Cybersquatting é a prática de registrar um nome de domínio na internet que tenta se aproveitar de uma marca, pessoa ou nome de empresa existente. Typosquatting, como o nome sugere, são domínios registrados com erros de digitação intencionais, atuando como "armadilhas" quando os usuários cometem esses mesmos erros.

Os criminosos muitas vezes utilizam o cybersquatting em golpes de phishing ou lojas online falsas, como já discutimos no passado. Monitorar o cybersquatting pode ajudar a descobrir incidentes onde marcas  - registradas ou não -  são usadas sem autorização, seja para fraude ou outros fins. Acompanhando nomes de domínio semelhantes, é possível obter visibilidade sobre atividades maliciosas que normalmente não seriam detectadas.

Typosquatting pode ser visto como uma categoria de cybersquatting, embora às vezes seja chamado de "sequestro de erro de digitação". Quando intencional, o typosquatting pode ser tão prejudicial quanto outras formas de cybersquatting, se não mais. Vários casos de typosquatting foram ligados a campanhas de distribuição de malware.

Há quase 20 anos, em 2005, o Google teve que lutar pelos direitos de nomes de domínio como "googkle.com", "ghoogle.com" e "gooigle.com" porque um indivíduo supostamente hospedava malware nesses endereços. Esses são exemplos claros de typosquatting, já que todas as letras adicionais estão próximas das letras circundantes em um teclado QWERTY padrão. Por exemplo, o "K" está próximo do "L", o que significa que é possível acertá-lo acidentalmente ao digitar o "L" em "Google", e é daí que vem "googkle".

Mais recentemente, em 2020, o TikTok teve o mesmo problema com "tiktoks.com" e vários outros domínios. Embora seja improvável que alguém digite um "S" após o "K" em TikTok por acidente, um usuário poderia pensar (ou ser levado a pensar) que "TikToks" é o nome real da plataforma social.

Complicando a questão estão duas mudanças recentes no sistema de nomes de domínio: nomes de domínio internacionalizados (IDNs) e domínios de nível superior genéricos (gTLDs).

IDN — Navegadores modernos suportam domínios com caracteres não-ASCII que podem parecer praticamente idênticos, mas são codificados de forma diferente graças a uma tecnologia chamada Punycode. Isso é destinado a adicionar suporte para domínios em idiomas que usam conjuntos de caracteres diferentes, mas cria confusão quando vários conjuntos de caracteres são misturados. O conjunto de caracteres cirílicos tem um "І" que não é um "L" nem um "i" maiúsculo – é um caractere completamente diferente, apesar de parecer muito semelhante em muitas fontes. Caracteres especiais como ü, á, entre outros, também podem ser usados para criar domínios internacionais e os usuários nem sempre perceberão a significância dessas pequenas diferenças para reconhecer um golpe ou uma falsificação.

gTLD — A Internet Corporation for Assigned Names and Numbers (ICANN) permite que empresas proponham novos domínios de nível superior. Cada gTLD pode permitir novos registros, abrindo novas opções para criminosos. Nosso relatório “Threat Landscape” 2023 observou que vários desses gTLDs (como .xyz, .online, .shop) são frequentemente usados em golpes de phishing.

Dado quão predominante é a atividade maliciosa na web e quão fácil é para os criminosos registrarem nomes de domínio, muitas empresas terão seus domínios online cybersquatted em algum momento. Lojas online populares ou plataformas podem esperar ter seus serviços cybersquatted com muita frequência.

Por que os hackers usam cybersquatting?

Assim como qualquer negócio legítimo precisa de um nome de domínio para ser encontrado online, os ataques cibernéticos frequentemente precisam de algum tipo de infraestrutura para alcançar suas vítimas.

Quando os domínios criminosos não são completamente aleatórios, eles são frequentemente "inspirados" por um nome de domínio legítimo – às vezes porque isso proporciona uma vantagem significativa, às vezes porque é necessário para o tipo de golpe que estão tentando aplicar. Aqui estão alguns exemplos:

• Phishing — Criminosos usam nomes de domínio semelhantes em ataques de phishing para hospedar sites falsos ou links maliciosos.
• Evitando detecção — Quando os hackers precisam usar domínios de Comando e Controle (C2) para suas campanhas de ransomware ou malware, eles podem tentar “voar abaixo do radar” usando domínios de aparência legítima como parte de sua infraestrutura. Um analista de segurança provavelmente não confiará em "ransomc2datastealer [dot] com", mas poderia ser enganado a pensar que "onmicrosoft-365 [dot] com" é um domínio legítimo.
• Fraude online e falsificação — Criminosos podem usar domínios cybersquatted em anúncios online, perfis de mídia social e outros golpes. Quando domínios ilegítimos são criados para falsificar celebridades, executivos (ou qualquer pessoa real), isso também é chamado de Name Jacking.
• Ataques direcionados e watering holes — "Watering hole" é uma estratégia de ataque cibernético na qual um atacante adivinha ou observa quais sites suas vítimas visitarão, então o typosquatting pode ser usado em conjunto com essa tática para apostar em erros de digitação que um funcionário possa cometer. Domínios de aparência semelhante também podem ser usados para criar e-mails falsos mais convincentes, especialmente em cenários de spear phishing onde toda a mensagem é personalizada para o usuário ou empresa alvo.
• Business email compromise (BEC) — Criminosos podem tentar falsificar fornecedores, colegas de trabalho e outras entidades criando nomes de domínio semelhantes. Isso pode ser usado para realizar fraudes de "Comprometimento de Email Comercial" ou outras fraudes de pagamento em que um atacante convence um membro da organização a pagar uma fatura ilegítima.

O papel dos MSSPs na proteção contra cybersquatting e typosquatting

Provedores de Serviços Gerenciados de Segurança (MSSPs) são aliados essenciais na luta contra cybersquatting e typosquatting. Esses provedores utilizam ferramentas de monitoramento avançadas e inteligência contra ameaças para rastrear e identificar continuamente registros de domínios maliciosos que poderiam prejudicar as marcas de seus clientes. Os MSSPs utilizam plataformas como a Axur para automatizar a detecção de domínios suspeitos e agilizar o processo de resposta, garantindo a rápida remoção de sites fraudulentos. Ao terceirizar essas tarefas críticas para MSSPs, as empresas podem se beneficiar de expertise e recursos especializados, permitindo que se concentrem em suas operações principais enquanto mantêm uma proteção robusta contra ameaças cibernéticas.

Encontrando nomes de domínio semelhantes gratuitamente

A Plataforma Axur monitora nomes de domínio continuamente para encontrar correspondências que foram registradas e que poderiam ser usadas como parte de um ataque cibernético.

No entanto, também oferecemos a ferramenta gratuita Domain Watchdog que você pode usar para procurar manualmente nomes de domínio semelhantes.

Usando o Domain Watchdog, você pode:

• Pesquisar variações de typosquatting: a ferramenta usa um algoritmo para detectar erros de digitação potenciais e automaticamente procura por essas variações.
• Filtrar resultados menos relevantes: um domínio registrado nem sempre tem um site ativo, então você pode filtrar resultados que não estão respondendo aos portos comuns da web, como 80 e 443. Você também pode filtrar completamente domínios que não têm um endereço IP ativo.
• Busca de homóglifos: procura por letras que são visualmente semelhantes e homóglifos IDN.
• Encontrar domínios em outros TLDs: sua busca não é limitada a domínios de nível superior comuns como ".com" ou ".net". Em vez disso, você pode encontrar domínios em todos os nomes de domínio de nível superior.

O que pode ser feito quando um domínio é cybersquatted?

É possível emitir pedidos de remoção e tomar medidas legais contra cybersquatters maliciosos que registraram domínios de má-fé para enganar seus clientes. É assim que empresas como TikTok e Google conseguiram obter os direitos sobre nomes de domínio que infringiam suas marcas registradas.

Dependendo das partes envolvidas e de como o domínio foi usado, pode não ser muito difícil resolver o incidente. Quando o cybersquatting é acidental ou o dano não é tão óbvio, o caso pode ser mais complicado.

No entanto, o primeiro passo é encontrar o domínio infrator e coletar todas as evidências necessárias para uma investigação ou emitir uma remoção. A Plataforma Axur pode ajudar com todas essas etapas e fornecer monitoramento contínuo, mas você também pode usar a ferramenta Domain Watchdog para ficar de olho na sua presença online.