Introdução

Typosquatting é uma tática onde atacantes registam domínios que se assemelham muito a domínios legítimos - muitas vezes aproveita-se de erros de digitação ou trocas de caracteres - para enganar utilizadores ou executar esquemas de phishing. Basta um pequeno erro e o seu cliente pode estar a inserir credenciais num site controlado por criminosos, convencido de que está a interagir com a sua empresa. Neste artigo abordamos em detalhe do que se trata esta ameaça, por vezes silenciosa, que entitulamos de Typosquatting.

Quando um ataque destes é bem-sucedido, o dano já está feito e podes escalar drásticamente. Num âmbito de proatividade, a verdadeira segurança da sua empresa reside na capacidade de detetar estes domínios fraudulentos no momento em que são registados.

É precisamente aqui que a plataforma CyberHook atua. Abaixo detalhamos como a nossa tecnologia transforma a monitorização de domínios numa estratégia de defesa proativa e automatizada.

Como Detetamos o Indetetável

A eficácia da monitorização de typosquatting depende da capacidade de prever e encontrar as variações de domínio que os atacantes irão criar. Para isso, o nosso sistema não se limita a pesquisas simples.

Fig. 1 - Fluxo de deteção de domínios de typosquating

O nosso motor de análise gera e monitoriza continuamente milhares de permutações do seu nome de domínio. Utilizando técnicas avançadas, o sistema analisa padrões de ataque conhecidos para detetar variações, incluindo:

• Substituição de caracteres e homóglifos: Trocar "l" por "1", ou seja, trocar caracteres semelhantes.
• Caracteres em falta ou duplicados: Variações comuns de erros de digitação.
• Outras permutações criativas: Combinações que podem enganar um utilizador desatento.

Estas permutações são então analisadas através de reconhecimento de padrões, scoring de similaridade e feeds de threat intelligence para identificar domínios suspeitos com elevada precisão.

Do Alerta à Ação em Minutos

No mundo da fraude online, um domínio registado hoje pode ser a base de uma campanha de phishing amanhã. A velocidade de deteção é fundamental.

A nossa vigilância é contínua. Assim que um domínio suspeito que imita os seus é registado e detetado, o nosso sistema entra em ação. Será notificado quase em tempo real, permitindo-lhe passar de um alvo passivo a um defensor proativo. Esta rapidez permite-lhe tomar medidas imediatas como:

• Iniciar pedidos de takedown junto dos serviços de hosting.
• Notificar os clientes sobre potenciais riscos de phishing.
• Denunciar o domínio para que seja bloqueado em filtros de segurança.
• Adicionar o domínio a blocklists internas para proteger os seus colaboradores.

Fig. 2 - Módulo de Typosquatting do CyberHook

Inteligência, Não Apenas Dados

Receber um alerta de que um "domínio semelhante foi encontrado" não é suficiente. A nossa plataforma fornece o contexto necessário para que a sua equipa possa avaliar a ameaça e agir de forma decisiva.

Fig. 3 - Triagem de permutações de typosquatting no CyberHook

Quando uma ameaça é detetada, a nossa plataforma apresenta-lhe:

• A classificação do domínio: Classificado como "Malicioso" ou "Legítimo" com base em heurísticas inteligentes.
• O score de similaridade: Para que perceba o quão próximo o domínio é do seu.
• A data de registo: Ajuda a perceber se a ameaça é recente ou persistente.
• Endereços de IP associados: Permite uma análise mais profunda e o bloqueio de infraestruturas maliciosas.
• Técnicas de ataque utilizadas: Identifica se é um caso de homóglifo, substituição de caracteres, entre outros.

Esta clareza permite-lhe responder de forma cirúrgica, protegendo a sua marca, a confiança dos seus clientes e a integridade do seu negócio.