跳转到内容

误植域名

本页使用了标题或全文手工转换
维基百科,自由的百科全书
一个错误的网址可将用户导向网络黑客运营的网站。

误植域名(Typosquatting),也称作URL劫持,假URL等,是一种域名抢注的形式,常常会导致品牌劫持钓鱼式攻击。这种劫持的方式通常有赖于用户在浏览器中输入网址时,犯下诸如错误拼写等错误。用户一旦不小心输入了一个错误的网址,便有可能被导向任何一个其他的网址(比如说一个域名抢注者运营的网站)[1]

域名抢注者的网址通常以下列五种形式出现,通常都与被仿造的网址类似(以Example.com为例):

  • 目标网站网址的常见的拼写错误,或其外语拼写方式:exemple.com
  • 一个拼写错误:examlpe.com
  • 用词不同的域名:examples.com
  • 一个不同的顶级域名:example.org
  • 对于国家和地区顶级域名的滥用:用.cm来注册example.cm,或者.co来注册example.co。用户如果没有输入.com中的“o”或者“m”就会被导向假URL所在的网站。

在域名抢注者所注册的网站里,用户也有可能被类似的网页标志、网页排版或网站内容所欺骗,以为自己在正确的网站中。

动机

域名抢注者通常会因为以下种种原因去购买一个误植的域名:

  • 为了将原域名卖给品牌所有者
  • 为了得到目标域名的每点击付费的流量
  • 为了将误植带来的流量重定向至一个竞争对手的域名
  • 为了将误植带来的流量通过一个有裙带关系的链接重定向至品牌自身,并因此获得品牌所有者付给裙带关系项目的佣金
  • 为了以钓鱼的手法试图骗取用户的密码[2]
  • 为了在用户的设备上安装恶意软件或者能够获利的广告软件
  • 为了获取因为拼写错误而送至误植域名的电子邮件
  • 为了防止域名被其他人恶意利用
  • 为了向用户传播网络色情
  • 为了表达一个与目标网站不同的观点
  • 為了發動分佈式阻斷服務攻擊(DDoS)

例子

从歌手到明星运动员,知名人士也常常注册那些属于自己的域名。一个著名的例子是篮球运动员德克·诺维茨基的URDP域名:DirkSwish.com,[3]以及女演员伊娃·朗歌莉亞的URDP域名:EvaLongoria.org。[4]

包括Verizon汉莎航空乐高在内的许多公司都曾因积极打击误植域名而闻名。比如乐高已经通过UDRP英语Uniform Domain-Name Dispute-Resolution Policy在309个案例上花费了500,000美元。[5]2006年至2008年间曾有过一个抢注的谷歌的域名“Goggle.com”。[6]访问该网站将导致不同的计算机病毒或其他恶意软件被自动下载到计算机中,包括SpySheriff英语SpySheriff,一个流氓软件。如今这个网站被用来做亚马逊列表的分类。另一个企业抢注域名“yuube.com”则瞄准了YouTube的用户,将网页重定向至一个恶意网站。[7]类似地,www.airfrance.com的域名也遭“www.arifrance.com”的域名误植,后者将用户导向一个打折旅行的网站。[8]试图访问网页游戏Agar.io的人们则可能将其错拼为“agor.io”。访问后者会遇到一个突发惊吓,或者是一个互联网上流行的Creepypasta杰夫杀手”快速闪现并发出一些很大的噪音。

还有“Equifacks.com”(实为Equifax.com),“Experianne.com”(实为Experian英语Experian.com),以及“TramsOnion.com”(实为TransUnion英语TransUnion.com)等。这些域名由喜剧演员约翰·奥利弗为其表演约翰奥利佛之昔日新闻报报所注册。[9]

WIPO解决程序

按照Uniform Domain-Name Dispute-Resolution Policy英语Uniform Domain-Name Dispute-Resolution Policy(UDRP),商标所有者可向世界知识产权组织(WIPO)以误植域名(以及域名抢注)为由提起抗议。[8]抗议中须明确指出,被抢注的域名与受害方所拥有的商标完全相同或容易混淆英语Confusing similarity,注册者对域名没有合法的需求,并且该域名被恶意英语bad faith使用。[8]

参考资料

  1. ^ Microsoft Strider project with screenshots of typosquatted domains. Research.microsoft.com. [2012-03-09]. (原始内容存档于2012-03-07). 
  2. ^ 'Typosquatting': How 1 mistyped letter could lead to ID theft. Bankrate. [2016-01-14]. (原始内容存档于2016-01-29). 
  3. ^ Internet. Domain Name Wire. 2011-09-12 [2017-03-19]. (原始内容存档于2017-03-20). 
  4. ^ Internet. Domain Name Wire. 2011-05-05 [2017-03-19]. (原始内容存档于2017-03-20). 
  5. ^ Internet. Domain Name Wire. 2011-11-01 [2017-03-19]. (原始内容存档于2016-10-20). 
  6. ^ Allemann, Andrew. Google Wants to Take Down Goggle.com Web Site. Domain Name Wire. 2011-08-23 [2017-03-19]. (原始内容存档于2017-03-20). 
  7. ^ Internet. The Times Of India. 2010-05-05 [2017-03-19]. (原始内容存档于2016-09-22). 
  8. ^ 8.0 8.1 8.2 Kelly M. Slavitt: Protecting Your Intellectual Property from Domain Name Typosquatters页面存档备份,存于互联网档案馆) (2004)
  9. ^ 存档副本. [2017-03-19]. (原始内容存档于2017-03-12).