Esta ferramenta realiza detecção profunda de phishing/fraude numa única URL inspecionando sua estrutura. É intencionalmente complementar ao URL Validator: aquele verifica sinais básicos de protocolo/IP/XSS, enquanto esta ferramenta foca nas técnicas de enganação que atacantes usam para fazer uma URL maliciosa parecer legítima.
O que verifica (6 dimensões):
- Homógrafo IDN (script misto) 🔴 — nomes de domínio internacionalizados (punycode
xn--) que misturam scripts (ex. latim + cirílico). É o ataque "аpple.com": um "а" cirílico idêntico ao "a" latino, mas que resolve para um domínio diferente.
- Credenciais embutidas (userinfo) 🔴 — o truque
user:pass@host: https://[email protected] coloca a marca antes de "@", mas o destino REAL é evil.com. Navegadores ocultam o userinfo, tornando-o muito enganoso.
- TLD de alto risco 🟠 — TLDs frequentemente abusados para spam/golpes (registro barato/grátis:
.tk .xyz .top .click e muitos outros). Não inerentemente malicioso, mas um forte sinal de cautela.
- Anomalias de codificação 🟠/🟡 — dupla codificação percentual (
%2561), sequências de protocolo codificadas e caracteres de controle C0 — todos usados para furar WAFs ou enganar o leitor.
- Engano de subdomínio 🟠 — um nome de marca na posição de subdomínio (
paypal.security-update.com); o domínio registrável é security-update.com, sem relação com a PayPal.
- Ofuscação numérica/IP 🟠 — hosts IP brutos (
192.168.1.1) ou formas numéricas ofuscadas (hex/decimal) que escondem o destino.
Pontuação de risco. Cada constatação soma a um escore 0-100 (crítico 35, alto 20, médio 10, baixo 4), mapeado para Baixo/Médio/Alto/Crítico.
Limitações. Isto é apenas análise estrutural estática — nenhuma requisição de rede é feita, então não pode detectar domínios maliciosos recém-registrados, sites legítimos comprometidos ou cadeias de redirecionamento. NÃO substitui inteligência de ameaças em tempo real como o Google Safe Browsing. Uma classificação "Baixo" significa que nenhum sinal estrutural de phishing foi encontrado, NÃO que o destino é seguro.