Jak oszuści podszywają się pod znane firmy, wykorzystując „identyczne” znaki w adresach stron? Jedną z najskuteczniejszych technik stosowanych dziś przez cyberprzestępców jest atak homograficzny (IDN homograph attack). Polega on na rejestrowaniu domen, które wizualnie wyglądają jak prawdziwe adresy znanych firm, ale w rzeczywistości zawierają znaki z innych alfabetów – najczęściej cyrylicy lub greki. Dla oka użytkownika adres wygląda poprawnie, ale dla komputera jest to zupełnie inna domena.
Klasyczny przykład to podmiana litery „a” na jej cyrylicki odpowiednik „а”. Różnica jest niewidoczna gołym okiem, szczególnie w pasku adresu przeglądarki, w SMS-ie lub w mailu. Prawdę mówiąc wygląda identycznie jak łacińskie a, ale to zupełnie inny znak.
Dla porównania:
-
łacińskie „a” → a (Unicode: U+0061)
-
cyrylickie „a” → а (Unicode: U+0430)
Na ekranie praktycznie nie da się ich odróżnić bez narzędzi technicznych, dlatego właśnie ta litera jest tak często wykorzystywana w atakach homograficznych. W efekcie użytkownik jest przekonany, że znajduje się na stronie banku, sklepu czy firmy kurierskiej, podczas gdy wchodzi na stronę kontrolowaną przez oszustów.
Atak homograficzny. Złapany w pułapkę!
Atak homograficzny (ang. homograph attack lub IDN homograph attack) to technika cyberoszustwa polegająca na podszywaniu się pod prawdziwe adresy stron internetowych poprzez użycie znaków z różnych alfabetów, które wyglądają identycznie. Najczęściej wykorzystywana jest cyrylica lub alfabet grecki, ponieważ niektóre litery są wizualnie nie do odróżnienia od łacińskich. Dla człowieka adres wygląda poprawnie, ale dla komputera jest to zupełnie inna domena.
Przykład:
- mbank.pl – prawdziwa domena
- mbаnk.pl – fałszywa domena, gdzie litera „a” jest cyrylicka, a nie łacińska
Mechanizm ataku jest prosty, ale bardzo skuteczny. Oszust rejestruje domenę z użyciem „podrobionych” liter, tworzy stronę wyglądającą identycznie jak oryginalna i rozsyła linki w wiadomościach podszywających się pod bank, firmę kurierską, sklep internetowy albo system firmowy. Użytkownik, widząc znajomy adres i kłódkę SSL, loguje się lub podaje dane, które trafiają bezpośrednio do przestępców.
Najkrócej mówiąc: atak homograficzny to oszustwo, w którym nie oszukuje się technologii, tylko wzrok i zaufanie człowieka. Skuteczność tej techniki wynika z faktu, że omija ona jeden z podstawowych nawyków bezpieczeństwa użytkowników, czyli sprawdzanie adresu strony. Przez lata uczono, że wystarczy spojrzeć na URL, aby upewnić się, że strona jest prawdziwa. W przypadku domen homograficznych to założenie przestaje działać, ponieważ adres wygląda dokładnie tak, jak powinien. Systemy nazw domen dopuszczają znaki spoza alfabetu łacińskiego, a przeglądarki nie zawsze w czytelny sposób informują, że w adresie użyto innego alfabetu. Dodatkowo strona może posiadać poprawny certyfikat SSL, więc użytkownik widzi kłódkę i utwierdza się w przekonaniu, że wszystko jest w porządku. W połączeniu z wierną kopią wyglądu oryginalnej strony tworzy to bardzo przekonującą pułapkę.
Jak wygląda typowy scenariusz oszustwa?
Schemat jest zwykle bardzo podobny. Użytkownik otrzymuje wiadomość e-mail lub SMS informujący o „zablokowanym koncie”, „podejrzanej transakcji” albo „konieczności pilnej weryfikacji danych”. Link prowadzi do strony, której adres wygląda poprawnie – różni się jednym znakiem, którego nie da się odróżnić wizualnie.
Na stronie ofiara:
- loguje się do „banku”,
- podaje login i hasło,
- czasem wpisuje kod SMS lub dane karty.
Dane trafiają bezpośrednio do oszustów, a użytkownik często jest automatycznie przekierowany na prawdziwą stronę, co opóźnia wykrycie ataku. W tym czasie przestępcy wykonują przelewy, zmieniają dane kontaktowe albo sprzedają dostęp dalej.
To dotyczy nie tylko banków!
Choć banki są najbardziej oczywistym i medialnym celem tego typu oszustw, technika podszywania się pod domeny z wykorzystaniem identycznie wyglądających znaków jest z powodzeniem stosowana także wobec wielu innych usług, z których użytkownicy korzystają na co dzień. Bardzo często dotyczy to firm kurierskich, gdzie fałszywe strony informują o rzekomej dopłacie do przesyłki i skłaniają odbiorcę do szybkiego działania, zanim „paczka wróci do nadawcy”. Równie atrakcyjnym celem są platformy e-commerce, ponieważ użytkownicy są przyzwyczajeni do logowania się do nich z poziomu linków w wiadomościach i rzadziej kwestionują autentyczność strony, jeśli wygląda znajomo. Coraz częściej podszywanie obejmuje również dostawców poczty elektronicznej i usług chmurowych, gdzie przejęcie jednego konta otwiera dostęp do ogromnej ilości danych, dokumentów i korespondencji.
Szczególnie niebezpieczne są ataki wymierzone w firmowe systemy logowania, takie jak środowiska biurowe czy panele administracyjne, ponieważ ich przejęcie rzadko kończy się na jednym koncie. Uzyskanie dostępu do skrzynki mailowej pracownika pozwala oszustom prowadzić dalsze, bardziej wyrafinowane działania, na przykład podszywać się pod firmę w kontaktach z kontrahentami, inicjować fałszywe dyspozycje płatnicze lub przygotowywać kolejne kampanie phishingowe, które są znacznie trudniejsze do wykrycia. W wielu przypadkach prowadzi to do klasycznych ataków typu Business Email Compromise, a także do uzyskania dostępu do wewnętrznych systemów, paneli administracyjnych lub sieci VPN, co znacząco podnosi skalę zagrożenia i potencjalne straty dla organizacji.
Dlaczego filtry i antywirusy nie blokują tych stron?
Ataki homograficzne nie opierają się na złośliwym kodzie, tylko na manipulacji zaufaniem. Strona może być technicznie „czysta”, a domena legalnie zarejestrowana. Dla wielu systemów bezpieczeństwa to po prostu nowa strona internetowa z certyfikatem SSL.
Dodatkowo:
- domena może nie figurować jeszcze na żadnej czarnej liście,
- atak bywa krótkotrwały (kilka dni lub godzin),
- treść strony nie zawiera malware, tylko formularze.
To powoduje, że największym wektorem ataku pozostaje człowiek, a nie luka techniczna.
Ochrona przed cyberprzestępcami
Realna ochrona przed tego typu atakami wymaga połączenia świadomości użytkowników z rozwiązaniami systemowymi po stronie organizacji, ponieważ samo poleganie na jednym z tych elementów nie daje wystarczającego poziomu bezpieczeństwa. Dla użytkowników kluczowe jest zrozumienie, że symbol kłódki w przeglądarce informuje jedynie o szyfrowaniu połączenia, a nie o autentyczności strony, na której się znajdują. Adres URL, nawet jeśli wygląda znajomo, powinien być traktowany z ostrożnością, zwłaszcza gdy pojawia się w wiadomości wywołującej presję czasu lub strach. W praktyce najbezpieczniejszym nawykiem jest unikanie klikania linków przesyłanych w SMS-ach i e-mailach oraz samodzielne przechodzenie na stronę banku, sklepu czy usługi chmurowej poprzez zapisany adres lub oficjalną aplikację, co znacząco zmniejsza ryzyko trafienia na fałszywą domenę.
Z perspektywy firm ochrona przed atakami homograficznymi musi mieć charakter systemowy i nie może ograniczać się do pojedynczych narzędzi. Kluczowe znaczenie ma edukacja pracowników, ale nie w formie ogólnych haseł, lecz poprzez pokazywanie realnych przykładów nowoczesnego phishingu, w tym stron, które wizualnie niczym nie różnią się od oryginałów. Równolegle istotne jest stosowanie uwierzytelniania wieloskładnikowego wszędzie tam, gdzie to możliwe, ponieważ nawet jeśli dane logowania zostaną przechwycone, dodatkowy czynnik znacząco utrudnia przejęcie konta. Coraz większą rolę odgrywa także monitorowanie domen podobnych do firmowej, co pozwala wcześnie wykryć próby podszywania się pod markę, oraz filtrowanie ruchu DNS i poczty pod kątem podejrzanych domen wykorzystujących znaki z innych alfabetów. Całość powinna być uzupełniona o jasno określone procedury reagowania na incydenty, dzięki którym organizacja jest w stanie szybko zablokować dostęp, poinformować użytkowników i ograniczyć skutki ataku, zanim przerodzi się on w poważny kryzys bezpieczeństwa.
Podmiana jednej litery na znak z innego alfabetu to dziś jedna z najbardziej podstępnych technik cyberoszustów, bo uderza bezpośrednio w ludzkie zaufanie i przyzwyczajenia. Nie wymaga łamania zabezpieczeń ani zaawansowanych narzędzi – wystarczy domena, kopia strony i dobry pretekst. Walka z tego typu atakami nie polega wyłącznie na „lepszym antywirusie”, ale na połączeniu technologii, procedur i edukacji. Firmy i użytkownicy, którzy rozumieją, jak działają takie mechanizmy, mają zdecydowanie większą szansę, by nie stać się kolejną ofiarą „adresu, który wyglądał zupełnie normalnie”.