Ataques Homoglyph Evoluem para Bypass de Ferramentas de Segurança
Criminosos cibernéticos encontraram uma maneira inteligente de enganar as pessoas trocando letras reais em endereços de sites com caracteres que parecem quase iguais. Esses são chamados de ataques homoglyph, e estão se tornando um problema crescente em toda a internet. Uma única troca de caracteres — como substituir um latim 'o' por um ômicron grego — pode enganar tanto usuários quanto ferramentas de segurança para pensar que um site falso é real.
Esse tipo de engano é simples de executar, mas pode causar danos sérios a indivíduos e organizações. Ataques homoglyph aproveitam o fato de que muitos conjuntos de caracteres existem em diferentes idiomas, incluindo latim, cirílico, grego e armênio.
Como a Engenharia de Caracteres Funciona
Quando esses caracteres semelhantes são colocados dentro de um nome de domínio, endereço de e-mail ou nome de arquivo, eles criam uma falsa sensação de confiança. Vítimas que clicam nesses links podem terminar em páginas de phishing, baixar malware ou entregar suas credenciais de login sem perceber nada de errado.
A ameaça abrange uma ampla gama de tipos de ataque, desde spear-phishing e falsificação de marca até Business Email Compromise e manipulação da cadeia de suprimentos de software. Pesquisadores da Seqrite identificaram que esses ataques são especialmente perigosos porque são de baixo custo e altamente eficazes.
Deep Dive Técnico: Unicode, IDNs e Punycode
Entender por que os ataques homoglyph funcionam tão bem requer uma olhada mais de perto em como a internet lida com caracteres internacionais. O Sistema de Nomes de Domínio foi originalmente construído para suportar apenas caracteres ASCII. Para permitir nomes de domínio em outros idiomas, foi criado um sistema chamado Internationalized Domain Names in Applications, que usa codificação Punycode para converter caracteres não-ASCII em strings compatíveis com ASCII prefixadas com 'xn--'.
Por exemplo, um domínio contendo caracteres cirílicos é armazenado no DNS como seu equivalente Punycode, mas os navegadores modernos frequentemente exibem a versão Unicode original para os usuários — fazendo com que o domínio falso pareça perfeitamente legítimo.
Desafios de Normalização e Renderização
O problema se aprofunda quando os atacantes combinam caracteres de vários scripts dentro de um único domínio. Esses domínios de script misturado são particularmente difíceis porque muitas ferramentas de segurança não os sinalizam como suspeitos. Além disso, formas de normalização Unicode como NFC, NFD e NFKC afetam como os caracteres são comparados, o que significa que sistemas de segurança que pulam a normalização podem perder completamente uma correspondência homoglyph.
Controles de texto bidirecional, como o caractere Unicode U+202E, adicionam outra camada de confusão, revertendo como o texto é renderizado visualmente, ajudando ainda mais os atacantes a disfarçar nomes de arquivos e nomes de exibição.
Impacto por Indústria e Setor
O impacto dos ataques homoglyph se estende por todas as indústrias. Campanhas de phishing direcionadas a finanças usaram caracteres latinos e cirílicos misturados para se passar por portais de pagamento. Páginas de login SaaS foram clonadas usando Nomes de Domínio Internacionalizados combinados com certificados TLS reais para colher credenciais.
Executivos foram falsificados através de spoofing de nome de exibição em clientes de e-mail, levando a solicitações de pagamento fraudulentas. Enquanto isso, portais de download de software falsos hospedados em domínios semelhantes a originais empurraram payloads de malware que até mesmo ferramentas de sandbox às vezes perdem porque a reputação do domínio parece limpa e nova.
Medidas de Defesa e Mitigação
As organizações devem adotar uma abordagem em camadas para se defender contra esses ataques. Gateways de e-mail e proxies web devem normalizar Unicode e exibir avisos de Punycode quando links suspeitos forem detectados. Sistemas de filtragem DNS devem tratar domínios recém-observados com prefixo xn-- como de alto risco até serem devidamente revisados.
A monitoração de transparência de certificados deve alertar as equipes de segurança sempre que certificados forem emitidos para domínios que se assemelham visualmente a marcas confiáveis. Do ponto de vista da política, as organizações devem registrar variações comuns de nomes de domínio semelhantes às suas próprias marcas e impor regras claras contra domínios de script misturado em comunicações oficiais.
O que os CISOs devem fazer agora
Programas de monitoramento de marca devem rastrear registros de domínio e relatórios de abuso em tempo quase real. Simulações de phishing que incluem cenários realistas de homoglyph devem ser executadas regularmente para aguçarem a conscientização do usuário. A autenticação multifator deve ser imposta em todos os serviços sensíveis, e a verificação secundária deve ser exigida para qualquer solicitação financeira ou relacionada a credenciais.