اگه از اون آدمایید که اسم سایتها رو مستقیم تو مرورگر تایپ میکنید، باید بدونید دیگه خیلی وقتا این کار اصلاً بیخطر نیست! یه تحقیق جدید نشون داده که اکثریت قریببهاتفاق دامنههای “پارک شده”—یعنی همون دامینهایی که منقضی شدن یا کسی فعلا فعالشون نکرده یا شبیه دامنههای معروف ولی با غلط املایی هستن—دیگه رسماً دارن کارشون رو کردن پاتوق انواع کلاهبرداریها و ویروسها و تبلیغات مزخرف.
داستان چطوریه؟ فرض کنید یکی مثل من موقع تایپ اسم “gmail.com”، یه اشتباه کوچیک کنه و بزنه “gmai.com”. خب قبلاً وقتی اشتباه میکردیم و به یه دامنه پارک شده میرسیدیم، معمولا یه صفحه ساده باز میشد که تهش چند تا لینک تبلیغاتی بود و زیاد خطرناک نبود. ولی الان ماجرا برعکس شده! تحقیق شرکت امنیتی Infoblox میگه الان دیگه بالای ۹۰ درصد این دامنهها آدم رو میفرستن سمت سایتهایی که یا کلاهبرداریان، یا نرمافزار تقلبی ضدویروس میفروشن، یا مستقیم میخوان یه ویروس بندازن تو گوشی یا کامپیوترت.
اصلاً دامنه پارکشده یعنی چی؟ یعنی دامنههایی که مالکشون فعلا کاری باهاشون نداره یا منقضی شدن و معمولاً شرکتهایی هستن که این دامنهها رو روی سرور خودشون پارک میکنن و با ترافیکش پول درمیارن و واسه هر کلیک مبلغی میگیرن. ولی الان این شرکتها خیلی وقتا خودشون هم نمیدونن وقتی کلیک رو میفروشن، چند تا دست میچرخه و آخرش اون بازدیدکننده بینوا کجا میره!
دوباره برگردیم سر مثال misspelled domainها (یعنی دامنههایی که با یه غلط املایی نوشته شدن، واسه سوءاستفاده). مثلاً “scotaibank.com” که فقط یه حرف جابجاست ولی خیلیا موقع تایپ اینترنت بانک Scotiabank این اشتباه رو میکنن. اگه از یه اینترنت خونگی وصل باشی و همچین اشتباهی پیش بیاد، اون صفحه پارکشده سریع آدم رو پرت میکنه سمت سایتای خطرناک و دوز و کلک! اما جالبه اگه با یه VPN (یعنی ابزار تغییر IP که اجازه میده مخفی بمونید) وصل باشی، همون صفحه پارکشده، بیخطر بالا میاد! انگار فقط دنبال کاربرای عادی هستن که بتونن قاپ بزنن.
یکی از جالبترین قسمتهای گزارش اینه که مالکان این دامنههای پارک شده، مثل همونی که “scotaibank.com” رو داره، معمولاً یه کلکسیون کلی دامنهی مشابه دارن. مثلاً طرف نزدیک سههزار دامنه شبیه سایتای معروف رو پارک کرده، از “gmai.com” بیحرفِ L بگیر تا اسمهایی شبیه “Craigslist”، “YouTube”، “Google”، “Wikipedia”، “Netflix”، “TripAdvisor”، “Yahoo”، “eBay” و “Microsoft”! حتی بعضیا رو جوری تنظیم کردن که اگه کسی مثلاً اشتباهی به یه ایمیل تو “gmai.com” بزنه، اون ایمیل بره واسه این کلاهبردارها نه اینکه برگرده یا پاک بشه. این تکنیک رو بهش میگن Business Email Compromise یا همون “حمله جعل ایمیل تجاری”؛ یعنی یه نامه با پیوست آلوده میفرستن و میگن پرداختت انجام نشده و بیا این فایلو باز کن.
حالا چجوری کار میکنه این شبکه؟ وقتی شما از اینترنت معمولی و خونه قصد ورود به این دامنهها رو داشته باشی، یه زنجیره از ریدایرکتها (یعنی انتقالهای ناگهانی به سایتهای مختلف) رخ میده. هر مرحله دستگاه شما رو پروفایل میکنن؛ یعنی با اطلاعات IP، نوع دیوایس و کوکیها چک میکنن ببینن کی هستید و ارزش دارید یا نه! اگه دیدن ارزش داره دایرکت میفرستنت سمت یه سایت مخرب، اگه نه هم شاید یه صفحه بیخاصیت مثل آمازون نشون بدن تا ضایع نشن.
یکی دیگه از روشهای کلاهبرداری با دامنههای مشابه سرورهای مشهور مثل گودَدی (GoDaddy) هست. مثلاً دامنهای ساخته شده به اسم “domaincntrol.com” که فقط یه کاراکتر با اصلی فرق داره! سالهاست از اشتباه تایپی تو تنظیمات DNS (همون سیستمی که آدرس سایت رو به IP تبدیل میکنه) سوءاستفاده میشه تا ملت رو بفرستن سراغ سایتهای مخرب. تازه جالب اینجاست که فقط کاربرای سرویسهایی مثل DNSهای کلادفلر (Cloudflare) که خودش شبکه سریع اینترنتیه ممکنه برن سمت اون دامنه مخرب، بقیه رو صفحه اصلاً باز نمیشه.
تازه مگه فقط سایتای تجاری رو هدف گرفتن؟ حتی دامنههای خیلی شبیه سایتهای دولتی و حساس مثل مرکز شکایتهای جرائم اینترنتی افبیآی (FBI IC3) هم مورد حملهان. مثلا یکی از محققای Infoblox وقتی به اشتباه آدرس ic3.org رو زد به جای ic3.gov، گوشی طرف سریع ریدایرکت شد به یه صفحه جعلی که مثلاً نوشته «اشتراک درایو شما منقضی شده» و دنبال کلاهبرداری بود. گاهی بدتر، ممکن بود به یه ویروس دزد اطلاعات یا تروجان بندازنت!
طبق این تحقیق، برخلاف ادعای شرکتهایی که ترافیک این دامنهها رو میفروشن و میگن فقط با بهترین آگهیدهندهها کار میکنیم، تو عمل این ترافیک چند مرحله میچرخه و میرسه دست شبکههای کلاهبرداری و آگهیدهندههایی که اصلاً ارتباطی با اون شرکت پارک دامنه ندارن.
یک نکته جالب دیگه اینکه گوگل چند وقت پیش توی سیاستهای Adsense (سیستم نمایش تبلیغ خودش) یه تغییر داده؛ قبلاً نمایش تبلیغ تو دامنههای پارکشده به طور پیشفرض فعال بود، ولی از ۲۰۲۵ به بعد، این آپشن غیر فعال شده و اگه کسی بخواد هنوز تو چنین سایتایی تبلیغ بده، باید خودش دستی فعالش کنه. همین تغییر ظاهراً باعث شده تعداد تبلیغات سالم کمتر بشه و دست کلاهبردارها بیشتر باز بشه.
پس جمعبندی رفیق! اگه جزو کسایی هستی که اسم سایتو دستی تایپ میکنی، خیلی باید حواست باشه. یه اشتباه کوچیک تو تایپ میتونه تو رو بندازه تو دام کلاهبردارها یا ویروسهایی که دنبال طعمه میگردن. مخصوصاً تو دامینهایی که بهشون بیتوجهی شده یا شبیه اسم اصلی ولی یه کاراکتر فرق داره. بهترین کار اینه که همیشه با دقت تایپ کنی و اگه تونستی، از VPN هم استفاده کنی که عاقلانهترین کار تو این اوضاعه. همیشه حواست به کلاهبردارها باشه!
منبع: +
