誤植域名

一种域名抢注的形式

誤植域名(Typosquatting),也稱作URL劫持,假URL等,是一種域名搶註的形式,常常會導致品牌劫持釣魚式攻擊。這種劫持的方式通常有賴於用戶在瀏覽器中輸入網址時,犯下諸如錯誤拼寫等錯誤。用戶一旦不小心輸入了一個錯誤的網址,便有可能被導向任何一個其他的網址(比如說一個域名搶註者運營的網站)[1]

一個錯誤的網址可將用戶導向網絡黑客運營的網站。

域名搶註者的網址通常以下列五種形式出現,通常都與被仿造的網址類似(以Example.com為例):

  • 目標網站網址的常見的拼寫錯誤,或其外語拼寫方式:exemple.com
  • 一個拼寫錯誤:examlpe.com
  • 用詞不同的域名:examples.com
  • 一個不同的頂級域名:example.org
  • 對於國家和地區頂級域名的濫用:用.cm來註冊example.cm,或者.co來註冊example.co。用戶如果沒有輸入.com中的「o」或者「m」就會被導向假URL所在的網站。

在域名搶註者所註冊的網站裏,用戶也有可能被類似的網頁標誌、網頁排版或網站內容所欺騙,以為自己在正確的網站中。

動機

編輯

域名搶註者通常會因為以下種種原因去購買一個誤植的域名:

  • 為了將原域名賣給品牌所有者
  • 為了得到目標域名的每點擊付費的流量
  • 為了將誤植帶來的流量重新導向至一個競爭對手的域名
  • 為了將誤植帶來的流量通過一個有裙帶關係的連結重新導向至品牌自身,並因此獲得品牌所有者付給裙帶關係專案的佣金
  • 為了以釣魚的手法試圖騙取用戶的密碼[2]
  • 為了在用戶的裝置上安裝惡意軟件或者能夠獲利的廣告軟件
  • 為了取得因為拼寫錯誤而送至誤植域名的電子郵件
  • 為了防止域名被其他人惡意利用
  • 為了向用戶傳播網絡色情
  • 為了表達一個與目標網站不同的觀點
  • 為了發動分佈式阻斷服務攻擊(DDoS)

例子

編輯

從歌手到明星運動員,知名人士也常常註冊那些屬於自己的域名。一個著名的例子是籃球運動員德克·諾維茨基的URDP域名:DirkSwish.com,[3]以及女演員伊娃·朗歌莉亞的URDP域名:EvaLongoria.org。[4]

包括Verizon漢莎航空樂高在內的許多公司都曾因積極打擊誤植域名而聞名。比如樂高已經通過UDRP英語Uniform Domain-Name Dispute-Resolution Policy在309個案例上花費了500,000美元。[5]2006年至2008年間曾有過一個搶註的谷歌的域名「Goggle.com」。[6]訪問該網站將導致不同的電腦病毒或其他惡意軟件被自動下載到電腦中,包括SpySheriff英語SpySheriff,一個流氓軟件。如今這個網站被用來做亞馬遜列表的分類。另一個企業搶註域名「yuube.com」則瞄準了YouTube的用戶,將網頁重新導向至一個惡意網站。[7]類似地,www.airfrance.com的域名也遭「www.arifrance.com」的域名誤植,後者將用戶導向一個打折旅行的網站。[8]試圖訪問網頁遊戲Agar.io的人們則可能將其錯拼為「agor.io」。訪問後者會遇到一個突發驚嚇,或者是一個互聯網上流行的Creepypasta傑夫殺手」快速閃現並行出一些很大的噪音。

還有「Equifacks.com」(實為Equifax.com),「Experianne.com」(實為Experian英語Experian.com),以及「TramsOnion.com」(實為TransUnion英語TransUnion.com)等。這些域名由喜劇演員約翰·奧利弗為其表演約翰奧利佛之昔日新聞報報所註冊。[9]

WIPO解決程式

編輯

按照Uniform Domain-Name Dispute-Resolution Policy英語Uniform Domain-Name Dispute-Resolution Policy(UDRP),商標所有者可向世界知識產權組織(WIPO)以誤植域名(以及域名搶註)為由提起抗議。[8]抗議中須明確指出,被搶註的域名與受害方所擁有的商標完全相同或容易混淆英語Confusing similarity,註冊者對域名沒有合法的需求,並且該域名被惡意英語bad faith使用。[8]

參考資料

編輯
  1. ^ Microsoft Strider project with screenshots of typosquatted domains. Research.microsoft.com. [2012-03-09]. (原始內容存檔於2012-03-07). 
  2. ^ 'Typosquatting': How 1 mistyped letter could lead to ID theft. Bankrate. [2016-01-14]. (原始內容存檔於2016-01-29). 
  3. ^ Internet. Domain Name Wire. 2011-09-12 [2017-03-19]. (原始內容存檔於2017-03-20). 
  4. ^ Internet. Domain Name Wire. 2011-05-05 [2017-03-19]. (原始內容存檔於2017-03-20). 
  5. ^ Internet. Domain Name Wire. 2011-11-01 [2017-03-19]. (原始內容存檔於2016-10-20). 
  6. ^ Allemann, Andrew. Google Wants to Take Down Goggle.com Web Site. Domain Name Wire. 2011-08-23 [2017-03-19]. (原始內容存檔於2017-03-20). 
  7. ^ Internet. The Times Of India. 2010-05-05 [2017-03-19]. (原始內容存檔於2016-09-22). 
  8. ^ 8.0 8.1 8.2 Kelly M. Slavitt: Protecting Your Intellectual Property from Domain Name Typosquatters頁面存檔備份,存於互聯網檔案館) (2004)
  9. ^ 存档副本. [2017-03-19]. (原始內容存檔於2017-03-12).