Wat is typosquatting? - Definitie en uitleg

Typosquatting – betekenis en definitie

Typosquatting is een soort social engineering-aanval die mikt op internetgebruikers die geen zoekmachine gebruiken, maar een fout maken bij het intypen van een URL in hun webbrowser. Door het gebruik van verkeerd gespelde variaties van URL's van legitieme websites, worden nietsvermoedende gebruikers misleid tot het bezoeken van kwaadaardige websites. Ze komen dan op nepsites waar wordt geprobeerd gevoelige gegevens van de gebruiker te ontfutselen. Voor organisaties die het slachtoffer worden van deze aanvallers kunnen deze sites aanzienlijke reputatieschade opleveren.

De 'typo' in typosquatting verwijst naar de kleine fouten die mensen kunnen maken bij het typen op een toetsenbord. Andere benamingen voor typosquatting zijn URL-hijacking of nep-URL's.

Wat is typosquatting?

Typosquatting is een vorm van cybercriminaliteit waarbij hackers domeinen registreren en daarvoor bewust namen gebruiken die qua spelling lijken op namen van populaire websites. Zo willen ze nietsvermoedende bezoekers naar andere websites leiden voor kwaadwillende doeleinden. Bezoekers kunnen op twee manieren op deze andere websites terechtkomen:

1. Door per ongeluk een fout te maken bij het intypen van de naam van een populaire website in hun browser, bijvoorbeeld gooogle.com in plaats van google.com.
2. Door te worden misleid tot het bezoeken van de website als onderdeel van een phishingaanval.

Door het uiterlijk van legitieme sites na te bootsen, proberen hackers gebruikers ertoe te brengen persoonlijke informatie te verstrekken, zoals creditcard- of bankgegevens. Het kan ook gaan om goed-functionerende startpagina's met advertenties en pornografische content, die aanzienlijke inkomstenstromen genereren voor de eigenaren.

Niet alleen gebruikers, maar ook bedrijven kunnen last ondervinden van typosquatting. Elke bezoeker die hun website wil bezoeken maar ten prooi valt aan deze vorm van cybercriminaliteit is in potentie een verloren klant. Daarom moeten bedrijven en organisaties alert zijn op nepversies van hun website en zo nodig actie ondernemen.

Hoe werkt typosquatting?

Cybercriminelen kopen of registreren een domeinnaam die lijkt op die van een populaire website (sommige cybercriminelen kopen zelfs meerdere URL-varianten). In plaats van example.com, kopen ze bijvoorbeeld examplle.com of exmple.com.

Een typosquattingdomein wordt pas gevaarlijk wanneer echte gebruikers de site bezoeken. Waarschijnlijk omdat ze per ongeluk deze URL hebben ingetypt. Het is ook mogelijk dat ze via een phishingscam op de website zijn terechtgekomen. Meestal gebeurt dit via een e-mail met daarin een koppeling naar de nepsite.

Door onder andere het logo en de huisstijl van de echte organisatie te gebruiken, zorgen de hackers ervoor dat de site een goede imitatie is van de echte website. Gebruikers die niet in de gaten hebben dat ze een nepsite bezoeken, worden mogelijk misleid tot het invoeren van gevoelige informatie zoals hun gebruikersnaam en wachtwoord of hun bank- en creditcardgegevens. De hackers krijgen zo toegang tot die informatie. Als het slachtoffer dezelfde inloggegevens voor meerdere sites gebruikt, lopen ook andere onlineaccounts gevaar.

Typosquatting maakt gebruik van verwarring of menselijke fouten, zoals:

Typfouten:

Een typfout is misschien wel de meest gemaakte fout bij het invoeren van zoekgegevens, en met onze gehaaste levensstijl is deze zo gemaakt. Met name mensen die vaak snel en slordig typen of blindelings vertrouwen op autocorrectie kunnen zomaar terechtkomen op kwaadaardige websites, bijvoorbeeld wanneer ze gogle.com typen in plaats van google.com.

Spelfouten:

Soms heeft een gebruiker geen typfout gemaakt maar is hij of zij niet op de hoogte van de juiste spelling van een merknaam. Squatters weten dit maar al te goed. Daarom registreren veel bedrijven fout gespelde varianten op hun domeinnaam voordat anderen ermee aan de haal kunnen gaan. Deze fout gespelde versies worden vervolgens omgeleid naar hun echte homepage.

Alternatieve spellingswijzen:

Alternatieve spellingswijzen van gangbare productnamen of diensten kunnen internetgebruikers in verwarring brengen. Zo zijn er bijvoorbeeld verschillen tussen Amerikaans Engels en Brits Engels; de Britse variant van bijvoorbeeld 'favorite' is 'favourite'. Als jouw internetadres een woord bevat dat in andere landen anders wordt gespeld, kan een gebruiker per ongeluk de verkeerde URL in de browser typen.

Domeinen met koppelteken:

De toevoeging (of weglating) van een koppelteken in een domeinnaam kan ook verwarring veroorzaken. Als de URL bijvoorbeeld gewoonlijk example-onlineshop.com is, kunnen typosquatters een extra koppelteken toevoegen om gebruikers te misleiden. Zij gebruiken dan bijvoorbeeld example-online-shop.com. Onoplettende gebruikers denken dat dit de juiste site is, maar in werkelijkheid gebruiken typosquatters deze site voor malware- of advertentiedoeleinden.

Verkeerde domeinextensies:

Het grote scala aan domeinextensies voor verschillende landen, zoals .com, .co.uk, .nl enz, en ook voor verschillende soorten organisaties, zoals .com, .org, .web, .shop, biedt ook mogelijkheden voor typosquatting. Daarom is het belangrijk dat websiteoperators verschillende topleveldomeinen registreren om te voorkomen dat varianten op hun domeinnaam met een andere extensie in verkeerde handen vallen. Vooral de Colombiaanse extensie .co is in trek bij typosquatters, vanwege de gelijkenis met het meest voorkomende topleveldomein .com.

Soorten typosquatting

Meest voorkomende manieren waarop typosquatting wordt toegepast:

Imitators:

Zoals eerder uitgelegd, doet de nepwebsite zich hierbij voor als de echte site. Een site die een website van een bekende bank nabootst, zal gebruikmaken van het logo, de huisstijlkleuren en lay-out van die bank. Het doel van de imitatiesite is het verzamelen van inloggegevens en persoonlijke gegevens voor een phishingscam.

Bait-and-switch:

De nepwebsite pretendeert jou iets te verkopen wat ook op de echte website wordt aangeboden. Vaak gaat het om digitale aankopen die aan de hand van een creditcardafschrift lastig te betwisten zijn. De koper ontvangt niet het gewenste item, maar betaalt er wel voor.

Gerelateerde zoekresultaten:

De eigenaar gebruikt internetverkeer dat voor de echte site was bedoeld om internetverkeer naar concurrenten te sturen, en brengt die concurrenten hiervoor kosten in rekening op basis van 'kosten per klik'.

Geld verdienen aan internetverkeer:

Eigenaren van nepwebsites hosten advertenties of pop-ups om advertentie-inkomsten te genereren uit websitebezoeken.

Enquêtes en winacties:

De nepwebsite doet alsof deze feedback van klanten verzamelt. In werkelijkheid is het doel om voldoende gegevens of informatie te verkrijgen voor identiteitsdiefstal.

Affiliate-links:

Via affiliate-links herleidt de nepsite internetverkeer terug naar het merk om zo een provisie te verdienen op alle aankopen die via de legitieme affiliateprogramma's van het merk plaatsvinden.

Malware installeren:

De kwaadaardige website installeert malware of adware op de apparaten van bezoekers.

Fopsites:

Deze sites drijven de spot met de bestaande site die de gebruiker had willen bezoeken. Vaak is wraak het achterliggende motief.

Cybersquatting vs. typosquatting

Een vorm van cybercriminaliteit die lijkt op typosquatting is cybersquatting, ook wel domeinsquatting genoemd. Hierbij koopt iemand URL's die qua spelling lijken op die van andere websites en merken. De intentie is doorgaans niet om een website onder te brengen op dat adres, maar om de URL's voor veel geld te verkopen aan de eigenaren van de echte websites en merken.

Om hun klanten en merken te beschermen, voelen veel bedrijven zich gedwongen om de URL's te kopen van deze cybersquatters, waarbij ze vaak bereid zijn een hoge prijs te betalen. Cybersquatting is op die manier een lucratieve handel; de kosten voor het registreren van domeinen zijn voor de meeste topleveldomeinen immers gering.

Cybersquatters willen snel geld verdienen. Typosquatters gaan verder door te willen inbreken in iemands computer, waardoor het slachtoffer kwetsbaar wordt voor identiteitsfraude een beveiligingsinbreuken.

Een variant op typosquatting is combosquatting. Hiervan is sprake wanneer criminelen domeinen registreren die erg lijken op legitieme domeinen door extra woorden toe te voegen, zoals amazon-onlineshop.com. Op die manier willen ze bezoekers doen geloven dat het om een legitieme Amazon-website gaat. Gebruikers worden dus niet misleid op basis van typfouten maar door de aanwezigheid van extra woorden.

Voorbeelden van typosquatting

Bij een van de eerste en bekendste typosquattingaanvallen was Google betrokken. In 2006 legden typosquatters de site Goggle.com vast, die werd gebruikt als phishingsite. Door de jaren heen zijn meerdere variaties op de naam Google geregistreerd, zoals foogle, hoogle, boogle, yoogle (allemaal gekozen vanwege de nabijheid van de letter 'g' op het qwerty-toetsenbord), in een poging om een deel van het internetverkeer weg te leiden van de zoekmachine.

Ook beroemdheden als Madonna, Paris Hilton en Jennifer Lopez zijn in het verleden slachtoffer geworden van typosquattingdomeinen. Variaties op hun namen werden gebruikt voor het registreren van domeinnamen van websites met pornografische content, advertenties of affiliate-links. Nietsvermoedende fans werden zo om de tuin geleid.

In aanloop naar de Amerikaanse presidentsverkiezingen van 2020 werd bekendgemaakt dat criminelen op naam van een aantal kandidaten typosquattingdomeinen hadden opgezet. De kwaadaardige motieven hiervoor liepen uiteen.

Bescherming tegen typosquatting

Er zijn verschillende manieren om het risico om slachtoffer te worden van typosquatting te beperken:

• Klik niet op koppelingen in onverwachte e-mails, tekstberichten, chatberichten of op onbekende websites. Wees behoedzaam bij het klikken op links op sociale media; bij twijfel niet klikken.
• Open alleen e-mailbijlagen als je zeker weet waar deze vandaan komt en wie de afzender is.
• Gebruik antivirussoftware ter bescherming tegen malware. Een uitgebreid cybersecurity-programma zoals Kaspersky Total Security helpt bij het detecteren van alle soorten bedreigingen en biedt bescherming tegen malware.
• Beweeg met je muis over koppelingen en controleer eerst de URL's voordat je erop klikt. Let bij het controleren van koppelingen op ontbrekende of extra letters/woorden, onjuiste spelling, koppeltekens en op het achtervoegsel van de URL (bijvoorbeeld google.com vs. google.mailru.co).
  
• Zet de sites de je vaak bezoekt in je Favorieten zodat je ze rechtstreeks kunt openen zonder dat je de URL in de browser hoeft te typen.
• Je kunt de gewenste website ook openen door deze via een zoekmachine op te zoeken en te klikken op de URL in de zoekresultaten.
• Gebruik stemherkenningssoftware om populaire URL's te bezoeken.
• Laat sommige of alle websites die je dagelijks bezoekt openstaan in je browser. De meeste browsers bieden de optie om deze sites bij het eerstvolgende gebruik van de browser automatisch te laden of om een aantal sites op te geven die telkens automatisch worden geladen.
• Gebruik een veilige zoekmachine in plaats van handmatig URL's in te typen.

Voor organisaties geldt dat zij er slim aan doen om typosquattingaanvallen voor te zijn:

Registreer verschillend gespelde versies van jouw domein voordat squatters dit doen

Koop belangrijke en fout gespelde domeinen en leid deze om naar je website. Registreer daarnaast ook andere landenextensies en andere relevante topleveldomeinen, spellingsvarianten en varianten met en zonder koppeltekens. Wanneer deze zijn geregistreerd, kunnen fout gespelde domeinen met behulp van omleidingen gemakkelijk worden herleid naar de juiste website.

Gebruik de monitoringservice van ICANN

ICANN staat voor Internet Corporation for Assigned Names and Numbers. Via Trademark Clearing House van ICANN kunnen website-eigenaren achterhalen hoe hun namen in verschillende domeinen worden gebruikt. Deze service is beschikbaar voor zowel nationaal als internationaal geregistreerde merken.

Gebruik SSL-certificaten om betrouwbaar over te komen

SSL-certificaten vormen een uitstekende manier om te kennen te geven dat jouw website legitiem is. Deze certificaten tonen de eindgebruiker met wie hij is verbonden en bieden bescherming bij het verzenden van gebruikersgegevens. Een ontbrekend SSL-certificaat kan erop duiden dat je naar een andere website bent geleid.

Breng belanghebbenden op de hoogte

Als jij het vermoeden hebt dat iemand zich voordoet als jouw organisatie of hiertoe voorbereidingen treft, meld dit dan aan je klanten, personeel en andere relevante partijen, zodat zij weten dat ze alert moeten zijn op verdachte e-mails of een phishingwebsite.

Zorg dat verdachte websites of mailservers buiten werking worden gesteld

Hoe je een website offline haalt, verschilt per rechtsgebied, maar het is sowieso slim om eerst het Uniform Domain Name Dispute Resolution Policy van ICANN te raadplegen. Hierin wordt uitgelegd hoe merkhouders klachten kunnen indienen om betwiste sites te verwijderen.

Hoewel de wetgeving in de VS en andere rechtsgebieden kan helpen om websites te beschermen tegen typosquatters, kost een rechtszaak veel tijd en energie waardoor dit een kostbare aangelegenheid kan worden. Daarom is het zeer raadzaam om preventieve maatregelen te nemen om te voorkomen dat jouw site het doelwit wordt van typosquatting. Net als bij andere cyberaanvallen, is voortdurende waakzaamheid de sleutel tot het voorkomen van typosquatting. Jouw websitebezoekers vertrouwen erop dat jij nepsites die onder jouw naam opereren, identificeert en verwijdert. Doe je dit niet, dan raak je wellicht hun vertrouwen kwijt.

Gerelateerde artikelen:

• Wat zijn SSL-certificaten?
• Wat zijn de verschillende typen ransomware?
• Manieren waarop hackers je online privacy kunnen schenden
• Wat zijn scamsites en hoe vermijd je scamsites?