Adakah anda terdedah kepada gemuk jari semasa menaip? Walaupun menaip "e" dan bukannya "a" atau melupakan "sempang" apabila menaip alamat tapak web kegemaran anda nampaknya tidak berbahaya, ia mungkin menjadikan anda mangsa amalan jahat yang dikenali sebagai typosquatting.
Typosquatting berlaku apabila penjenayah siber membeli dan mendaftar nama domain yang salah eja bagi tapak web popular. Tujuan typosquatting adalah untuk menyasarkan pengguna internet yang melakukan kesilapan menaip semasa mencari tapak web.
Tetapi bagaimanakah typosquatting berfungsi, dan apakah jenisnya yang berbeza? Apakah yang penjenayah peroleh daripada typosquatting, dan adakah terdapat cara untuk melindungi diri kita daripadanya?
Bagaimana Typosquatting Berfungsi?
Apabila penjenayah siber membeli dan mendaftarkan nama domain yang "salah eja" salinan tapak web yang sah, mereka mungkin menambah vokal tambahan atau menggantikan aksara seperti "goggle.com" dan bukannya "google.com." Sebaik sahaja pengguna tersalah taip URL, mereka akan diarahkan ke tapak web penipuan tersebut dan bukannya yang sebenar.
Jika pengguna tidak menyedari bahawa mereka telah mendarat di tapak web palsu, mereka mungkin akhirnya membocorkan maklumat peribadi dan malah mula membeli-belah untuk barangan tanpa disedari.
Jenis-jenis Typosquatting
Kredit Imej: Chris Dlugosz/ Flickr
Contoh terawal bermula pada tahun 2006 apabila Google menjadi mangsa typosquatting oleh tapak web pancingan data yang didaftarkan sebagai "goggle.com." Cuba taip "foogle.com" atau "hoogle.com," dan kemungkinan besar anda akan terjumpa tapak web palsu yang cuba menarik anda untuk membeli produk mereka atau memberikan maklumat peribadi. Seperti yang anda boleh bayangkan, ini boleh menjadi kebimbangan keselamatan yang besar untuk tapak web popular yang kerap menarik jumlah trafik yang besar.
Berikut ialah pelbagai jenis taktik typosquatting yang boleh digunakan oleh penjenayah siber:
Taip: Alamat salah taip tapak web yang terkenal dan popular seperti "faacebook.com." Perhatikan tambahan "a."
Ejaan yang salah: Typosquatters mengambil kesempatan daripada fakta bahawa kebanyakan pengguna internet bukan lebah ejaan. Pada bila-bila masa anda membuat kesilapan ejaan semasa menaip URL dalam bar alamat, anda mungkin akan terjumpa tapak web palsu.
Ejaan Ganti: Pengguna yang tidak bersalah mungkin terpedaya dengan ejaan ganti nama atau produk jenama terkenal. Contohnya, "getphotos.com" lwn. "getfotos.com."
Menambah "www" pada URL: Typosquatters mungkin berpura-pura menjadi "wwwgoogle.com" dan bukannya "www.google.com."
Sambungan Domain Salah: Menukar sambungan tapak, contohnya, memasukkan ".com" sebagai ganti ".org."
Combosquatting: Typosquatters menambah atau mengalih keluar tanda sempang dalam nama domain untuk secara curang mengarahkan trafik ke domain yang salah taip. Contohnya, "face-book.com" dan bukannya "facebook.com."
Termasuk Titik Tambahan: Menambah atau mengalih keluar noktah di tengah-tengah domain ialah kaedah lain untuk menipu menaip. Jadi, bukannya "fandango.com," ia boleh menjadi "fan.dango.com."
Domain Serupa: Alamat web ini adalah penyalin versi rasmi mereka, tetapi titik tengah tidak ada.
Sebab Mengapa Penjenayah Siber Menggunakan Typosquatting
Kredit Imej: Gorodenkoff/ Shutterstock.com
Insiden typosquatting telah meningkat begitu banyak pada masa lalu sehingga mendorong syarikat terkemuka seperti Google, Apple, Facebook dan Microsoft untuk mengambil beberapa langkah tambahan. Syarikat-syarikat ini kini sama ada mendaftarkan variasi ralat tipografi domain mereka atau menyekat kemungkinan domain typosquatting melalui perkhidmatan The Internet Corporation for Assigned Names and Numbers (ICANN).
Berikut ialah beberapa sebab dan motivasi popular di sebalik typosquatting:
Mencipta Tapak Web Berniat Hasad: Sesetengah penjenayah siber menggunakan typosquatting untuk membangunkan tapak web hasad yang memasang perisian hasad , perisian tebusan (seperti WannaCry), maklumat peribadi phish atau mencuri data kad kredit.
Umpan dan Tukar: Typosquatters mencipta tapak web palsu untuk menjual item yang pengguna sepatutnya beli pada URL yang betul. Walaupun mereka mendapat maklumat pembayaran daripada pengguna, tiada item dihantar kepada mereka.
Peniru: Sesetengah tukang taip menggunakan tapak web penipuan untuk menjalankan serangan pancingan data ke atas mangsa mereka.
Tempat letak kenderaan domain: Kadangkala, pemilik domain yang tersalah taip mungkin cuba menjual domain kepada mangsa pada harga yang tidak munasabah.
Tapak jenaka: Sesetengah penaip membuat tapak web untuk mempersendakan tanda dagangan atau nama jenama yang ditiru.
Penyenaraian Hasil Carian: Seorang typosquatter mungkin mengarahkan trafik yang dimaksudkan untuk tapak sebenar kepada pesaingnya, mengecaj mereka pada asas bayar setiap klik.
Tinjauan dan Pemberian: Laman web palsu menyediakan borang maklum balas atau tinjauan yang bertujuan untuk mencuri maklumat sensitif kepada pelawat.
Jana Hasil: Pemilik laman web palsu boleh memasang iklan atau pop timbul untuk menjana pendapatan pengiklanan daripada pelawat yang tidak sedar.
Pautan ahli gabungan: Tapak palsu mungkin mengubah hala trafik kembali ke jenama melalui pautan ahli gabungan untuk memperoleh komisen daripada semua pembelian melalui program gabungan jenama yang sah.
Berkaitan: Cara Mengesan Laman Web Runcit Palsu
Cara Melindungi Daripada Typosquatting
Kredit Imej: maxxyustas/ Depositphotos
Walaupun memancing tapak web yang dijipkuit bukanlah sesuatu yang mudah, terdapat beberapa cara yang boleh digunakan oleh organisasi dan individu untuk melindungi diri mereka daripada percubaan typosquat:
Tanda Dagangan Domain Tapak Web Anda
Pertahanan terbaik terhadap typosquatters adalah dengan mendaftar dan tanda dagangan tapak web anda. Tanda dagangan berdaftar membolehkan anda memfailkan tuntutan Uniform Rapid Suspension (URS) dengan Pertubuhan Harta Intelek Sedunia. Ini juga boleh membantu anda menolak tapak web yang anda percaya berniat untuk menipu pengguna daripada halaman anda menjadi tapak typosquatting.
Anda juga boleh mendaftarkan beberapa variasi ejaan tapak anda, seperti variasi tunggal, jamak dan tanda sempang, bersama-sama dengan pelbagai sambungan seperti .org, .com dan .net.
Alat sumber terbuka seperti dnstwist boleh mengimbas domain tapak web anda secara automatik untuk menentukan sama ada sudah ada serangan typosquatting sedang berjalan atau menunggu untuk berlaku. Anda boleh menggunakan dnstwist melalui satu siri arahan shell pada sistem Linux, tetapi jika anda tergesa-gesa, anda boleh mencubanya dalam penyemak imbas web anda dengan menuju ke dnstwist.it .
Pantau Trafik Tapak Dengan Rapat
Mengawasi trafik tapak anda dengan teliti juga merupakan cara yang berkesan untuk mengesan serangan typosquatting. Anda juga boleh menyediakan makluman untuk bila-bila masa terdapat penurunan mendadak dalam pelawat dari wilayah tertentu. Ini mungkin menunjukkan bahawa pengguna anda sedang diubah hala ke tapak web palsu.
Hos Domain Anda Dengan ISP yang Betul
Sesetengah ISP menawarkan perlindungan typosquatting sebagai sebahagian daripada penawaran produk mereka. Jadi, adalah idea yang baik untuk mengehoskan domain anda dengan ISP sedemikian. Ini bukan sahaja menyediakan lapisan tambahan penapisan web, tetapi anda juga mendapat makluman pada bila-bila masa pengguna tersalah taip URL dan diubah hala ke domain yang betul.
Cari Domain Berpotensi Ditipu
Beberapa vendor pihak ketiga menawarkan perkhidmatan untuk mencari domain yang berpotensi ditipu. Pertubuhan Harta Intelek Sedunia (WIPO) mempunyai Dasar Penyelesaian Pertikaian Nama Domain Seragam (UDRP) yang membenarkan pemegang tanda dagangan memfailkan aduan terhadap penaip dan mendapatkan semula domain tersebut.
Gunakan Teknologi Anti-Spoofing dan E-mel Selamat
Untuk mengurangkan serangan typosquatting, anda juga harus melabur dalam teknologi e-mel anti-pemalsuan dan selamat yang boleh mengenal pasti potensi domain typosquatting dan perisian hasad.
Berkaitan: Apakah DMARC dan Bagaimana Ia Membantu Mencegah Penipuan E-mel?
Latihan dan Kesedaran Pengguna
Kesedaran adalah kunci apabila cuba mengalahkan domain typosquatting. Cerahkan diri anda dan kakitangan anda untuk terus berwaspada terhadap teknik penipuan ini. Anda boleh mulakan dengan memberitahu mereka untuk mengelak daripada menavigasi terus ke tapak web. Daripada menaip alamat tapak web setiap kali dalam penyemak imbas mereka, mereka boleh menggunakan enjin carian atau arahan suara dan menanda halaman tapak.
Jadilah Proaktif dan Kurangkan Typosquatting
Sebagai manusia, kita mudah melakukan kesilapan, dan menaip tidak terkecuali. Typosquatting ialah sejenis serangan kejuruteraan sosial yang bergantung pada manipulasi psikologi individu dan kelemahan mereka.
Sudah tentu, kami tidak boleh menghalang typosquatters daripada membuat tapak web palsu atau membeli semua domain yang termasuk dalam kriteria tersebut. Walau bagaimanapun, kita masih boleh mengurangkan kejadian ini dengan lebih berhati-hati, proaktif dan mempelajari cara jenayah ini merebak.