HalluSquatting está aqui, e verificações manuais de URLs não são mais suficientes
A Palo Alto Networks deu um nome a uma ameaça que os times de segurança vinham reportando silenciosamente há meses. HalluSquatting é a prática de registrar domínios que modelos de IA tendem a alucinar: nomes de pacotes que não existem no npm ou PyPI, páginas de destino de produtos que assistentes de IA inventam com confiança, URLs de suporte que parecem plausíveis mas nunca existiram. Registrar o domínio primeiro transforma a alucinação em uma superfície de phishing funcional.
Os sete aplicativos de verificação de segurança de URLs abaixo cobrem as ferramentas que um defensor precisa para detectar HalluSquatting e táticas relacionadas antes de um clique. Buscas de reputação. Visitas em sandbox que renderizam a página de destino sem nosso navegador. Bloqueio em tempo real no nível do navegador. Cada entrada é uma ferramenta de desktop funcional em 2026, não uma promessa.
O que procurar em um aplicativo de verificação de segurança de URLs
Quatro critérios que valem a pena.
- Múltiplos mecanismos por trás do veredicto. Uma lista de bloqueios de única fonte perde muita coisa.
- Um modo sandbox ou captura de tela, para que nunca tenhamos que abrir a URL nós mesmos para ver.
- Acesso gratuito a uma taxa que o usuário médio realmente atinge (não 3 buscas por dia).
- Integração do navegador para quando a URL aparece em uma janela de chat ou email.
Comparação rápida
| Aplicativo | Melhor para | Plano gratuito | Entrega |
|---|---|---|---|
| VirusTotal | Reputação multi-motor | 500 buscas/dia | Web + API |
| URLVoid | Agregação de listas de bloqueios | 1000 buscas/dia | Web |
| Bitdefender TrafficLight | Bloqueio no nível do navegador | Gratuito | Extensão do navegador |
| Google Safe Browsing | Proteção base do navegador | Gratuito | Integrado ao Chromium |
| Malwarebytes Browser Guard | Bloqueio de anúncios e rastreadores | Gratuito | Extensão do navegador |
| urlscan.io | Renderização de páginas em sandbox | 100 varreduras/dia | Web + API |
| OpenTip by Kaspersky | Buscas de inteligência de ameaças | 200 buscas/dia | Web + API |
Os aplicativos
1. VirusTotal, linha de base de reputação multi-motor
VirusTotal envia uma URL contra aproximadamente 90 mecanismos de reputação diferentes de uma vez, do Google Safe Browsing ao Sophos e Emsisoft. O resultado é uma matriz codificada por cores que mostra quais mecanismos marcam o domínio, quando foi visto pela primeira vez e quais outros arquivos fizeram referência a ele.
Onde fica aquém: o nível gratuito é limitado ao uso não comercial. Uso corporativo e aplicações pesadas de API exigem um plano pago.
Preço: gratuito para uso pessoal. Preços VT Enterprise sob solicitação.
Plataformas: primeiro web. API acessível a partir de qualquer script ou automação.
Download: virustotal.com
Conclusão: a escolha para nossa verificação de reputação de primeira linha para qualquer URL suspeita.
2. URLVoid, verificação de lista de bloqueios agregada
URLVoid faz referência cruzada de uma URL contra cerca de 30 fontes principais de listas de bloqueios e inteligência de ameaças. Mais rápido que VirusTotal para um veredicto rápido, menor cobertura em mecanismos obscuros, e mais limpo se apenas queremos uma resposta sim ou não.
Onde fica aquém: não cria sandbox nem renderiza a página. Apenas veredictos.
Preço: nível web gratuito em 1000 buscas por dia. Preços de API comerciais separados.
Plataformas: primeiro web.
Download: urlvoid.com
Conclusão: a escolha quando queremos uma segunda opinião mais rápido que o VirusTotal carrega.
3. Bitdefender TrafficLight, bloqueio do navegador ao vivo
Bitdefender TrafficLight é uma extensão do navegador que avalia cada URL conforme é carregada e bloqueia domínios de phishing e malware antes da página terminar de renderizar. Também inspeciona links dentro do Gmail, X e feeds do Facebook sem uma navegação de página completa.
Onde fica aquém: focado em Chromium. A extensão Firefox tem recursos mais limitados que as versões Chrome e Edge.
Preço: gratuito.
Plataformas: extensões Chrome, Edge, Firefox.
Download: bitdefender.com
Conclusão: instale em qualquer navegador que você use para email ou mensagens. É uma defesa sem atrito no dia a dia.
4. Google Safe Browsing, linha de base de proteção integrada
Google Safe Browsing é o feed de reputação já integrado no Chrome, Edge, Firefox e Safari. Cada URL que o navegador está prestes a carregar é verificada contra a lista negra contínua do Google de domínios de phishing, malware e software indesejado.
Onde fica aquém: Safe Browsing é passivo. Ele bloqueia o que os crawlers do Google já marcaram. Domínios HalluSquat novos escapam até serem indexados.
Preço: gratuito, integrado aos navegadores principais.
Plataformas: todos os navegadores principais.
Download: safebrowsing.google.com
Conclusão: confirme se a configuração está ativada no Chrome ou Edge e trate como o mínimo, não o máximo, de segurança de URL.
5. Malwarebytes Browser Guard, filtro de anúncios e phishing
Malwarebytes Browser Guard bloqueia páginas de phishing, anúncios maliciosos, golpes de suporte técnico e rastreadores conhecidos no nível do navegador. O conjunto de regras de bloqueio se sobrepõe com TrafficLight mas se concentra mais em padrões de fraude e conteúdo indesejado.
Onde fica aquém: a lista de bloqueios pode marcar agressivamente sites legítimos com suporte a anúncios. Um falso positivo aqui significa uma página quebrada, não um incidente de segurança.
Preço: gratuito.
Plataformas: extensões Chrome, Edge, Firefox, Safari.
Download: malwarebytes.com
Conclusão: combine com TrafficLight para defesa em profundidade. Eles marcam categorias ligeiramente diferentes.
6. urlscan.io, o renderizador de sandbox
urlscan.io carrega uma URL dentro de um navegador headless reforçado e retorna uma captura de tela, uma árvore DOM, a atividade de rede e todos os recursos de terceiros que a página extrai. Nunca temos que visitar a URL nós mesmos. Domínios HalluSquat que parecem legítimos à primeira vista frequentemente se revelam na renderização de sandbox.
Onde fica aquém: o sandbox é público por padrão, então qualquer coisa sensível deve usar a opção de varredura privada paga.
Preço: gratuito em 100 varreduras por dia, público. Nível Pro a $15 por usuário por mês para varreduras privadas.
Plataformas: primeiro web, API extensiva.
Download: urlscan.io
Conclusão: a escolha quando a URL é suspeita o suficiente para ver, mas não o suficiente para visitar.
7. OpenTip by Kaspersky, busca de inteligência de ameaças
OpenTip é o portal de inteligência de ameaças gratuito da Kaspersky para URLs, IPs e hashes. Os resultados incluem a categorização que a Kaspersky atribui ao domínio, dados históricos de pivô WHOIS e links para indicadores relacionados de comprometimento.
Onde fica aquém: a marca Kaspersky é carregada politicamente em algumas jurisdições. O uso corporativo pode enfrentar restrições.
Preço: gratuito em 200 buscas por dia. Níveis de API pagos para volume mais alto.
Plataformas: primeiro web, API acessível.
Download: opentip.kaspersky.com
Conclusão: a escolha quando queremos a perspectiva de um especialista sobre a mesma URL ao lado do VirusTotal.
Como escolher a correta
Se escolhermos apenas uma, instale Bitdefender TrafficLight em cada navegador que usar para email. É passivo, gratuito e bloqueia uma porcentagem real de URLs HalluSquat antes da página carregar. Adicione VirusTotal como nosso reflexo de busca na web de primeira linha quando uma URL parecer suspeita.
Se realmente investigarmos URLs suspeitas como parte de nosso trabalho, adicione urlscan.io para ver a renderização da página sem visitá-la, e adicione OpenTip como uma verificação de inteligência de ameaças de segunda opinião. URLVoid complementa a cobertura de reputação.
Google Safe Browsing e Malwarebytes Browser Guard são o mínimo do nível do navegador. Já devem estar em execução. Se não estiverem, ative-os antes de instalar qualquer outra coisa.
FAQ
O que é HalluSquatting? Registrar domínios, nomes de pacotes ou URLs de produtos que modelos de IA generativa tendem a alucinar. Quando um usuário pede um link a um assistente de IA e o modelo o inventa, um atacante que registrou esse domínio alucinado antecipadamente agora o controla.
Qual aplicativo de segurança de URL captura domínios HalluSquat mais rápido? Ferramentas de sandbox como urlscan.io e ferramentas multi-motor como VirusTotal normalmente capturam especuladores recém-registrados dentro de 24 a 48 horas. Google Safe Browsing fica atrás, porque depende de detecção acionada por crawler.
Uma extensão do navegador é suficiente por si só? Para a maioria dos usuários, sim. Bitdefender TrafficLight ou Malwarebytes Browser Guard combinado com Google Safe Browsing cobre a maioria das superfícies de phishing comuns. Adicione verificações manuais quando uma URL vem de uma fonte incomum.
Podemos verificar uma URL sem visitá-la? Sim. urlscan.io renderiza a URL em um sandbox público e retorna uma captura de tela. VirusTotal e URLVoid fazem verificações de reputação sem carregar a página em nosso navegador.
Há alguma ferramenta de segurança de URL de código aberto? Bitdefender TrafficLight, Malwarebytes Browser Guard, VirusTotal, urlscan.io e OpenTip são proprietários. As listas de bloqueios do lado do cliente em navegadores (Safe Browsing) também são proprietárias. Existem alternativas de código aberto (PhishTank, OpenPhish), mas são fornecidas como feeds de dados em vez de aplicativos de desktop.