Typosquatting (z anglického typo = překlep + squatting = zabrání) je technika, kdy útočník registruje doménu lišící se od pravé o jeden nebo dva znaky — nahrazuje O za 0, l za 1, přidává pomlčku, používá jinou TLD (.com místo .cz). Když uživatel udělá překlep, dostane se na podvrženou kopii oficiální stránky a zadá tam přihlašovací údaje. Útok je sice pasivní (čeká na chybu), ale cílí na statisíce návštěv denně velkých českých portálů.

Jak to funguje

Útočník zaregistruje sadu typo-domén k cílové stránce: csob.cz → cs0b.cz, csob.com, csobb.cz, c-sob.cz. Vytvoří kopii původní stránky (často včetně přihlašovacího formuláře). Když oběť napíše chybou doménu, vidí stránku, která vypadá identicky s originálem — zadá údaje, které jdou útočníkovi. Některé typo-domény se používají i pro phishing v e-mailech (cílí na rychlé přečtení adresy).

Jak to rozpoznat

  • URL v adresním řádku je o jedno písmeno jiná než pravá (kontrolovat každý znak).
  • Stránka vypadá identicky, ale chybí drobné prvky (statické bannery, čerstvý content).
  • Prohlížeč varuje před neplatným SSL certifikátem — typo-domény často nemají platný cert.
  • Doména používá jinou TLD než obvykle (csob.com místo csob.cz).
  • Některé znaky vypadají identicky (cyrilice а vs latinka a) — IDN homograph útok.
Reklama

Co dělat

  1. Bookmarkujte si oficiální adresy bank a důležitých služeb — neopisujte URL.
  2. Pro internet banking používejte oficiální mobilní aplikaci — tam typosquatting nefunguje.
  3. Vždy kontrolujte SSL certifikát — kliknutím na zámek vidíte, kdo certifikát vystavil. Banka má cert na své pravé jméno.
  4. Pokud jste zadali heslo na typo-doménu, OKAMŽITĚ ho změňte v pravém systému.
  5. Hlaste typo-domény registrátorovi (CZ.NIC pro .cz) a NÚKIB.

Situace v SR

CZ.NIC vede databázi nahlášených typo-domén — cz-nic.cz/dnssec poskytuje seznam k blokaci. Velké banky (ČSOB, KB) preventivně registrují typo varianty svých domén, aby je útočníci nezískali. Občas se objeví i podvržené státní stránky (mojedanecz, mojedaneonline.cz vs mojedane.cz) — finanční správa opakovaně varuje.

Reklama

Časté otázky

Jak chránit firmu před typosquatting?

1) Registrujte preventivně typo varianty své domény (ne všechny, ale nejzřejmější). 2) Implementujte SPF/DKIM/DMARC. 3) Sledujte WHOIS změny v okolí své domény. 4) Pokud najdete podvrženou kopii, hlaste registrátorovi a hostingu — typicky se odstraní do 24-48 hodin.

Co je IDN homograph útok?

Útočník registruje doménu s znaky z jiných abeced, které vypadají identicky s latinkou (cyrilické а, о namísto latinského a, o). Vizuálně URL vypadá stejně, ale směřuje úplně jinam. Moderní prohlížeče tyto domény označují speciálně, ale ne vždy.