O Varonis Threat Labs destaca uma vulnerabilidade presente há mais de dez anos que possibilita ataques de URL spoofing — técnica que engana usuários ao exibir URLs aparentemente legítimas, mas que direcionam para destinos maliciosos.
A ameaça explora a forma como navegadores tratam scripts de escrita da direita para a esquerda (RTL – Right-to-Left) e da esquerda para a direita (LTR – Left-to-Right).
Por meio da técnica conhecida como BiDi Swap, criminosos criam URLs visualmente confiáveis, porém com redirecionamento oculto, tornando esse método altamente eficaz em ataques de phishing.
Antes do surgimento do BiDi Swap, já existiam outras estratégias baseadas em Unicode para enganar usuários e navegadores, entre elas:
- **Punycode Homograph Attacks**: Domínios internacionalizados (IDNs) permitem o uso de caracteres não latinos, como “а” (cirílico), “с” (cirílico) ou “ο” (grego), visualmente quase idênticos a letras latinas.
Isso possibilita a criação de sites falsos como “аpple.com” ou “рayрal.com”, cujas pequenas alterações passam despercebidas.
Embora navegadores convertam esses domínios para um formato padrão (Punycode, ex.: “xn--algo”), os ataques usam caracteres similares para enganar usuários desavisados.
- **RTL Override Exploits**: Atacantes inserem caracteres especiais do Unicode (como U+202E) que alteram a direção do texto no meio da string.
Isso pode mascarar caminhos de URL, transformar extensões maliciosas em aparentes arquivos seguros ou reorganizar trechos para esconder finais perigosos — por exemplo, trocar “blafdp.exe” por “blaexe.pdf”.
Embora esses caracteres de controle sejam essenciais para o correto tratamento de línguas escritas da direita para a esquerda, podem ocultar conteúdo perigoso ou manipular a disposição visual, conferindo falsa sensação de segurança em nomes de arquivos ou endereços.
Essas técnicas iniciais prepararam o terreno para o BiDi Swap, evidenciando como pequenas nuances no tratamento de texto podem gerar graves riscos de segurança e reforçando a necessidade de atenção constante para barrar essas fraudes.
Na prática, a direção do texto varia conforme o idioma: línguas como inglês e espanhol são escritas da esquerda para a direita (LTR), enquanto árabe e hebraico seguem da direita para a esquerda (RTL).
Essa mistura representa um desafio para os computadores, que precisam preservar a integridade visual e alinhar corretamente os textos para evitar confusão.
Para isso, existe o Algoritmo Bidirecional (Bidi), parte do padrão Unicode, que ajuda os sistemas a exibir corretamente textos LTR e RTL juntos.
No entanto, apesar da eficácia geral, o algoritmo apresenta dificuldades específicas ao lidar com subdomínios e parâmetros em URLs — brechas que os atacantes exploram para causar má visualização das URLs.
Para contextualizar, a estrutura típica de uma URL (Uniform Resource Locator) é composta por:
- **Protocolo (Scheme)**: define como o recurso é acessado, por exemplo, “http://” ou “https://”;
- **Subdomínio**: parte opcional antes do domínio principal (ex.: “www.” em “www.exemplo.com”), usada para organizar conteúdo;
- **Domínio**: parte central do endereço, como “exemplo”;
- **Top-Level Domain (TLD)**: final do nome do domínio, como “.com”, “.org” ou “.net”, indicando finalidade ou localização;
- **Path**: caminho dentro do site que aponta para arquivos ou diretórios (ex.: “/blog/posts”);
- **Query string/parâmetros**: pares chave-valor transmitidos ao servidor, iniciados por “?” (ex.: “?id=123”).
Como exemplo simples, um host RTL, combinando domínio e TLD, pode aparecer assim (sim, é um host de uma única letra):
ו.קום
Ao adicionar protocolo e misturar parâmetros em RTL e LTR, aparecem casos como:
http://ו.קום\פרמטר
http://ו.קום\parameter
Observe como a posição dos parâmetros pode causar confusão visual.
Testar com um parâmetro em inglês que se parece com outro domínio, como:
http://ו.קום\varonis.com
também não gera o comportamento esperado.
Tentativas de simular subdomínios mistos produzem exemplos como:
https://ורוניס.קום.ו.קום
https://varonis.com.ו.קום
E combinando subdomínio LTR com parâmetros RTL:
https://varonis.com.ו.קום\פרמטר
Experimente você mesmo trocando o subdomínio “varonis” por qualquer outro e veja como a confusão ocorre:
https://varonis.com.ו.קום/ـ/
https://varonis.com.ו.קום/443:ـ/
https://varonis.com.ו.קום/1337/ـ/
**Aviso importante:** este site tem fins exclusivamente educacionais, apresentando um proof-of-concept baseado no comportamento dos navegadores e seus potenciais abusos.
O uso do código ou das técnicas aqui mostradas é de responsabilidade do usuário.
Autores e mantenedores não incentivam nem se responsabilizam por usos indevidos.
O BiDi Swap é um problema conhecido no Chrome há mais de uma década.
Apesar de a função “Navigation suggestion for lookalike URLs” oferecer alguma proteção, testes indicam que ela alerta apenas para domínios específicos, como “google.com”, deixando muitas fraudes passarem despercebidas.
O Firefox também enfrenta esse desafio histórico, mas adota uma abordagem diferente na interface.
Ao destacar partes importantes do domínio na barra de endereços, o navegador facilita a identificação de URLs suspeitas ou falsificadas.
Notificamos a Microsoft, que afirmou o problema resolvido, embora a forma como as URLs são exibidas pareça não ter sido alterada.
Vale destacar que o navegador Arc, embora descontinuado, é um exemplo de solução eficiente para essa questão.
Para se proteger contra o BiDi Swap, considere as seguintes recomendações:
- **Esteja atento:** verifique sempre URLs suspeitas, especialmente aquelas que misturam scripts ou exibem padrões incomuns;
- **Pressione por melhorias:** desenvolvedores de navegadores devem aprimorar as proteções existentes, incluindo o destaque de domínios e a detecção de URLs semelhantes, para fechar essas brechas;
- **Eduque usuários e equipes:** incentive a prática de passar o mouse sobre links, checar certificados SSL e confirmar a consistência do domínio.
Alguns segundos a mais podem evitar riscos graves.
Para mais informações, acompanhe os conteúdos do Varonis Threat Labs em nosso blog.
Combinando a detecção avançada do Varonis Interceptor à plataforma de segurança de dados Varonis Data Security Platform e ao serviço MDDR, aceleramos a identificação e o bloqueio de tentativas de vazamento de dados logo no início da cadeia de ataque.
O Varonis integra-se diretamente a serviços de e-mail, como Microsoft Exchange Online, para classificar o tráfego de entrada e saída contendo informações sensíveis, corrigir vulnerabilidades em caixas postais expostas e monitorar padrões anômalos, detectando riscos internos por meio de análise comportamental líder de mercado.
A inclusão do Varonis Interceptor representa um avanço significativo na segurança completa de e-mails e navegação.
Com o poder da inteligência artificial multimodal, ele identifica ameaças de phishing com muito mais eficácia que soluções tradicionais, oferecendo às empresas maior confiança para proteger suas caixas de entrada e os dados sensíveis do ambiente digital.
Quer conhecer o potencial do Interceptor na prática? Solicite uma demonstração hoje mesmo.
Conteúdo patrocinado e produzido por Varonis.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...