سوءاستفاده از خطای تایپی

یک نشانی وب واردشدهٔ نادرست می‌تواند کاربر را به سایتی تحت کنترل دامنه‌ربا هدایت کند.

تایپواسکواتینگ (به انگلیسی: Typosquatting) که همچنین ربایش نشانی وب، سایت تله‌ای، دامنهٔ هم‌خانواده یا نشانی جعلی نامیده می‌شود، شکلی از دامنه‌ربایی اینترنتی و احتمالاً برند ربایی است که بر اشتباهاتی مانند خطای تایپی کاربران اینترنت هنگام وارد کردن نشانی وب در مرورگر وب تکیه دارد. کاربری که به‌طور تصادفی نشانی وب را نادرست وارد کند ممکن است به هر نشانی دیگری هدایت شود، از جمله سایتی جایگزین که در مالکیت دامنه‌ربا باشد.

نشانی URL دامنه‌ربا معمولاً مشابه نشانی سایت قربانی است؛ سایت تایپواسکواتینگ می‌تواند به شکل‌های زیر باشد:

  • یک غلط املایی یا نوشتار به زبان دیگر از سایت مورد نظر
  • غلط املایی ناشی از خطای تایپی
  • جمع‌سازی یک نام دامنهٔ مفرد
  • استفاده از یک دامنه سطح‌بالا متفاوت (مثلاً ‎.com‎ به جای ‎.org‎)
  • سوءاستفاده از دامنه سطح‌بالای کد کشور (مانند ‎.cm‎، ‎.co‎ یا ‎.om‎ به جای ‎.com‎)

سوءاستفاده‌های مشابه:

  • کامبواسکواتینگ – بدون غلط املایی، اما با افزودن واژه‌ای دلخواه که مشروع به نظر می‌رسد و هر کسی می‌تواند آن را ثبت کند.
  • دامنهٔ دوقلو – حذف یک نقطه یا افزودن یک نقطهٔ اضافی
  • افزودن واژه‌هایی مانند sucks یا -suckes به نام دامنه

هنگامی که کاربر وارد سایت دامنه‌ربا می‌شود، ممکن است با استفاده از لوگوهای کپی‌شده یا مشابه، طرح‌بندی وبگاه یا محتوای مشابه، فریب داده شود و تصور کند در سایت واقعی است. ایمیل‌های اسپم گاهی از نشانی‌های تایپواسکواتینگ استفاده می‌کنند تا کاربران را به سایت‌های مخربی هدایت کنند که شبیه وبگاه یک بانک خاص به نظر می‌رسند.

انگیزه

دلایل گوناگونی وجود دارد که دامنه‌ربایان تایپی اقدام به خرید دامنه‌های اشتباه می‌کنند:

  • تلاش برای فروش دوبارهٔ دامنهٔ اشتباه به مالک برند
  • کسب درآمد از دامنه از طریق درآمدهای تبلیغات ناشی از خطاهای تایپی کاربران در ناوبری مستقیم
  • هدایت ترافیک اشتباه به سوی یک رقیب
  • هدایت ترافیک اشتباه به سوی خود برند، اما از طریق یک پیوند همکاری (affiliate link) و کسب کمیسیون از برنامهٔ همکاری مالک برند
  • به‌عنوان طرحی فیشینگ برای تقلید از سایت برند و سرقت گذرواژه‌هایی که بازدیدکننده بی‌خبر وارد می‌کند[۱]
  • نصب بدافزار یا ادور درآمدزا بر روی دستگاه‌های بازدیدکنندگان
  • جمع‌آوری پیام‌های ایمیل اشتباه‌نشانی‌شده که به دامنهٔ اشتباه ارسال می‌شوند
  • بیان دیدگاهی متفاوت از دیدگاه وبگاه اصلی
  • توسط مالکان مشروع سایت، برای جلوگیری از سوءاستفادهٔ مخرب دیگران از دامنهٔ اشتباه
  • آزار دادن کاربران وبگاه اصلی

نمونه‌ها

بسیاری از شرکت‌ها، از جمله ورایزن، لوفت‌هانزا و لگو، به دلیل پیگیری جدی نام‌های تایپواسکواتینگ شهرت یافته‌اند. لگو، برای نمونه، حدود US$۵۰۰,۰۰۰ هزینه کرده تا ۳۰۹ پرونده را از طریق سیاست یکنواخت حل اختلاف نام دامنه اینترنت پیگیری کند.[۲]

افراد مشهور نیز برای حفاظت از نام دامنه‌های خود اقدام کرده‌اند. نمونه‌های برجسته شامل بازیکن بسکتبال دیرک نوویتسکی در پروندهٔ سیاست یکنواخت حل اختلاف نام دامنه اینترنتی مربوط به DirkSwish.com[۳] و بازیگر اوا لونگوریا در پروندهٔ سیاست یکنواخت حل اختلاف نام دامنه اینترنتی مربوط به EvaLongoria.org.[۴]

نشانی Goggle.com، نسخهٔ تایپواسکواتینگ Google.com، موضوع یک کمپین ایمنی وب در سال ۲۰۰۶ توسط شرکت امنیت رایانه‌ای مک‌آفی بود که نشان می‌داد حجم زیادی از دانلودهای ناخواسته بدافزار هنگام دسترسی به آن سایت نصب می‌شود، مانند برنامهٔ ضدجاسوس‌افزار جعلی SpySheriff. بعدها این نشانی به google.com هدایت شد؛[۵] بررسی در سال ۲۰۱۸ نشان داد که کاربران را به صفحات ادور هدایت می‌کند، و در سال ۲۰۲۰ تلاش برای دسترسی به آن از طریق یک DNS خصوصی میزبانی‌شده توسط AdGuard باعث شد صفحه به‌عنوان بدافزار شناسایی و برای امنیت کاربر مسدود شود. تا میانهٔ ۲۰۲۲، این دامنه به یک وبلاگ سیاسی تبدیل شده بود. با این حال، از اوت ۲۰۲۵، goggle.com دیگر فعال نیست.

نمونهٔ دیگر تایپواسکواتینگ شرکتی، yuube.com است که کاربران یوتیوب را هدف قرار داده و آن نشانی را برای تغییر مسیر نشانی وب به یک وبگاه مخرب یا صفحه‌ای که از کاربران می‌خواهد افزونهٔ «بررسی امنیتی» آلوده نصب کنند، برنامه‌ریزی کرده بود.[۶] به‌طور مشابه، www.airfrance.com توسط www.arifrance.com تایپواسکوات شده و کاربران را به وبگاهی برای فروش سفرهای تخفیفی هدایت می‌کرد (هرچند اکنون به هشدار ایرفرانس دربارهٔ بدافزار تغییر مسیر داده می‌شود).[۷] نمونه‌های دیگر شامل equifacks.com (اکویفاکس.com)، experianne.com (اکسپریان.com)، و tramsonion.com (ترنس‌یونیون.com) هستند؛ این سه دامنهٔ تایپواسکواتینگ توسط کمدین جان اولیور برای برنامهٔ آخرین هفته امشب با جان اولیور ثبت شدند.[۸]

یک مطالعهٔ داوری‌شده در سال ۲۰۲۴ نخستین اندازه‌گیری گستردهٔ تایپواسکواتینگ در سامانه‌های نام‌گذاری مبتنی بر بلاک‌چین مانند Ethereum Name Service، Unstoppable Domains و ADAHandles را ارائه داد. پژوهشگران هزاران تراکنش رمزارزی را مشاهده کردند که به‌اشتباه به نشانی‌های تایپواسکواتینگ ارسال شده بود؛ اهداف شامل نام‌های دامنهٔ محبوب و هویت‌های مرتبط با حساب‌های شبکه‌های اجتماعی بودند.[۹]

در حقوق ایالات متحده

در ایالات متحده، قانون حمایت از مصرف‌کننده در برابر دامنه‌ربایی اینترنتی (ACPA) مصوب ۱۹۹۹ شامل بندی (بخش ۳(a)، اصلاحیهٔ 15 USC 1117 برای افزودن بند فرعی (d)(2)(B)(ii)) است که هدف آن مقابله با تایپواسکواتینگ می‌باشد.[۱۰][۱۱]

در ۱۷ آوریل ۲۰۰۶، مبلغ مذهبی جری فالول نتوانست دیوان عالی ایالات متحده را متقاعد کند تا تصمیمی را بازبینی کند که به کریستوفر لامپارلو اجازه می‌داد از www.fallwell.com استفاده کند. لامپارلو با تکیه بر غلط املایی محتمل نام فالول، یک سایت انتقادی ایجاد کرده بود که بازدیدکنندگان منحرف‌شده را با ارجاعات کتاب مقدس مواجه می‌کرد تا در برابر انتقادهای تند واعظ بنیادگرا علیه همجنس‌گرایی مقابله کند. در پروندهٔ Lamparello v. Falwell، دیوان عالی رأی دادگاه استیناف حوزهٔ چهارم در سال ۲۰۰۵ را تأیید کرد که «استفاده از یک علامت در نام دامنه برای سایتی انتقادی علیه صاحب علامت، دامنه‌ربایی اینترنتی محسوب نمی‌شود.»

روند حل اختلاف در سازمان جهانی مالکیت فکری (WIPO)

بر اساس سیاست یکنواخت حل اختلاف نام دامنه اینترنتی (UDRP)، دارندگان علائم تجاری می‌توانند علیه تایپواسکواترها (مانند دامنه‌ربایان به‌طور کلی) در سازمان جهانی مالکیت فکری (WIPO) شکایت کنند.[۷] شاکی باید نشان دهد که نام دامنهٔ ثبت‌شده با علامت تجاری او یکسان یا به‌طور گیج‌کننده‌ای مشابه است، ثبت‌کننده هیچ منفعت مشروعی در نام دامنه ندارد، و نام دامنه با سوءنیت استفاده می‌شود.[۷]

جستارهای وابسته

  • بیت‌اسکواتینگ
  • سامانه نام دامنه سیستمی برای نام‌گذاری و شناسایی رایانه‌ها و منابع متصل به یک شبکه (DNS)
    • جعل نام دامنه – حملات فیشینگ که بر جعل یا تحریف نام دامنه اینترنتی تکیه دارند
    • دامنهٔ دوقلو
    • حملهٔ هم‌نویسهٔ IDN
  • تماس اشتباه § شماره‌های رایگان – حملات مشابه بر روی واژهٔ تلفنیهای تبلیغاتی
  • تله‌گذاری موس
  • فیشینگ تلاش برای گرفتن اطلاعات از کاربر با جعل وب‌گاه
  • اسلاپسکواتینگ
  • کوتاه‌سازی نشانی وب

منابع

  1. Claes، Bell (۱۷ اوت ۲۰۱۵). «'Typosquatting': How 1 Mistyped Letter Could Lead to ID Theft». Bankrate. بایگانی‌شده از اصلی در ۲۰ اوت ۲۰۱۵. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  2. Allemann، Andrew (۱ نوامبر ۲۰۱۱). «Has Lego's $500k Spent on URDP Been a Waste?». Domain Name Wire. بایگانی‌شده از اصلی در ۲ نوامبر ۲۰۱۱. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  3. Allemann، Andrew (۱۲ سپتامبر ۲۰۱۱). «Dallas Mavericks Star Dirk Nowitzki Wins Dispute Over Domain Name». Domain Name Wire. بایگانی‌شده از اصلی در ۲۷ سپتامبر ۲۰۱۱. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  4. Allemann، Andrew (۵ مه ۲۰۱۱). «Eva Longoria Adds .Org to Her Collection». Domain Name Wire. بایگانی‌شده از اصلی در ۷ مه ۲۰۱۱. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  5. Allemann، Andrew (۲۳ اوت ۲۰۱۱). «Google Wants to Take Down Goggle.com Web Site». Domain Name Wire. بایگانی‌شده از اصلی در ۲۵ اوت ۲۰۱۱. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  6. Gopalakrishnan، Chandu (۵ مه ۲۰۱۰). «Your Spelling Errors Can Help Typosquatters Make Big Bucks». The Economic Times. بایگانی‌شده از اصلی در ۱۲ اوت ۲۰۱۱. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  7. 1 2 3 Slavitt، Kelly M. (۲۶ مارس ۲۰۰۸). «Protecting Your Intellectual Property from Domain Name Typosquatters». FindLaw. بایگانی‌شده از اصلی در ۲۶ ژوئیه ۲۰۱۳. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  8. {{یادکرد خبر |
    یک نشانی وب واردشدهٔ نادرست می‌تواند کاربر را به سایتی تحت کنترل دامنه‌ربا هدایت کند.
    ویروس باج‌افزار Magniber از طریق روش تایپواسکواتینگ توزیع می‌شود؛ روشی که از خطاهای تایپی کاربران هنگام وارد کردن دامنه‌ها سوءاستفاده می‌کند و عمدتاً کاربران گوگل کروم و مایکروسافت اج را هدف قرار می‌دهد.<ref>MalBot (۲۵ اکتبر ۲۰۲۲). «Rapidly Evolving Magniber Ransomware». malware.news. بایگانی‌شده از اصلی در ۴ مه ۲۰۲۴. دریافت‌شده در ۱۶ نوامبر ۲۰۲۲. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  9. الگو:یادکرد همایش
  10. «S. 1255  Trademark Cyberpiracy Prevention Act». ۲۷ اکتبر ۱۹۹۹. بایگانی‌شده از اصلی در ۲۱ سپتامبر ۲۰۱۸. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)
  11. Metz، Cade (۲۳ اکتبر ۲۰۰۸). «Without Typo-squatters, How Far Would Google Fall?». The Register. بایگانی‌شده از اصلی در ۲۴ اکتبر ۲۰۰۸. از پارامتر ناشناخته |وضعیت= صرف‌نظر شد (کمک)

پیوند به بیرون

This article is issued from ویکی‌پدیا. The text is available under Creative Commons Attribution-Share Alike 4.0 unless otherwise noted. Additional terms may apply for the media files.