimate

# Mostrar o Nome Esponja

Manipulando o nome de exibição do remetente enquanto usa um e- mail diferente:

Display: CEO John Smith <john.smith@company.com>
Actual email: attackercontrol@malicious.com
Many email clients show only display name prominently

# # # Parece um domínio assobiando

Registrando domínios que se assemelham aos legítimos:

Legitimate: paypal.com
Lookalikes:
  paypa1.com (1 instead of l)
  paypal-secure.com (added word)
  paypai.com (typo)
  paypаl.com (Cyrillic 'а' instead of Latin 'a')

DNS Spoofing (Envenenamento de Cache)

Corromper caches DNS para redirecionar o tráfego:

User types: bank.com
DNS poisoned: Returns attacker's IP instead of real bank
User arrives at: Fake bank.com (phishing site)
User thinks: They're on real site (URL shows bank.com)

# # ID de chamada Spoofing (VoIP)

Mostrando números de telefone falsos (menos relevantes para domínios, mas conceito relacionado).

Como funciona o E-mail Spoofing

O Protocolo SMTP Gap

SMTP (protocolo de e- mail) não tem nenhuma verificação de remetente incorporada:

SMTP Conversation:
Client: HELO attacker.com
Server: 250 Hello
Client: MAIL FROM: <ceo@victimcompany.com>
Server: 250 OK (accepts without verification)
Client: RCPT TO: <employee@victimcompany.com>
Server: 250 OK
Client: DATA
From: ceo@victimcompany.com
Subject: Urgent wire transfer needed
→ Server delivers it

Nada no SMTP verifica o remetente realmente controla victimcompany.com.

Manipulação do Cabeçalho

Os atacantes criam cabeçalhos que ignoram os filtros básicos:

From: "CEO John Smith" <ceo@legitimate.com>
Reply-To: attacker@malicious.com

User sees trusted sender
Replies go to attacker

Cenários de ataque de spoofing do mundo real

# Compromisso de e-mail comercial (BEC)

1. Attacker researches company structure
2. Spoofs CEO's email to CFO
3. "Urgent wire transfer needed for acquisition"
4. CFO transfers funds thinking it's legitimate
5. Company loses millions

Campanhas de Phishing

1. Spoof bank or tech company domain
2. Send emails about "suspicious activity"
3. Link goes to lookalike domain
4. User enters credentials on fake site
5. Attacker steals credentials

Fraude de voz

1. Attacker spoofs supplier's domain
2. Sends updated invoice with attacker's bank details
3. Victim pays attacker instead of real supplier
4. Legitimate supplier never receives payment

Distribuição de malware

1. Spoof trusted software company
2. Email with "critical security update"
3. Attachment contains malware
4. User trusts "legitimate" sender and opens it

Detectando Spoofing de Domínio

Análise do Cabeçalho de Email

Examine cabeçalhos completos para inconsistências:

From: support@paypal.com
Return-Path: <random@suspicious.com>  ← Red flag
Received: from unknown.net [1.2.3.4]  ← Not PayPal's servers

Real email would have:
Received: from mx.paypal.com [verified PayPal IP]
Return-Path: <support@paypal.com>

SPF/DKIM/DMARC Verificar

Authentication-Results: recipient.com;
  spf=fail smtp.mailfrom=paypal.com  ← Spoofed
  dkim=none                           ← Not signed
  dmarc=fail                          ← Failed policy

Emails legítimos do PayPal passariam todos os cheques.

Inspecção visual

Procure diferenças sutis:

Real: paypal.com
Fake: paypal-secure.com (extra word)
Fake: paypαl.com (Cyrillic character)
Fake: paypal.co (missing 'm')

Anomalias comportamentais

• Língua urgente ("Act now!", "Transferência gratuita imediatamente")
• Pedidos incomuns (CEO pedindo cartões de presente)
• Erros de gramática
• Pedidos de alteração dos dados de pagamento
• Links para domínios desconhecidos

Impedindo o Spoofing de Domínios

Autenticação de E- mail de Implemento (Crítica)

example.com.    IN    TXT    "v=spf1 include:_spf.google.com -all"

Authorizes which servers can send for your domain

Cryptographically signs outgoing emails
Receivers verify signature using DNS public key
Tampered emails fail verification

_dmarc.example.com.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Tells receivers to reject emails that fail SPF/DKIM
Provides reports on spoofing attempts

p=none       Monitor only (start here)
p=quarantine Send failures to spam
p=reject     Block failures completely (goal)

Registre Domínios Defensivos

Registre de forma proativa domínios parecidos:

Primary: company.com

Register:
Common typos: conpany.com, compamy.com
Different TLDs: company.net, company.org, company.co
Hyphenated: com-pany.com, company-inc.com
Plurals: companies.com

Então:

• Redirecionar para o domínio primário
• Parque com página informativa
• Utilização para fins legítimos

Monitorar Menções da Marca

Use serviços para detectar registros de domínio não autorizados:

• Alertas Google para registros de domínio contendo nome de marca
• Registos de transparência do certificado (monitor para certificados SSL emitidos)
• Monitorização do WHOIS para novos registos

• Ferramentas de Domínio
• Sift by Cloudflare
• BrandShield
• Bolster

Formação dos trabalhadores

Formação regular de sensibilização para a segurança:

• Como identificar e-mails falsificados
• Verificar pedidos suspeitos através de canais alternativos
• Nunca clique em links em e-mails inesperados
• Verifique cuidadosamente o domínio do remetente
• Relate e-mails suspeitos para TI

Controlos técnicos

p=reject (block spoofed email entirely)

• Procure por domínios parecidos
• Bandeira e-mails externos que parecem internos
• Bloquear IPs de remetentes maus conhecidos

[EXTERNAL EMAIL] This email originated outside the organization

Verifique e higienize URLs em e-mails antes da entrega.

Apenas permitir métodos de envio aprovados (sem SMTP único).

Técnicas Avançadas de Esponja

Ataques de Homoglifos

Usando caracteres visualmente semelhantes de diferentes alfabetos:

Latin 'a' vs Cyrillic 'а' (U+0430)
Latin 'o' vs Cyrillic 'о' (U+043E)

googlе.com (Latin 'e' replaced with Cyrillic 'е')
Looks identical to: google.com

googlе.com → xn--googl-6nd.com (encoded)
Browsers show: ⚠️ xn--googl-6nd.com

Subdomínio Spoofing

Criando subdomínios que se parecem com domínios diferentes:

legitimate-bank.attacker.com
Appears as: legitimate-bank (subdomain of attacker.com)
Users see: "legitimate-bank" and assume it's safe

Homem no meio com roubo de DNS

1. Attacker compromises DNS server or router
2. Changes bank.com resolution to attacker's IP
3. Serves fake bank site
4. Uses valid SSL cert (from Let's Encrypt, free)
5. User sees https://bank.com with padlock
6. User thinks it's safe, enters credentials

Aspectos jurídicos e regulamentares

# Lei Anti-Cybersquatting Consumer Protection Act (ACPA)

Lei dos EUA que proíbe o registro de domínios confusamente semelhantes às marcas registradas.

# Política Uniforme de Resolução de Litígios (UDRP)

Política da ICANN para a resolução de litígios de marcas:

• Os proprietários de marcas podem desafiar registros parecidos
• Processo de arbitragem (mais rápido/mais fácil do que o tribunal)

Sanções Criminais

A falsificação de domínio por fraude é processada sob:

• Lei de Fraude de Fios (EUA)
• Lei sobre fraude e abuso de informação (EUA)
• Leis semelhantes em outras jurisdições

As sanções incluem multas e prisão.

Respondendo ao Spoofing de Domínio

Se o seu domínio está sendo desprezado

1. Implementar o DMARC com p=rejeito

_dmarc.example.com.    TXT    "v=DMARC1; p=reject; rua=mailto:abuse@example.com"

2. Clientes/parceiros

3. Relatório às autoridades

4. Pedidos de retirada

- Reportar sites de phishing para provedores de hospedagem

- Relatório para os registros de domínio

- Use o relatório de navegação do Google Safe

5. Monitor DMARC reports

- Identificar fontes de spoofing

- Rastrear o volume e os padrões de ataque

Se você descobrir um domínio parecido

1. Provas documentais

- Imagens

- Dados do WHOIS

- Cabeçalhos de e- mail

2. Reclamação UDRP (se tiver uma marca comercial)

3. Relatório de abuso de registo

4. Acção legal (se for um dano significativo)

Teste suas defesas

# Proteção de Spoofing de Teste de Email

# Send test spoofed email to yourself
swaks --to employee@yourcompany.com \
      --from ceo@yourcompany.com \
      --server test-smtp-server.com \
      --header "Subject: Test Spoofed Email"

# Check if it's delivered or blocked
# Check authentication results in headers

Verifique a configuração do DMARC

dig _dmarc.example.com TXT

# Should return policy (p=reject ideally)
_dmarc.example.com. 300 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

# Verificar SPF e DKIM

# SPF
dig example.com TXT | grep spf

# DKIM (check common selectors)
dig google._domainkey.example.com TXT
dig default._domainkey.example.com TXT

Usar ferramentas online

• Verificação de Saúde do Domínio MXToolbox
• Dmarcian DMARC Inspector
• Google Admin Toolbox Messageheader
• PhishTank (verifique se seu domínio é relatado)

O spoofing de domínio é uma séria ameaça, mas pode ser efetivamente atenuado através de autenticação de email, monitoramento e educação de usuários.