I en perfekt värld kunde DMARC ha varit den ultimata lösningen för e-postsäkerhet, men med DMARC och lookalike-domäner i bilden har det blivit mer utmanande än någonsin att navigera bland cybersäkerhetshot. 

Med ett ökat beroende av e-postkommunikation i affärsvärlden och nya molnbaserade tjänster på frammarsch har e-post blivit den främsta måltavlan för angriparna. Även om de flesta företag implementerar autentisering av e-post protokoll för att minska risken för dessa attacker, kan personifieringsattacker som domänliknande lookalikes undgå deras räckvidd.

I den här artikeln granskas riskerna med DMARC och lookalike-domäner och andra sätt att skydda dina kunder mot attacker mot lookalike-domäner.

Vad är en Lookalike-domän?

För att uppnå sina skadliga mål använder cyberattackerare ofta en taktik som går ut på att föreställa sig själva, t.ex. genom att använda likadana domäner, för att lura sina mål att tro att e-postmeddelandet kommer från en legitim källa. Det finns ett stort antal olika typer av personifieringsattacker tekniker som angriparna använder sig av för att kringgå företagens säkerhetsstrukturer, ligger lookalike-domäner, även kända som kusin-domäner eller doppelgänger-domäner, högst på listan.

Lookalike-domäner är domäner som avsiktligt har skapats för att likna en legitim domän, men som har små ändringar som knappt märks förrän man tittar närmare på dem. Som en strategisk bedrägeriteknik innehåller lookalike-domäner ofta typografiska variationer, t.ex. genom att bokstaven "I" ersätts med siffran "1", genom att bokstaven "I" omplaceras eller upprepas, eller genom att man helt enkelt lägger till symboler eller ord.

Dessutom byter bedragare ut TLD:er (toppdomäner) där .com i den autentiska domänen byts ut mot .net eller vice versa för att lura mottagarna och undvika upptäckt.   

Genom att låta "Från"-adressen se ut som en kopia av varumärkets domän försöker bedragaren locka användarna till att lämna känslig information, t.ex. inloggningsuppgifter, finansiella uppgifter eller personlig information. 

Exempel på Lookalike-domäner

För att du ska få en bättre förståelse för hur dessa lookalike-domäner yttrar sig i den digitala världen, följer här några exempel på dessa domäner:

• Facebook.com- faceb00k.com eller faceboook.com
• Netflix.com- netfliix.com eller netflix-login.com
• Microsoft.com- rnicrosoft.com eller rnicrosoftstore.com
• Apple.com- App!e.org

Varför är Lookalike-domäner farliga?

Det är inte förvånande att lookalike-domäner har blivit ett stort hot mot individer och organisationer, eftersom cyberkriminella ofta använder dem för att utföra olagliga handlingar som phishing, identitetsstöld och bedrägeri. Problemet är att dessa spoofs kan vara svåra att skilja från legitima sådana, och naiva användare kan omedvetet falla offer för deras taktik. 

Några av de vanligaste riskerna med lookalike-domäner är följande: 

Cybersquatting

Cybersquatting är en form av cyberbrottslighet där förövaren registrerar eller använder ett domännamn som är identiskt eller liknar ett varumärkesnamn med avsikt att utnyttja varumärkesägarens immateriella rättigheter. Ofta köper dessa angripare domäner billigt och kräver senare ett orimligt högt pris för att överlämna dem. The Schweppes-fallet är ett exempel på cybersquatting där en cybersquatter registrerade Schweppes.ca med avsikt att sälja det med vinst.

Typosquatting

Typosquatting är en form av cybersquatting som innebär att man registrerar ett domännamn som innehåller en felstavning eller ett typografiskt fel av ett legitimt varumärke eller webbplatsnamn. Den typosquatterade webbplatsen är utformad så att den efterliknar den ursprungliga webbplatsen, med det yttersta målet att lura intet ont anande användare att besöka den falska webbplatsen och generera intäkter genom olagliga metoder. 

Enligt U.S. Anticybersquatting Consumer Protection Act, 2013, Facebook det första stora företaget att vinna skadestånd för stämningar mot typosquatters och fick kontroll över mer än 100 domäner. Företaget fick en rejäl utbetalning på nästan 2,8 miljoner dollar mot dessa felstavade domäner, som bland annat omfattade dacebook.com, facebokook.com och faceboocklogin.com.

Webbplatser för klagomål

Grip-webbplatser är webbplatser som skapats för att ge uttryck för missnöje, kritisera eller klaga på personer, företag, organisationer eller produkter. De skapas av missnöjda kunder, missnöjda anställda eller aktivister som använder internet för att uttrycka sina åsikter och dela med sig av negativa erfarenheter. Dessa webbplatser kan användas som en plattform för att sprida falsk eller ärekränkande information om ett företag eller en person, vilket skadar deras rykte eller leder till ekonomiska förluster.

Spoofing av lookalike-domäner

Lookalike domain spoofing är en typ av cyberattack där en skadlig aktör skapar en falsk e-postdomän som är mycket lik en legitim domän. Tanken är att lura e-postmottagarna att tro att de får ett e-postmeddelande från en riktig avsändare, när e-postmeddelandet i själva verket skickas från en bedräglig domän.

Angriparen skapar vanligtvis en e-postdomän med ett liknande namn som den ursprungliga domänen, med små skillnader som inte är lätta att upptäcka. De kan till exempel skapa en e-postdomän med ett namn som är mycket likt det riktiga namnet, till exempel "microsof.com" i stället för "microsoft.com".

Målet med lookalike domain spoofing är att stjäla känslig information från e-postmottagare, t.ex. inloggningsuppgifter, kreditkortsnummer och annan personlig information. Angriparna kan sedan använda denna information för att begå identitetsstöld eller ekonomiskt bedrägeri.

Är DMARC tillräckligt för att skydda dina kunder mot Lookalike Domain-attacker?

Med tanke på hur cyberattacker har utvecklats och blivit mer sofistikerade kan man säga att standardprotokoll för autentisering av e-post inte kan stå emot dessa attacker. Trots att det är ett omfattande verktyg är effektiviteten hos DMARC mot lookalike-domäner ofta äventyras. För att förhindra e-postbaserad varumärkesimitation måste företagen göra mer än att bara använda DMARC, eftersom spookeffekter av lookalike-domäner ofta kringgår dess räckvidd.

Detta beror på att det kan vara en utmaning att implementera DMARC på alla domäner i ett varumärkes portfölj, särskilt för stora företag med flera avdelningar, divisioner och partners som skickar e-post för deras räkning. Eftersom domänägare dessutom måste ange vilka e-postservrar som är auktoriserade att skicka meddelanden för deras domäns räkning kan den här processen bli komplicerad när man hanterar flera domäner.

 Även om många företag registrerar många "defensiva domäner" är det inte ett idiotsäkert sätt att hålla dessa attacker i schack eftersom det helt enkelt är omöjligt att säkra oändliga domäner. 

Relaterad läsning: Vilka attacker skyddar inte DMARC mot?

Cyberattacker DMARC skyddar mot

DMARC är ett omfattande verktyg som fungerar som ett viktigt skyddslager mot e-postbedrägerier och andra cyberattacker och gör det möjligt för organisationer att verifiera att inkommande e-post kommer från legitima källor och inte har manipulerats av en bedragare. Genom att införa DMARC kan företag skydda sig själva och sina kunder från cyberattacker, upprätthålla sitt rykte och säkra sina digitala tillgångar.

Här är några cyberattacker som DMARC skyddar mot:

Direkt domänspoofing

DMARC hjälper till att skydda mot direkt domänförfalskning, där angripare skickar e-post som ser ut att komma från en legitim domän. DMARC verifierar att meddelanden kommer från auktoriserade servrar, vilket gör det svårare för angripare att förfalska en domän och skicka falska meddelanden.

Phishing-attacker 

Genom att kontrollera att e-postmeddelanden kommer från legitima källor hjälper DMARC till att förhindra phishing-attacker. Denna verifieringsprocess bidrar till att undvika situationer där angripare lurar användare att dela känslig information eller ladda ner skadlig programvara.

Ransomware 

DMARC är ett viktigt skydd mot ransomware-attacker eftersom det hjälper till att förhindra att ditt varumärke utges för att vara ett annat i nätfiskemail. Genom att autentisera dina e-postmeddelanden mot autentiseringsstandarderna SPF och DKIM kan DMARC filtrera skadliga IP-adresser, förfalskningar och domänimitationer.

Sätt att skydda dina kunder mot attacker mot Lookalike Domain-områden 

Nu när vi är medvetna om att DMARC inte kan skydda sig mot lookalike-domäner måste företagen införa enkla men viktiga tekniker för att skydda sitt rykte och kundernas förtroende. 

Så här kan du skydda ditt företag från attacker mot lookalike-domäner:

Köp domäner för webbplatser

För att skydda sig mot dessa attacker kan företag överväga att köpa större domännamn, t.ex. domännamn med toppdomäner (.com, .net, .org, .ca, .io etc.), för att göra det svårare för angripare att skapa falska domäner.

2FA

Att aktivera tvåfaktorsautentisering är avgörande för e-post, bankärenden och webbplatser som innehåller kunddata. Det ger ett extra lager av skydd om någon av misstag anger inloggningsuppgifter på en falsk domän, vilket hindrar hackare från att få tillgång till kontot. 

Sprida medvetenhet 

Det är viktigt att utbilda ditt team om olika cyberattacker och deras förebyggande tekniker, t.ex. DMARC och lookalike-domäner. När de är välinformerade om potentiella hot kommer de att vara mer vaksamma när det gäller att identifiera och rapportera misstänkt e-post, vilket stärker organisationens säkerhetsläge.

I ett nötskal

Även om det är viktigt att implementera DMARC är försvaret av lookalike-domäner också avgörande för att minska phishing-attacker och skydda varumärkets digitala tillgångar och image fullt ut. På PowerDMARC erbjuder vi heltäckande lösningar för autentisering av e-post, så att du kan säkra ditt företags viktigaste kommunikationskanal. Behöver du ett gediget skydd mot imitationer? Kontakta oss för att utnyttja våra tjänster och lära dig mer om DMARC och attacker mot lookalike-domäner.