Typosquatting: защита от доменных описок

Печатание на ноутбуке

Important: Ошибки при наборе URL — обычны. Много атак на этом базируются. Своевременные превентивные меры и готовый план реагирования значительно снижают риск.

Что такое typosquatting

Typosquatting (по‑русски иногда говорят «тайпосквоттинг» или «доменные описки») — приём, когда злоумышленник регистрирует домен, похожий на адрес популярного сайта, но с опечаткой, альтернативной транслитерацией, лишним или отсутствующим символом. Цель — заставить пользователя попасть на фальшивую страницу.

Короткое определение: доменное мошенничество, использующее человеческие опечатки для перехвата трафика.

Как это работает

Механика простая:

Злоумышленник анализирует популярные URL и регистрирует похожие домены.
Пользователь случайно вводит адрес с опечаткой или кликает неверную ссылку.
Браузер переходит на фальшивый сайт.
На фишинговой странице просят логин, пароль, платёжные данные либо показывают рекламу/партнёрские ссылки.

Последствия варьируются от потери персональных данных до заражения устройства вредоносным ПО или финансовых потерь.

Виды typosquatting

Крупный план адресной строки сайта

Ниже перечислены распространённые тактики, которые используют злоумышленники.

Опечатки: намеренно похожие варианты с лишней или пропущенной буквой, например faacebook.com вместо facebook.com.
Неправильное написание: грубые орфографические ошибки в домене.
Альтернативная транслитерация: различия, вызванные переводом или кириллицей/латиницей.
Добавление или удаление «www»: например wwwgoogle.com вместо www.google.com.
Смена доменной зоны: .com вместо .org.
Combosquatting: добавление слов или дефисов — face-book.com вместо facebook.com.
Дополнительная точка: fan.dango.com вместо fandango.com (поддомен).
Схожие домены: отсутствует центральный символ или он заменён визуально похожим (имитаторы).

Каждый способ ведёт к одному: пользователь думает, что он на официальном сайте, и совершает действия, которые раскрывают его данные или деньги.

Мотивы злоумышленников

Изображение хакера

Почему это выгодно:

Создание вредоносных сайтов для установки malware и шифровальщиков.
Фишинг для похищения учётных данных и платёжной информации.
«Bait and switch»: приём для выманивания денег за несуществующие товары.
Продажа домена владельцу бренда по завышенной цене (домен-паркинг).
Юмор или имитация бренда, наносящая репутационный вред.
Перенаправление трафика к конкурентам через контекстную рекламу.
Сбор данных через опросы, розыгрыши и анкеты.
Доход от рекламы и партнёрских программ.

Организации с крупными брендами подвергаются постоянным попыткам таких злоупотреблений.

Как защититься: обзор мер

Стопка доменных имён на клавиатуре

Защита требует набора технических, юридических и организационных мер. Ниже — пошаговый набор рекомендаций и практические шаблоны.

1. Регистрация вариаций домена и торговой марки

Зарегистрируйте основные вариации вашего домена заранее: орфографические варианты, с/без дефисов, в единственном и множественном числе, разные зоны .com/.org/.net и локальные зоны.
Зарегистрируйте торговую марку на ключевые бренды и логотипы. Торговая марка даёт юридические инструменты для споров через WIPO (URDП/URS).

Important: Регистрировать сразу все возможные варианты дорого. Начните с наиболее вероятных опечаток и зон, где вы реально работаете.

2. Используйте инструменты для сканирования доменов

Open-source: dnstwist — генерирует возможные опечатки и проверяет их доступность.
Коммерческие сервисы мониторинга доменов сканируют регистрацию новых доменов и оповещают о потенциальных подделках.

Пример быстрой проверки в командной строке с dnstwist:

# пример запуска dnstwist
dnstwist --registered example.com

3. Мониторинг трафика и аномалий

Настройте аналитические алерты на резкие падения или перенаправления трафика.
Отслеживайте всплески прямых заходов с странных рефереров или новых IP-адресов.
Настройте захват и анализ HTTP-заголовков для выявления аномалий.

4. Хостинг и антивредоносные сервисы

Выберите провайдера, который предлагает защиту от typosquatting, DNS‑защиту и фильтрацию.
Используйте DNS‑SEC, чтобы предотвратить подмену записей.

5. Anti-spoofing и почтовая аутентификация

Внедрите SPF, DKIM и DMARC для почтовых доменов.
DMARC поможет минимизировать фишинговые рассылки, маскирующиеся под ваш бренд.

6. Образование пользователей

Обучайте сотрудников безопасному поведению: переключайтесь на закладки, используйте поиск, проверяйте SSL и домен в адресной строке.
Напоминайте про безопасность при транзакциях: никогда не вводите данные после перехода по ненадёжной ссылке.

Технические меры и жёсткая защита

Внедрите DNS‑записи с защитой (DNSSEC).
Настройте HSTS и строгую политику HTTPS, чтобы предотвращать подмену.
Ограничьте публичную информацию о домене в WHOIS — используйте приватную регистрацию, где это допустимо.
Автоматизируйте оповещения при регистрации доменов, похожих на ваш.

Процедура реагирования: SOP для инцидентов typosquatting

Зафиксировать инцидент: снимки страниц, WHOIS, скриншоты, заголовки сетевых запросов.
Оценить риск: фишинг, вред, партнерские махинации, паркинг.
Блокировка/перенаправление: при наличии контроля над доменом — настроить редирект или реплейс; в противном случае — собрать доказательства.
Связаться с регистратором/хостером и подать жалобу через UDRP/URS или в службу абуз.
Уведомить пользователей и партнёров при реальной утечке данных.
Провести ретроспективу и обновить правила мониторинга.

Критерии приёмки

Подтверждение прекращения активности фальшивого домена.
Закрытие точки утечки почтовых/платёжных данных.
Публичное уведомление при необходимости и внутренний отчёт с уроками.

Инцидентный план: runbook для быстрой реакции

Шаг A: Создать тикет в системе инцидентов и назначить владельца (CISO или наим. ответств.).
Шаг B: Собрать артефакты: WHOIS, DNS-записи, скриншоты, лог HTTP-запросов.
Шаг C: Определить, есть ли фишинговая форма или вредоносный код. Если да — блокировать домен через регистратор и отправить злоумышленнику запрос на удаление.
Шаг D: Подать жалобу в регистратуру, WIPO или через юридический отдел.
Шаг E: Оповестить пользователей, если есть риск компрометации учётных записей или карт.
Шаг F: Внести изменения в мониторинг и запустить сканирование похожих доменов.

Ролевые чек-листы

Чек‑лист для CISO

Назначить владельца процесса по защите доменов.
Утвердить бюджет на мониторинг.
Проверить соответствие DMARC/SPF/DKIM.
Утвердить процедуру юридического обращения.

Чек‑лист для админа DNS

Включить DNSSEC.
Ограничить зоны с привилегиями записи.
Настроить автоматические оповещения о новых похожих доменах.

Чек‑лист для юридического отдела

Подготовить шаблоны претензий регистраторам.
Подготовить карточки по URS/UDRP процедурам.

Чек‑лист для маркетинга

Регистрировать вариации при запуске кампаний.
Обновлять списки брендов и ключевых фраз в инструментах мониторинга.

Мини‑методология для постоянного контроля

Идентифицировать критичные домены и торговые марки.
Сгенерировать список вероятных опечаток и поддоменов.
Настроить автоматический сканер (dnstwist или коммерческая альтернатива).
Получать ежедневные/еженедельные отчёты и быстро реагировать.
Проводить квартальные ревизии и обновлять список вариаций.

Решение в виде диаграммы: как реагировать

flowchart TD
  A[Обнаружили подозрительный домен] --> B{Видим фишинг или вред}
  B -- Да --> C[Собрать доказательства и артефакты]
  B -- Нет --> D[Оценить степень риска: реклама/паркинг]
  C --> E[Подать жалобу регистратору и в WIPO]
  D --> F[Оповестить маркетинг и мониторить]
  E --> G[Если не помогает — юрист и публичное уведомление]
  F --> H[Добавить в черный список и перенаправлять трафик]
  G --> I[Ретроспектива и обновление SOP]
  H --> I

Тесты и критерии приёмки для мониторинга

Тестовые случаи (пример):

TC‑01: Система должна выявлять домены с одиночной опечаткой в течение 24 часов после регистрации.
TC‑02: При обнаружении домена с фишинговой формой система должна создать тикет и оповестить почтой владельца.
TC‑03: DMARC политка не должна позволять внешним доменам маскироваться под бренд.

Критерии приёмки:

Время обнаружения менее 24 часов.
Автоматическое создание тикета и назначение ответственного.
Наличие плана по взаимодействию с регистратором.

Шаблоны и чек-листы (готовые таблицы)

Шаблон для приёма инцидента:

Поле	Значение
Дата/время обнаружения
Источник обнаружения
Подозрительный домен
WHOIS
Хостинг/провайдер
Формы на сайте
Вредоносный код	Да/Нет
Назначенный владелец

Шаблон письма регистратору:

Тема: Запрос на блокировку домена <подозрительный-домен>

Здравствуйте,

Мы представляем интересы торговой марки <Название>. Домен <подозрительный-домен> нарушает наши права и используется для фишинга/введения пользователей в заблуждение. Просим приостановить обслуживание домена и предоставить WHOIS-данные владельца.

Приложения: скриншоты, WHOIS, признаки фишинга.

С уважением,
<Юридический отдел>

Безопасность, жёсткая настройка и снижение риска

Минимизируйте публичный объём данных WHOIS.
Настройте политики блокировки доменов на уровне корпоративного DNS.
Используйте WAF (web application firewall) для защиты форм и входов.
Проводите регулярные сканы на наличие подозрительных редиректов.

Когда превентивные меры не работают: контрпримеры

Если злоумышленник регистрирует домен в зоне, где у вас нет интересов, юридические механизмы могут быть медленными и дорогостоящими.
Если домен быстро меняет регистратора и WHOIS скрыт, отслеживать владельца сложно.
Автоматические фильтры могут генерировать ложные срабатывания и отвлекать команду.

Важно: нужно сочетать технические, юридические и образовательные меры.

Приватность и соответствие регуляциям

Проверяйте локальные правила обработки персональных данных при сборе и хранении артефактов инцидента.
При уведомлении пострадавших держитесь законодательства о защите данных и корпоративных политик раскрытия.

Глоссарий — 1 строка на термин

DNS: система доменных имён, переводящая домены в IP.
WHOIS: публичная база данных, содержащая данные о владельцах доменов.
DMARC: политика почтовой аутентификации для предотвращения спуфинга.
UDRP/URS: процедуры разрешения споров по доменам через WIPO.

Часто задаваемые вопросы

Что делать, если пользователь сообщил о фишинговом сайте?

Немедленно собрать артефакты, изолировать домен и начать процедуру по блокировке/жалобе. Оповестите службу безопасности и юридический отдел.

Можно ли просто купить все вариации домена?

Практически невозможно и дорого. Рекомендуется покупать ключевые вариации и управлять рисками для остального при помощи мониторинга.

Поможет ли DMARC против typosquatting?

DMARC помогает предотвратить подделку писем от вашего домена, но не решает проблему похожих веб‑доменов. Это одна из мер в комплексе.

Резюме

Typosquatting — распространённая угроза, основанная на человеческих опечатках.
Защита включает регистрацию ключевых вариаций, техническую защиту DNS и почты, мониторинг и готовые процедуры реагирования.
Комбинация юридических мер, автоматического сканирования и обучения пользователей даёт наилучший результат.

Summary: внедрите мониторинг похожих доменов, настройте DMARC/DNSSEC, подготовьте SOP и регулярно обучайте команду.

Typosquatting: как работают доменные описки и как от них защититься