A anatomia da impersonificação de domínio

29 de dezembro de 2025

A integridade do ecossistema digital corporativo vem sendo atacada em um ponto silencioso, mas decisivo: a infraestrutura de identidade na internet, especialmente a camada de domínios, DNS, certificados TLS e e-mail.

O phishing moderno raramente é “improviso”. Em muitos casos, ele é uma operação estruturada de engenharia social apoiada por infraestrutura, cujo núcleo é a impersonificação de domínio (ou domain impersonation): o registro e uso de domínios de aparência fidedigna (look-alike domains).

É importante separar dois fenômenos que no senso comum acabam misturados:

Spoofing do domínio legítimo por e-mail: alguém tenta se passar por @suaempresa.com sem ter autorização. Aqui entram SPF, DKIM e DMARC (autenticação e política de segurança de e-mail). Eles impedem muita coisa, mas não tudo.
Impersonificação por domínio parecido: o atacante registra suaempresa-suporte.com, suaempresaa.com, suaempresa-login.net e constrói o golpe a partir desse novo domínio. Aqui, DMARC não impede o registro nem o uso do domínio fraudulento — porque se trata de outro domínio, com “identidade própria” no DNS. É por isso que o monitoramento contínuo do domínio e a remoção rápida também são determinantes.

Em resumo:

Impersonificação = “parece o domínio, mas é outro”
Spoofing = “diz ser o domínio, mas não é”

Na prática, os ataques costumam ser combinados: o e-mail pode ser “spoofado” e conter links para um domínio impersonificado.

Compreender essa anatomia técnica — do registro do domínio à emissão de certificado, da configuração de DNS ao uso de proxy reverso — é o primeiro passo para uma defesa proativa: reduzir o tempo para detectar (MTTD) e o tempo para responder (MTTR), desmontando a campanha antes que ela escale.

O domínio como pilar da engenharia social

Durante anos, phishing foi sinônimo de mensagens mal escritas e URLs grotescas.

Hoje, a sofisticação está na exploração de como nós — e nossos sistemas — interpretamos endereços e sinais de confiança.

Atacantes registram domínios que diferem do original por detalhes quase imperceptíveis, explorando “distâncias mínimas” (variações pequenas, efeito grande):

Typosquatting (erro de digitação)
Ex.: letras trocadas, duplicadas, omitidas.
Combosquatting (marca + termos auxiliares)
Ex.: -suporte, -login, -seguranca, -atualizacao, criando “hierarquia oficial” por semântica.
TLD squatting (extensões alternativas)
Ex.: usar TLDs menos monitorados para escapar de bloqueios simples baseados em .com/.com.br.
IDN homograph / Unicode (aparência idêntica, script diferente)
Uso de caracteres de alfabetos distintos visualmente similares aos latinos. Em alguns casos, o domínio pode ser apresentado em Punycode, mas isso não elimina o risco em todos os contextos (principalmente fora do navegador, em apps e clientes).

Em dispositivos móveis, onde o viewport costuma ocultar parte da URL, o domínio look-alike se torna ainda mais eficiente: o usuário vê o “começo certo” e decide rápido.

O domínio cumpre duas funções-chave no golpe:

Âncora psicológica: diminui a fricção e reduz a chance de suspeita.
Âncora técnica: sustenta o site clonado e dá base para mecanismos de entrega (e-mail, anúncios, redirecionamentos). No e-mail, o atacante pode autenticar o domínio fraudulento com SPF/DKIM/DMARC do próprio domínio, melhorando a entregabilidade do golpe — sem que isso prove legitimidade da marca.

A anatomia da campanha (da aquisição ao abuso)

Ataques de phishing e impersonificação de domínios deixaram de ser iniciativas pontuais conduzidas por indivíduos isolados. Hoje, esses ataques operam como modelos de negócio estruturados, orientados à obtenção de lucro em larga escala, tendo o setor financeiro como um de seus principais alvos.

Um exemplo emblemático ocorreu em novembro de 2024, quando a Unidade de Crimes Digitais (DCU) da Microsoft, em cooperação com parceiros internacionais, assumiu o controle de aproximadamente 240 domínios maliciosos vinculados à operação conhecida como ONNX. Trata-se de uma rede de phishing as a service operada por um cibercriminoso egípcio identificado como MRxC0DER, cujos domínios falsos eram utilizados para contornar mecanismos de autenticação multifatorial e explorar a confiança associada a grandes marcas — com destaque para instituições financeiras e serviços da própria Microsoft.

Para compreender adequadamente esse tipo de campanha, ajuda analisá-la como uma cadeia operacional contínua, composta por etapas bem definidas: aquisição de ativos → preparação da infraestrutura → entrega do ataque → exploração das vítimas → evasão de detecção → resposta (ou desmonte da operação).

1) Aquisição do ativo: registro do domínio e infraestrutura

O primeiro passo não é “mandar e-mail”. É comprar (ou sequestrar) o endereço.

Registro de domínio com variações calculadas (typo/combo/TLD/IDN).
Contratação de hospedagem e/ou uso de infraestrutura intermediária (CDNs, proxies, redirecionadores).
Preparação de páginas clonadas ou de um mecanismo dinâmico (proxy).

Esse estágio já deixa rastros úteis para defesa: padrões de nameserver, ASN, provedor de hospedagem, histórico de abuso, recorrência em campanhas.

2) Preparação: DNS, certificado TLS e sinais de confiança

Para aumentar conversão, o atacante busca parecer “normal”.

Certificado TLS e o mito do cadeado

Emitir um certificado TLS ajuda a evitar avisos de “site não seguro” e aumenta confiança do usuário. O problema é cognitivo: TLS prova criptografia do transporte, não legitimidade da marca. O cadeado não significa “empresa verdadeira”; significa apenas “conexão cifrada com aquele domínio”.

Monitoramento de Certificate Transparency (CT) como detecção precoce

Certificados publicos confiáveis tendem a aparecer em logs de transparência. Monitorar CT é uma forma eficaz de early warning, porque permite detectar certificados emitidos para domínios suspeitos muito cedo, às vezes antes do disparo da campanha.

Na prática, CT pode ser usado como sensor complementar — com ruído: nem todo domínio parecido é malicioso, e nem toda campanha depende de cert público para começar. Ainda assim, como pilar de detecção de marca, funciona muito bem.

3) Entrega do golpe: e-mail, SMS, ads e tráfego “emprestado”

A campanha precisa levar a vítima até o domínio.

E-mail: ainda é o canal mais eficiente para escala corporativa (e BEC/credenciais).
SMS/WhatsApp: aumenta conversão em ambientes com baixa maturidade de segurança.
Anúncios patrocinados: capturam intenção (usuário já quer acessar “login”, “boleto”, “suporte”).
Redirecionamentos: encurtadores, sites comprometidos, malvertising.

O detalhe relevante: muitos controles tradicionais olham a mensagem e o IP, mas a “peça central” é o domínio look-alike.

4) Exploração: clonagem estática vs proxy reverso (AiTM)

A clonagem antiga era “cópia do HTML”. A moderna, em muitos cenários, é intermediação em tempo real.

Proxy reverso / Adversary-in-the-Middle (AiTM)

Ferramentas e kits do tipo proxy reverso atuam como intermediários: a vítima digita credenciais em um site “idêntico”, mas na prática está autenticando no serviço real via atacante, que captura credenciais e, principalmente, tokens/cookies de sessão.

Isso pode contornar MFA tradicional (OTP/push) em certos fluxos, porque o que dá acesso não é “a senha”, mas a sessão já estabelecida. Medidas como autenticação resistente a phishing (ex.: WebAuthn/passkeys) tendem a reduzir drasticamente essa classe de ataque, mas sua adoção ainda não é homogênea.

5) Exfiltração e monetização: velocidade antes da detecção

A extração de valor costuma ser planejada para ocorrer rápido, antes que o SOC reaja.

Capture & forward: envio imediato de credenciais/tokens para operadores (bots, painéis, integrações).
Ataques de sequência: troca de senha, cadastro de segundo fator, criação de regras de e-mail, mudança de chaves/API, alteração de dados de pagamento.
Pós-golpe “limpo”: redirecionamento para o site legítimo para reduzir suspeita (“pareceu normal”).

Quando há tentativa de scripts de captura (teclas/clipboard), é importante tratar como coleta via página — e não confundir com “malware persistente” (persistência normalmente requer instalação/exploit, o que é outro patamar).

6) Evasão: cloaking, geofencing e análise seletiva

Para sobreviver, campanhas operam como um “site condicional”.

Cloaking por IP: se o acesso vem de ranges conhecidos (bots, SOCs, empresas de segurança), exibe conteúdo benigno.
User-Agent targeting: mostra o golpe só em mobile, reduzindo análise em desktop.
Geofencing: restringe por país/estado/cidade para escapar de monitoramento global e de denúncias massivas.

Isso explica por que, muitas vezes, um analista “abre o link” e não vê nada — mas a vítima vê.

Do incidente à resposta: desmontando a campanha

A resposta eficaz não é só “educação do usuário”. É operacionalização de defesa por infraestrutura, com um playbook claro:

1) Fortalecer e-mail do domínio legítimo (spoofing real)

Aqui entram SPF/DKIM/DMARC, mas com objetivo correto: proteger o seu domínio, reduzir spoofing e receber relatórios para visibilidade.

SPF (autorização de IPs/hosts de envio)
DKIM (assinatura criptográfica da mensagem)
DMARC (política + alinhamento com o “From” + relatórios; ações como quarantine/reject)

Isso não evita o domínio look-alike, mas impede que o atacante “use o seu”.

2) Detecção de marca: monitorar antes do clique

Monitorar novos registros semelhantes (typo/combo/TLD/IDN).
Monitorar CT logs para certificados emitidos a domínios parecidos.
Correlacionar com sinais técnicos (DNS/ASN/nameserver) e reputação.

A vantagem competitiva aqui é simples: detectar antes do envio em massa.

3) Takedown e contenção

Denúncia em listas e proteções do navegador (para exibir alertas ao usuário).
Notificações dos registradores/host com evidências objetivas (prints, headers, URLs, IOC, prova de brand impersonation).
Bloqueio em gateways/proxies internos e EDR/IdP quando aplicável.

4) Métricas: MTTD + MTTR

Além do MTTR, acompanhe:

tempo até detecção (MTTD);
tempo até bloqueio interno;
tempo até blacklist/alerta em navegação;
tempo até suspensão de domínio/hospedagem.

Conclusão: integridade de infraestrutura como fator determinante

A falsificação de domínio não é um problema que se resolve apenas com cartilhas. É um problema de integridade do tecido técnico que sustenta a identidade digital. No instante em que um cliente é vítima de fraude, a percepção raramente é “o criminoso foi inteligente”, mas costuma ser “a marca falhou”.

Empresas que tratam domínio, DNS, certificados, e-mail e inteligência de marca como superfície crítica conseguem reduzir perdas, preservar confiança e reagir antes que a campanha ganhe escala. A detecção precoce — no registro do domínio, na emissão do certificado, na primeira evidência de infraestrutura — permite desmontar a armadilha antes do “enviar”.

Referências: