Threat Library

Homograph Attack

Threat profileПрофиль угрозы

Homograph attack is a domain deception technique where visually similar symbols replace trusted characters. Users believe they are on a legitimate brand domain, while traffic is routed to attacker infrastructure. Combined with redirect tricks, this method bypasses superficial visual checks and causes credential or payment compromise.Homograph attack — это техника доменного обмана, при которой визуально похожие символы подменяют доверенные символы бренда. Пользователь считает, что находится на легитимном домене, а фактически трафик уходит на инфраструктуру атакующего. В сочетании с redirect-трюками метод обходит поверхностную визуальную проверку и приводит к компрометации credentials или платежей.

How attackers executeКак реализуется атака

  • Register lookalike domain with unicode substitutions or punycode encoding.Регистрация lookalike-домена с unicode-подменой или punycode-кодированием.
  • Embed brand token in subdomain/path to increase trust perception.Встраивание брендового токена в subdomain/path для повышения доверия.
  • Distribute link through messenger, social comments, or ad creatives.Распространение ссылки через мессенджер, соцкомментарии или рекламные креативы.
  • Use redirect chain to hide final domain until after user click.Использование redirect-chain для сокрытия финального домена до клика пользователя.

Reason codes and controlsReason codes и контроли

SecuriLayer detects this class via HOMOGRAPH, BRAND_IMPERSONATION, REDIRECT_MISMATCH, NEWLY_REGISTERED_INFRA, and SUSPICIOUS_TLD. If multiple indicators trigger together, verdict escalates to DANGER with high confidence and explicit explanation in Decision Contract.SecuriLayer детектирует этот класс через HOMOGRAPH, BRAND_IMPERSONATION, REDIRECT_MISMATCH, NEWLY_REGISTERED_INFRA и SUSPICIOUS_TLD. При совместном срабатывании нескольких индикаторов вердикт эскалируется до DANGER с высокой уверенностью и явным объяснением в Decision Contract.

Enterprise / government prevention strategyСтратегия предотвращения для enterprise / gov

  • Maintain official brand-domain registry and enforce contact verification policy.Поддерживать реестр официальных бренд-доменов и применять политику верификации контактов.
  • Block suspicious TLD classes and newly registered domains in high-risk workflows.Блокировать подозрительные TLD-классы и новые домены в high-risk сценариях.
  • Train moderators to compare effective domain, not display text.Обучить модераторов проверять effective-domain, а не отображаемый текст ссылки.
  • Integrate browser extension and API checks into approval and publishing flows.Интегрировать browser-extension и API-проверки в approval- и publishing-процессы.

Incident response playbookPlaybook реагирования

  • Contain: immediately block detected domain and all observed redirect hops.Contain: немедленно блокировать обнаруженный домен и все наблюдаемые redirect-hops.
  • Assess: identify exposed users and credentials submitted during attack window.Assess: определить затронутых пользователей и credentials, введённые в окно атаки.
  • Recover: enforce password reset, token revocation, and MFA verification review.Recover: принудительный reset паролей, отзыв токенов и ревизия MFA-верификации.
  • Improve: expand brand-domain coverage and update homograph watchlists.Improve: расширить покрытие бренд-доменов и обновить homograph-watchlists.

False positive / false negative notesЗаметки по FP/FN

FP occurs when legitimate domains use unusual but valid brand naming patterns. FN occurs when attacker uses compromised legitimate domains without visible spoofing. Effective strategy is correlation: domain profile + redirect behavior + content pressure signals.FP возникает, когда легитимные домены используют необычные, но допустимые брендовые шаблоны именования. FN появляется, когда атакующий использует скомпрометированные легитимные домены без явного spoofing. Эффективная стратегия — корреляция: профиль домена + поведение редиректов + сигналы контентного давления.

FAQFAQ

Q: Is punycode always malicious?Punycode всегда вредоносен?
A: No, but in high-trust brand contexts it is a high-risk indicator and requires verification.Нет, но в контексте высокодоверенных брендов это high-risk индикатор и требует проверки.

Q: Why check redirect mismatch?Зачем проверять redirect mismatch?
A: Because many campaigns hide malicious destination behind benign-looking entry links.Потому что многие кампании скрывают вредоносный destination за внешне безопасным входным URL.

Enable homograph defense across channelsВключить защиту от homograph во всех каналах