Typosquatting

Cílem tohoto postupu je zneužít přirozených lidských chyb při zadávání internetových adres a přesměrovat nic netušící návštěvníky na podvodné weby, sloužící k různým škodlivým účelům. 

Termín „typosquatting“ vznikl spojením slov „typo“ (v moderním kontextu jde o zkratku pro „typographical error“ neboli „typografickou chybu“, tedy překlep vznikající při psaní na klávesnici) a „squatting“ (neoprávněné zabírání či obsazování cizího majetku, nejčastěji nemovitostí). Ještě dříve ale vznikl výraz „cybersquatting“, který označuje neoprávněné registrování doménových jmen obsahujících ochranné známky firem, produktů či služeb nebo jména známých osobností s úmyslem je později prodat za vysokou cenu skutečným vlastníkům. Typosquatting tedy představuje specializovanou variantu cybersquattingu, kdy se útočníci nespoléhají na přímé kopírování známých jmen, ale na systematické zneužívání lidských chyb při psaní.  

Vývoj typosquattingu 

Fenomén typosquattingu vznikl současně s komercionalizací internetu v polovině devadesátých let dvacátého století. První dokumentované případy se objevily poté, co se internet stal široce dostupným veřejnosti a doménová jména začala nabývat komerční hodnoty. Nejranější příklady zahrnovaly jednoduché varianty populárních značek, u nichž útočníci spekulovali na překlepy uživatelů při ručním zadávání webových adres. 

Zásadním milníkem typosquattingu byl případ domény „goggle.com“ z roku 2006, kdy byla tato překlepová varianta „google.com“ využita k distribuci malwaru prostřednictvím automatického stažení při pouhé návštěvě dané webové stránky (tzv. drive-by download útok). Tento incident ukázal potenciál typosquattingu jako nástroje pro masivní kybernetické útoky a vedl ke zvýšené pozornosti bezpečnostních expertů. 

S rozvojem internetu se technika typosquattingu dále zdokonalovala. Výzkum Palo Alto Networks z roku 2019 odhalil přibližně 13 857 překlepových domén zaměřených na 500 nejnavštěvovanějších webových stránek na světě. Během pandemie covidu-19 se počet registrovaných překlepových domén dramaticky zvýšil – jen od prosince 2019 bylo identifikováno více než 150 000 doménových jmen souvisejících s pandemií. 

Technické aspekty typosquattingu 

Typosquatting systematicky zneužívá nejčastější typy překlepů a chyb, kterých se lidé dopouštějí při zadávání webových adres. Základní kategorie zahrnují vynechání písmen, kdy je například z „google.com“ vytvořena varianta „gogle.com“, přehození sousedních písmen jako v případě „gogole.com“ či záměnu podobně vypadajících znaků, například nahrazení malého písmene „l“ velkým „I“. 

Pokročilejší formy využívají mezinárodní doménová jména a homografické útoky. Tyto útoky zneužívají toho, že mnoho různých znaků vypadá podobně. Například cyrilské, řecké a latinské abecedy obsahují písmeno „o“, které má stejný tvar, ale představuje různé zvuky nebo fonémy v příslušných písemných systémech. Útočníci tak mohou vytvořit domény jako „xn--pple-43d.com“ (což je reprezentace adresy „аpple.com“ s cyrilským „а“ místo latinského „a“). 

Specifickou technikou typosquattingu je levelsquatting, kdy útočník vkládá důvěryhodně vypadající doménu jako subdoménu do své vlastní domény, aby zmátl uživatele. Příkladem takové domény je „login.microsoft.com.secure-site.net“ – uživatel nabude dojmu, že se připojuje k bezpečné přihlašovací stránce na doméně „microsoft.com“, ale ve skutečnosti je přesměrován na podvodný web. 

Způsoby zneužití typosquattingu 

Útočníci registrují překlepové domény z různých důvodů, ale ve výsledku je jejich motivací téměř vždy finanční zisk. Vyloučit však nelze například ani geopolitické motivy. Nejčastější způsoby zneužití zahrnují podvodné napodobování legitimních webů za účelem krádeže přihlašovacích nebo osobních údajů prostřednictvím phishingu. 

Další významnou kategorii tvoří zneužití známých domén pro distribuci malwaru, kdy pouhá návštěva překlepové stránky může vést k automatickému stažení škodlivého softwaru bez vědomí uživatele. Tento typ útoku, označovaný jako drive-by download, představuje zvláště sofistikovanou a nebezpečnou formu typosquattingu. 

Někteří útočníci využívají překlepové domény k vydělávání peněz prostřednictvím reklam nebo přesměrování návštěvníků na konkurenční weby za účelem zisku z affiliate programů. Existují také případy, kdy tyto domény slouží k vyjádření názorů odlišných od původního webu nebo k poškození pověsti známé značky. 

Typosquatting v dodavatelském řetězci softwaru 

Moderní formy typosquattingu se rozšířily také do oblasti vývoje softwaru a správy softwarových balíčků. Útočníci vytvářejí škodlivé balíčky, které se velmi podobají těm legitimním, a následně je nahrávají například do NPM repozitáře (centrální úložiště balíčků pro JavaScript). Tento druh útoku cílí na nedostatečnou znalost vývojářských frameworků a vytváří komponenty, které na první pohled působí zdáním legitimity, ale ve skutečnosti obsahují škodlivý kód. 

Například v říjnu 2024 byla odhalena rozsáhlá kampaň cílící na vývojáře prostřednictvím stovek populárních javascriptových knihoven se souhrnným počtem desítek milionů stažení týdně. Tato kampaň využívala pro řízení a kontrolu blockchainovou technologii, což představuje nový přístup k NPM útokům na dodavatelský řetězec. 

Současné útoky na dodavatelský řetězec cílí i na ekosystém Solana, kde útočníci publikují škodlivé balíčky na PyPI a npm. Tyto balíčky využívají techniky jako typosquatting a transitive dependency injection k exfiltraci citlivých dat – zejména privátních klíčů k peněženkám – a jejich odeslání na externí servery. Ukazuje se, že typosquatting se vyvinul z jednoduchého podvodu na sofistikovanou formu útoku na kritickou vývojářskou infrastrukturu. 

Typosquatting a kybernetická bezpečnost 

Typosquatting představuje významnou součást širšího spektra kybernetických hrozeb, především proto, že je často kombinován s dalšími technikami jako sociální inženýrství nebo phishing. Útočníci také nezřídka kombinují typosquatting s distribucí malwaru, útoky na dodavatelský řetězec nebo pokročilými perzistentními hrozbami (APT). Typosquatting přitom může sloužit jako vstupní bod pro rozsáhlejší kompromitace systémů. 

Efektivní obrana proti typosquattingu vyžaduje technická opatření na úrovni DNS, implementaci bezpečnostních politik v organizacích, pravidelné školení uživatelů a aktivní monitoring registrací podezřelých domén. Na úrovni DNS lze provádět například DNS filtering (blokování přístupu k doménám, které jsou známé jako škodlivé nebo podezřelé, s využitím databáze a heuristiky k identifikaci typosquattingových domén) a monitoring podobných domén a subdomén. Technologie DNSSEC (Domain Name System Security Extensions) zajišťuje integritu a ověření původu odpovědí DNS serverů, což sice nezabrání typosquattingu, ale poskytuje to ochranu před přesměrováním na podvodné DNS servery. Současně je také nezbytné zobrazit si v internetovém prohlížeči či e-mailu skutečně celou adresu, aby bylo jasné, že nejde o levelsquatting. 

Typosquattingu a obecně cybersquattingu lze čelit i legislativními prostředky. Ve Spojených státech byl v roce 1999 přijat zákon Anticybersquatting Consumer Protection Act (ACPA), který chrání vlastníky ochranných známek před cybersquattingem. ACPA umožňuje vlastníkům ochranných známek podniknout právní kroky proti osobám, které si v nepoctivém úmyslu zaregistrovaly doménová jména shodná nebo zaměnitelně podobná s jejich ochrannou známkou nebo jejich ochrannou známku znehodnocují (například zneužitím její pověsti). 

V rámci Evropské unie ani v České republice neexistují specifické zákony o cybersquattingu nebo typosquattingu, nicméně bránit se proti zneužití značky v doménovém jménu umožňuje zákon o ochranných známkách (č. 441/2003 Sb.), případně občanský zákoník, který řeší i ochranu dobré pověsti a nekalou soutěž. Spory o domény s koncovkou .cz řeší sdružení CZ.NIC, správce české národní domény. 

Na mezinárodní úrovni existuje Jednotná politika pro řešení sporů o doménová jména (Uniform Domain-Name Dispute-Resolution Policy – UDRP), kterou v roce 1999 přijala organizace ICANN (nezisková mezinárodní organizace, která má na starosti koordinaci globálního systému doménových jmen). Odvolání se na UDRP umožňuje vlastníkům ochranných známek napadnout doménová jména, která byla zaregistrována ve zlém úmyslu a jsou zaměnitelně podobná jejich značce. Jedinou dostupnou nápravou je vzdání se doménového jména, zatímco držitel ochranné známky žalující podle ACPA může mít také nárok na náhradu skutečné nebo zákonné škody a případně na náhradu nákladů na právní služby. 

Budoucí vývoj typosquattingu 

Typosquatting se v posledních letech významně vyvíjel. Dnes využívá pokročilé techniky včetně umělé inteligence pro vytváření přesvědčivějších podvodných webů a automatizaci procesu registrace domén. 

Moderní technologie ale pomáhají také na straně obránců, zejména v podobě pokročilých detekčních systémů založených na strojovém učení. Situaci může zlepšit rovněž zavedení přísnějších pravidel registrace domén a zvýšení povědomí uživatelů o této hrozbě. Důležitou roli hrají i poskytovatelé DNS služeb, kteří implementují ochranné mechanismy na úrovni infrastruktury.