Существует хорошо известная тактика, используемая киберпреступниками для имитации сайтов, программ или компаний. Однако в большинстве случаев подделки можно распознать с первого взгляда. В случае с мошенничеством, которое сейчас раскрыто, дело обстоит иначе.

Любой, кто недавно искал в Google популярный менеджер паролей с открытым исходным кодом KeePass, первым результатом получал рекламу. Выдача выглядела похожей на фактический результат поиска на официальном сайте KeePass.
Однако более пристальный взгляд на URL-адрес (keepass.info) показывает, что под буквой «k» стоит небольшая запятая. Адрес становится с буквой «k» с запятой снизу, что делает его другим доменом.
Сайт, стоящий за ним, не является копией настоящей страницы KeePass, но выглядит заслуживающим доверия. Любой, кто скачает установочный файл KeePass с сайта, вместо менеджера паролей получит вредоносное ПО семейства FakeBat.
Антивирусная компания Malwarebytes показывает, как ссылка Google Ads через Punycode ведет на неправильный сайт KeePass. Punycode — это метод представления символов, отличных от ASCII, в доменных именах, позволяющий легко поддерживать их во всех программах на международном уровне. К ним относятся умлауты и специальные символы. Punycode уже давно стал популярным инструментом фишинга.
Осенью этого года риск значительно снизился. С ноября объявление больше не появлялось в Google. При попытке посетить поддельный сайт k^,eepass.info, браузер Chrome теперь также предупреждает о попытке фишинга.