Typosquatting e domínios homoglyph: o URL parece certo
Security & Privacy

Typosquatting e domínios homoglyph: o URL parece certo

Os atacantes registam domínios praticamente iguais ao original, com sósias cirílicos, pontos em falta e letras a mais. Como funcionam estes truques, porque continuam a enganar tanta gente e como abri-los em segurança.

BROWSER.LOL
19.02.2026
20 min de leitura
Partilhar

Um programador de um projeto cripto conhecido abriu o site da própria ferramenta para fazer o deploy de um novo contrato. O URL parecia o do costume. A página também. A wallet ligou-se, assinou, e dezanove minutos depois a tesouraria do projeto estava vazia. Quando se olhou com calma, o «a» latino do domínio tinha sido trocado por um «а» cirílico. Dois codepoints com a mesma forma e identidades diferentes.

Os ataques homoglyph e typosquatting são vetores de phishing baratos e já industrializados. O atacante regista um domínio impossível de distinguir do legítimo, clona o site alvo com um scraper e fica à espera que alguém tropece ao escrever o URL, carregue num link de um email ou apareça através de um anúncio nos resultados de pesquisa. A conversão por visitante é alta porque as vítimas nem se apercebem de que foram redirecionadas.

Que truques na barra de endereços funcionam mesmo

Cinco linhas empilhadas de strings de domínio esquemáticas, cada uma com um único carácter subtilmente diferente da linha de cima

O typosquatting não é um único truque, é toda uma família. Quatro variantes acabam por apanhar quase qualquer utilizador, mais cedo ou mais tarde.

Homoglyphs. Letras de outros sistemas de escrita parecem iguais em muitas fontes: «а» cirílico e «a» latino, «о» cirílico e «o» latino, «ο» grego. Registados via Punycode são, tecnicamente, domínios diferentes apresentados com caracteres visualmente iguais.

Gralhas simples. amazoon.com, gooogle.com, paypa1.com (dígito 1 em vez do l), facebok.com. Quem escreve depressa cai nestes domínios muito mais vezes do que os donos pensam. Os squatters registam centenas de variantes por alvo.

Truque do subdomínio. apple.com.security-check.xyz ou paypal.com.login-ref.ru. O hostname familiar fica à frente, mas o domínio verdadeiro é o último segmento antes da barra.

Troca de TLD. As empresas registam o .com e às vezes o .net, raramente todas as TLD relevantes. Os atacantes ficam com .co, .shop, .io ou .app e montam uma cópia pixel a pixel. No telemóvel, onde os URL aparecem cortados, a TLD quase nem se nota.

Como é que as campanhas de typosquatting escalam

As campanhas modernas já não são feitas à mão. O atacante põe a correr uma ferramenta de DNS twisting como o dnstwist e em segundos gera centenas de variantes plausíveis de um alvo. Regista tudo o que estiver barato. Da clonagem do site original encarrega-se um scraper, que espelha HTML, CSS e assets um a um, por vezes ao vivo como reverse proxy.

A variante reverse proxy é particularmente desagradável: o site falso mostra exatamente o mesmo conteúdo do original, com o formulário de login correto, um certificado TLS (emitido pela Let's Encrypt para o domínio falso) e por vezes até subpáginas a funcionar. O atacante reencaminha o que escreves para o serviço verdadeiro em tempo real. A isto chama-se adversary-in-the-middle, e é por essa razão que o 2FA por SMS ou TOTP não trava o ataque.

18 000+

novos domínios lookalike registados por mês

47 %

alojam kits de phishing ativos

9 min

tempo médio até à primeira vítima

Porque é que nos escapam os sinais de alerta

Meia década de investigação com utilizadores dá sempre a mesma resposta: ninguém lê URLs. Damos uma vista de olhos ao nome da marca, vemos um cadeado e seguimos em frente. Não é uma falha, é apenas como funciona a leitura de alta frequência.

Os browsers modernos pioram as coisas: encurtam os URL ou, no telemóvel, mostram apenas o domínio. Ganha a legibilidade, mas escondem-se precisamente as variações de subdomínio e TLD que os atacantes exploram. O Chrome chegou a experimentar mostrar só o domínio registado e esconder o resto, algo que teria agravado ainda mais o problema.

Além disso, muitos links de phishing chegam por canais em que confias à partida. Um email do alojamento, uma notificação push do portal das finanças, uma mensagem do Slack do teu chefe (com o remetente forjado). Quando o contexto bate certo, quase ninguém vai à URL conferir.

Apanhar um domínio lookalike em poucos segundos

Se abriste um link e tens dúvidas, em menos de um minuto consegues perceber se o domínio é o verdadeiro.

  1. 1

    Seleciona o domínio na barra de endereços

    O texto selecionado aparece com a tipografia real, muitas vezes numa fonte que evidencia os homoglyphs bem melhor do que a interface do próprio browser.
  2. 2

    Cola o URL num editor de texto

    Um editor simples como o Notepad ou o TextEdit mostra os caracteres em bruto. Se o domínio passar a conter `xn--` ou glifos estranhos, estás perante um ataque homoglyph.
  3. 3

    Confirma a TLD e eventuais subdomínios

    O bocado logo antes da primeira barra é o domínio verdadeiro. Tudo o que vem antes pode ter qualquer nome.
  4. 4

    Na dúvida, entra pelo domínio principal

    Em vez de seguir o link do email, escreve tu o endereço oficial no browser ou usa um bookmark. O desvio demora dez segundos e deita o ataque por terra.

Abrir um link suspeito em segurança

Um ícone de link com uma seta a apontar para uma janela de browser maior e selada dentro de uma bolha tracejada

Às vezes tens mesmo de abrir o link, porque queres perceber quem está por trás. É exatamente para isso que serve o browser isolado. Abres o URL suspeito num ambiente que não sabe nada sobre ti: sem cookies, sem passwords guardadas, sem extensão de wallet. Mesmo que seja um adversary-in-the-middle, o atacante cai numa sessão sem credenciais verdadeiras para apanhar.

As equipas de segurança usam este esquema há anos para fazer triagem de phishing. Para um utilizador comum funciona da mesma maneira: os logins importantes passam sempre por um bookmark ou por um gestor de passwords, e os URL suspeitos abrem-se num browser descartável. Para o método de triagem em detalhe, vê Testing Suspicious Links Without Risk.

Pronto para teres um desktop completo em qualquer dispositivo?

Experimenta o Browser.lol grátis e sente a produtividade de um PC a partir do telemóvel.

Abrir o meu navegador desktop

Sem instalações • Funciona em qualquer dispositivo

Usado por mais de 250 000 profissionais
Compatibilidade total com desktop
Pronto num instante

Últimos artigos

Todos os artigos
Canvas, WebGL e Áudio: as três impressões digitais que sobrevivem a cada reinício do browser
Segurança e privacidade

Canvas, WebGL e Áudio: as três impressões digitais que sobrevivem a cada reinício do browser

Contra estas três, limpar cookies não vale de nada. Como se formam os hashes de canvas, as strings de renderer do WebGL e as assinaturas do AudioContext, e porque até o Tor deixa escapar uma.

17.05.2026Ler mais
Tabnabbing e clickjacking: os ataques de interface que nunca vês
Segurança e privacidade

Tabnabbing e clickjacking: os ataques de interface que nunca vês

Há ataques no navegador que dispensam malware. Reescrevem os separadores enquanto não estás a olhar ou escondem um botão verdadeiro debaixo de um falso, e és tu que entregas as credenciais ou as aprovações. Aqui ficam estes truques de UI explicados.

19.03.2026Ler mais
Wallet drainers Web3: como uma única assinatura esvazia a tua cripto
Segurança e privacidade

Wallet drainers Web3: como uma única assinatura esvazia a tua cripto

Os wallet drainers nem precisam da tua seed phrase. Levam-te a assinar uma transação que entrega tudo num clique. Eis como o esquema funciona e como assinar sem acabares limpo.

05.03.2026Ler mais