6 min de leitura Por Excello Mail Team

Phantom Squatting: Quando Chatbots de IA Recomendam o Domínio Falso da Sua Marca

A Unit 42, da Palo Alto Networks, descobriu que os modelos de IA alucinam de forma sistemática domínios plausíveis, mas inexistentes, para marcas reais, e atacantes já estão registrando esses mesmos domínios antes das empresas, criando um canal de phishing que nunca passa por uma caixa de entrada e que o DMARC sozinho não consegue enxergar.

Pesquisadores da Unit 42, da Palo Alto Networks, documentaram um padrão de ataque que ignora completamente a caixa de entrada. Acontece que os modelos de linguagem são surpreendentemente consistentes ao inventar endereços web que soam exatamente certos para uma empresa real, mas que ninguém jamais registrou. Os atacantes passaram a registrar esses endereços inventados primeiro, e então esperam que um assistente de IA recomende o domínio falso a um usuário real como se fosse o site genuíno da empresa. A Unit 42 batizou esse padrão de phantom squatting, e a escala encontrada torna difícil descartá-lo como um risco teórico.

Um Novo Tipo de Squatting

O typosquatting sempre dependeu do erro humano: um usuário digita errado uma URL e cai em um domínio parecido, criado para capturar esse erro. O phantom squatting inverte essa dependência. Em vez de esperar que uma pessoa erre a digitação, ele espera que um modelo invente algo com total confiança. A Unit 42 consultou duas grandes famílias de LLM com 685.339 prompts adversariais cobrindo 913 marcas globais e coletou 2,1 milhões de URLs resultantes. Dessas, 809.455 apontavam para domínios que simplesmente não existem, inventados inteiramente pelo modelo como uma resposta que soava plausível. Aproximadamente 250.000 desses domínios alucinados ainda não haviam sido registrados no momento da pesquisa, disponíveis para qualquer um reivindicar, e 13.229 dos que já estavam registrados foram sinalizados como maliciosos por fontes de inteligência de ameaças existentes.

Registrado, Transformado em Arma e Entregue por uma Voz de Confiança

A descoberta mais marcante não é que as alucinações aconteçam, mas que os atacantes as observam e agem rápido. O próprio sistema de monitoramento da Unit 42 sinalizou um domínio alucinado de um serviço postal de e-commerce como de alto risco 23 dias antes de um atacante registrá-lo e construir um kit de phishing completo, uma operação que os pesquisadores chamaram de Montana Empire, com um clone de marca perfeito, uma avaliação fabricada de 4,8 estrelas e uma alegação falsa de dois milhões de usuários, tudo em torno da promoção de um aplicativo Android malicioso. Em outro caso, um domínio alucinado ficou sinalizado por 51 dias antes de ser registrado. Essa janela, de 18 a 51 dias entre um modelo inventar um domínio e um atacante reivindicá-lo, é a margem com que os defensores contam.

Uma vez transformado em arma, o mecanismo de entrega é o que torna isso genuinamente diferente de uma campanha de phishing padrão. Não há e-mail para filtrar, nenhum anexo para analisar em sandbox, nenhum remetente para autenticar. Um usuário, ou cada vez mais um agente autônomo de IA agindo em nome de um usuário, pede a um assistente a página de login, o portal de suporte ou o endereço de pagamento de um fornecedor, e recebe o domínio alucinado como resposta confiante e autoritativa. A recomendação chega envolta na credibilidade de uma ferramenta em que o usuário já confia, e nunca precisa passar por um gateway de e-mail, um filtro de spam ou qualquer tipo de verificação de autenticação.

Onde Isso Deixa o DMARC

Vale ser direto: o DMARC não tem nada a dizer aqui, e nunca teria. DMARC, SPF e DKIM autenticam o canal pelo qual uma mensagem viaja, confirmando que o e-mail que afirma vir do seu domínio realmente saiu de infraestrutura que você autorizou. O phantom squatting não envia e-mail a partir do seu domínio. No sentido tradicional, não envia absolutamente nada. Um assistente de IA simplesmente declara uma URL como fato, e o domínio fabricado herda uma confiança que o atacante nunca precisou conquistar com um cabeçalho From falsificado ou um endereço de remetente parecido.

O que isso expõe é uma lacuna ao lado da autenticação de e-mail, não dentro dela. A mesma disciplina de proteção de marca da qual depende a aplicação do DMARC, conhecer cada domínio e subdomínio associado ao seu nome, monitorar registros que imitam sua marca e fechar lacunas antes que um atacante as encontre, agora precisa se estender além dos domínios que um humano poderia digitar errado e alcançar os domínios que um modelo poderia inventar. Uma empresa pode ter o DMARC em aplicação total em cada domínio que possui e ainda assim perder um cliente para um domínio que nunca registrou, recomendado por um chatbot em que o cliente confiava mais do que em um resultado de busca.

O Que os Defensores Podem Realmente Fazer

Consulte os modelos você mesmo antes que um atacante o faça. Pergunte aos principais assistentes de IA qual é a sua página de login, o portal de suporte e o endereço de pagamento, repetidamente e de ângulos diferentes. Os domínios que eles alucinam hoje são os mais propensos a serem transformados em arma contra você dentro da janela de 18 a 51 dias documentada pela Unit 42. Registrar os que importam fecha essa janela antes que ela se abra.

Alimente as variantes alucinadas nas suas ferramentas existentes de vigilância de domínios. A maioria das plataformas de proteção de marca e DMARC já monitora registros parecidos construídos com padrões de typosquatting. Adicione as strings alucinadas por IA a essa mesma lista de vigilância para que um novo registro dispare o mesmo alerta que um typosquat dispararia.

Mantenha o BIMI e sua marca verificada atualizados em cada domínio que você de fato controla. Isso não vai impedir que um domínio alucinado exista, mas dá aos seus domínios legítimos um sinal visual na caixa de entrada que um impostor recém-registrado não consegue replicar facilmente, reforçando qual domínio é realmente o seu em cada canal que ainda passa pelo e-mail.

Trate a saída das ferramentas de IA como uma recomendação de terceiros não confiável, inclusive dentro da sua própria organização. Funcionários que usam assistentes de IA para encontrar portais de fornecedores ou páginas de pagamento de parceiros estão expostos ao mesmo risco de alucinação que os clientes. Um hábito rápido de verificação, comparar uma URL com um endereço salvo ou confirmado anteriormente antes de inserir credenciais ou dados de pagamento, neutraliza todo o ataque, não importa qual marca seja alucinada.

A Conclusão

O phantom squatting é um lembrete de que a defesa contra a personificação de marca não pode mais parar nas fronteiras do e-mail. DMARC, SPF e DKIM continuam essenciais para o canal que foram criados para proteger, e a aplicação total deve continuar sendo a base em cada domínio que uma empresa possui. Mas os atacantes encontraram uma via de entrega que nunca pede permissão a nenhum desses protocolos, porque nunca os toca. Fechar essa lacuna significa vigiar o que os modelos dizem sobre sua marca com a mesma disciplina que você já aplica para vigiar o que o e-mail diz vir dela.


Uma aplicação sólida do DMARC continua sendo a base sobre a qual toda outra camada de proteção de marca se constrói, fechando a porta para e-mails falsificados enquanto sua equipe vigia os novos canais que os atacantes estão explorando. Cadastre-se gratis no Excello Mail para obter visibilidade e aplicação completas em cada domínio e subdomínio que você possui.