誤植域名

一個錯誤的網址可將用戶導向網絡黑客運營的網站。

誤植域名（Typosquatting），也稱作URL劫持，假URL等，是一種域名搶註的形式，常常會導致品牌劫持及釣魚式攻擊。這種劫持的方式通常有賴於用戶在瀏覽器中輸入網址時，犯下諸如錯誤拼寫等錯誤。用戶一旦不小心輸入了一個錯誤的網址，便有可能被導向任何一個其他的網址（比如說一個域名搶註者運營的網站）^[1]

域名搶註者的網址通常以下列五種形式出現，通常都與被仿造的網址類似（以Example.com為例）：

目標網站網址的常見的拼寫錯誤，或其外語拼寫方式：exemple.com
一個拼寫錯誤：examlpe.com
用詞不同的域名：examples.com
一個不同的頂級域名：example.org
對於國家和地區頂級域名的濫用：用.cm來註冊example.cm，或者.co來註冊example.co。用戶如果沒有輸入.com中的「o」或者「m」就會被導向假URL所在的網站。

在域名搶註者所註冊的網站裡，用戶也有可能被類似的網頁標誌、網頁排版或網站內容所欺騙，以為自己在正確的網站中。

動機

域名搶註者通常會因為以下種種原因去購買一個誤植的域名：

為了將原域名賣給品牌所有者
為了得到目標域名的每點擊付費的流量
為了將誤植帶來的流量重定向至一個競爭對手的域名
為了將誤植帶來的流量通過一個有裙帶關係的鏈接重定向至品牌自身，並因此獲得品牌所有者付給裙帶關係項目的佣金
為了以釣魚的手法試圖騙取用戶的密碼^[2]
為了在用戶的設備上安裝惡意軟件或者能夠獲利的廣告軟件
為了獲取因為拼寫錯誤而送至誤植域名的電子郵件
為了防止域名被其他人惡意利用
為了向用戶傳播網絡色情
為了表達一個與目標網站不同的觀點
為了發動分佈式阻斷服務攻擊（DDoS）

例子

從歌手到明星運動員，知名人士也常常註冊那些屬於自己的域名。一個著名的例子是籃球運動員德克·諾維茨基的URDP域名：DirkSwish.com，^[3]以及女演員伊娃·朗歌莉亞的URDP域名：EvaLongoria.org。^[4]

包括Verizon、漢莎航空、樂高在內的許多公司都曾因積極打擊誤植域名而聞名。比如樂高已經通過UDRP（英語：Uniform Domain-Name Dispute-Resolution Policy）在309個案例上花費了500,000美元。^[5]2006年至2008年間曾有過一個搶註的谷歌的域名「Goggle.com」。^[6]訪問該網站將導致不同的計算機病毒或其他惡意軟件被自動下載到計算機中，包括SpySheriff（英語：SpySheriff），一個流氓軟件。如今這個網站被用來做亞馬遜列表的分類。另一個企業搶註域名「yuube.com」則瞄準了YouTube的用戶，將網頁重定向至一個惡意網站。^[7]類似地，www.airfrance.com的域名也遭「www.arifrance.com」的域名誤植，後者將用戶導向一個打折旅行的網站。^[8]試圖訪問網頁遊戲Agar.io的人們則可能將其錯拼為「agor.io」。訪問後者會遇到一個突發驚嚇，或者是一個互聯網上流行的Creepypasta「傑夫殺手」快速閃現並發出一些很大的噪音。

還有「Equifacks.com」（實為Equifax.com），「Experianne.com」（實為Experian（英語：Experian）.com），以及「TramsOnion.com」（實為TransUnion（英語：TransUnion）.com）等。這些域名由喜劇演員約翰·奧利弗為其表演約翰奧利佛之昔日新聞報報所註冊。^[9]

WIPO解決程序

按照Uniform Domain-Name Dispute-Resolution Policy（英語：Uniform Domain-Name Dispute-Resolution Policy）（UDRP），商標所有者可向世界知識產權組織（WIPO）以誤植域名（以及域名搶註）為由提起抗議。^[8]抗議中須明確指出，被搶註的域名與受害方所擁有的商標完全相同或容易混淆（英語：Confusing similarity），註冊者對域名沒有合法的需求，並且該域名被惡意（英語：bad faith）使用。^[8]

參考資料

^ Microsoft Strider project with screenshots of typosquatted domains. Research.microsoft.com. [2012-03-09]. （原始內容存檔於2012-03-07）.
^ 'Typosquatting': How 1 mistyped letter could lead to ID theft. Bankrate. [2016-01-14]. （原始內容存檔於2016-01-29）.
^ Internet. Domain Name Wire. 2011-09-12 [2017-03-19]. （原始內容存檔於2017-03-20）.
^ Internet. Domain Name Wire. 2011-05-05 [2017-03-19]. （原始內容存檔於2017-03-20）.
^ Internet. Domain Name Wire. 2011-11-01 [2017-03-19]. （原始內容存檔於2016-10-20）.
^ Allemann, Andrew. Google Wants to Take Down Goggle.com Web Site. Domain Name Wire. 2011-08-23 [2017-03-19]. （原始內容存檔於2017-03-20）.
^ Internet. The Times Of India. 2010-05-05 [2017-03-19]. （原始內容存檔於2016-09-22）.
^ ^8.0 ^8.1 ^8.2 Kelly M. Slavitt: Protecting Your Intellectual Property from Domain Name Typosquatters （頁面存檔備份，存於網際網路檔案館） (2004)
^ 存档副本. [2017-03-19]. （原始內容存檔於2017-03-12）.

[1] Microsoft Strider project with screenshots of typosquatted domains. Research.microsoft.com. [2012-03-09]. （原始內容存檔於2012-03-07）.

[2] 'Typosquatting': How 1 mistyped letter could lead to ID theft. Bankrate. [2016-01-14]. （原始內容存檔於2016-01-29）.

[3] Internet. Domain Name Wire. 2011-09-12 [2017-03-19]. （原始內容存檔於2017-03-20）.

[4] Internet. Domain Name Wire. 2011-05-05 [2017-03-19]. （原始內容存檔於2017-03-20）.

[5] Internet. Domain Name Wire. 2011-11-01 [2017-03-19]. （原始內容存檔於2016-10-20）.

[Goggle-6] Allemann, Andrew. Google Wants to Take Down Goggle.com Web Site. Domain Name Wire. 2011-08-23 [2017-03-19]. （原始內容存檔於2017-03-20）.

[7] Internet. The Times Of India. 2010-05-05 [2017-03-19]. （原始內容存檔於2016-09-22）.

[slavitt-8] 8.0 ^8.1 ^8.2 Kelly M. Slavitt: Protecting Your Intellectual Property from Domain Name Typosquatters （頁面存檔備份，存於網際網路檔案館） (2004)

[9] 存档副本. [2017-03-19]. （原始內容存檔於2017-03-12）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]