Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Повеќето паркирани домени сега нудат злонамерна содржина

Објавено: 18.12.2025

Директната навигација — односно посетување веб-страница со рачно внесување на домен во интернет-прелистувач — никогаш не била поризична. Ново истражување покажува дека огромното мнозинство „паркирани“ домени — најчесто истечени или неактивни доменски имиња, како и чести погрешни написи на популарни веб-страници — сега се конфигурирани да ги пренасочуваат посетителите кон страници што пласираат измами и малициозен софтвер.

Домен што личи на веб-страницата на FBI Internet Crime Complaint Center прикажа неопасна паркирана страница (лево), додека мобилен корисник беше веднаш пренасочен кон измамничка содржина во октомври 2025 година (десно).

Кога интернет-корисниците се обидуваат да посетат истечени доменски имиња или случајно навигираат кон сличен „typosquatting“ домен (домен со намерна или случајна правописна грешка), тие обично се пренасочуваат кон placeholder страница на компанија за паркирање домени. Овие компании се обидуваат да го монетизираат „залутаниот“ сообраќај со прикажување линкови до различни веб-страници од трети страни, кои платиле нивните линкови да бидат прикажани.

Пред една деценија, завршувањето на ваков паркиран домен носеше релативно мал ризик од пренасочување кон малициозна дестинација. Во 2014 година, истражувачи открија (PDF) дека паркираните домени ги пренасочувале корисниците кон малициозни страници во помалку од пет проценти од случаите — без разлика дали посетителот кликнал на некој линк на паркираната страница или не.

Но, во серија експерименти спроведени во последните неколку месеци, истражувачите од безбедносната компанија Infoblox велат дека откриле оти ситуацијата сега е целосно обратна и дека малициозната содржина е правило, а не исклучок кај паркираните веб-страници.

„Во експерименти од голем обем, откривме дека во над 90% од случаите, посетителите на паркиран домен беа пренасочени кон нелегална содржина, измами, scareware и претплати за антивирусен софтвер, или кон малициозен софтвер, при што ‘кликот’ беше продаден од компанијата за паркирање на огласувачи, кои често тој сообраќај го препродаваа на уште некоја трета страна“, напишаа истражувачите од Infoblox во труд објавен денес.

Infoblox откри дека паркираните веб-страници се безопасни ако посетителот пристапува преку VPN или преку нерезиденцијална IP-адреса. На пример, корисници на Scotiabank.com кои по грешка ќе го напишат доменот како scotaibank[.]com ќе видат нормална паркирана страница ако користат VPN, но ќе бидат пренасочени кон страница што се обидува да наметне измами, малициозен софтвер или друга несакана содржина ако пристапуваат од резиденцијална IP-адреса. Ова пренасочување се случува само со самата посета на погрешно напишаниот домен, без разлика дали корисникот е на мобилен уред или десктоп компјутер со резиденцијална IP-адреса.

Според Infoblox, лицето или ентитетот што го поседува scotaibank[.]com има портфолио од речиси 3.000 слични домени, вклучувајќи го и gmai[.]com, кој е конфигуриран со сопствен mail сервер за примање дојдовни е-пораки. Тоа значи дека ако испратите е-пошта до корисник на Gmail и по грешка го испуштите буквата „l“ од „gmail.com“, пораката не исчезнува ниту враќа error-одговор — туку оди директно кај овие измамници. Во извештајот се наведува дека овој домен бил користен и во повеќе неодамнешни кампањи за business email compromise, со мамка за неуспешна уплата и прикачен тројански малициозен софтвер.

Infoblox утврди дека овој конкретен сопственик на домени (идентификуван преку заеднички DNS сервер — torresdns[.]com) има поставено typosquatting домени насочени кон десетици најпопуларни интернет дестинации, меѓу кои Craigslist, YouTube, Google, Wikipedia, Netflix, TripAdvisor, Yahoo, eBay и Microsoft. „Обезопасена“ листа од овие typosquatting домени е достапна тука (точките во домените се заменети со запирки).

David Brunsdon, истражувач за закани во Infoblox, изјави дека паркираните страници ги испраќаат посетителите низ синџир од пренасочувања, при што постојано се профилира системот на посетителот користејќи IP геолокација, fingerprinting на уредот и cookies, со цел да се одреди каде точно да биде пренасочен посетителот.

„Често станува збор за синџир од пренасочувања — еден или два домени надвор од компанијата за паркирање — пред да се појави заканата“, рече Brunsdon. „При секое предавање, уредот повторно и повторно се профилира, пред да биде пренасочен кон малициозен домен или, пак, кон мамка-страница како Amazon.com или Alibaba.com ако проценат дека не вреди да се таргетира.“

Brunsdon додаде дека услугите за паркирање домени тврдат оти резултатите од пребарување што ги прикажуваат на паркираните страници се дизајнирани да бидат релевантни за самите домени, но дека речиси ниту една од прикажаните содржини не била поврзана со сличните (lookalike) доменски имиња што биле тестирани.

Примери на патеки за пренасочување при посета на scotaibank точка com. Секоја гранка вклучува низа од забележани домени, заедно со крајната (landing) страница означена со бои.

Infoblox соопшти дека друг заканувачки актер, кој го поседува domaincntrol[.]com — домен кој се разликува од name server-ите на GoDaddy само по еден карактер — одамна користи правописни грешки во DNS конфигурации за да ги насочи корисниците кон малициозни веб-страници. Сепак, во последните месеци, Infoblox откри дека малициозното пренасочување се случува само кога барањето за неправилно конфигурираниот домен доаѓа од посетител кој користи DNS резолвери на Cloudflare (1.1.1.1), додека сите други посетители добиваат страница што не се вчитува.

Истражувачите открија дека дури и варијации на добро познати владини домени се таргетирани од малициозни рекламни мрежи.

„Кога еден од нашите истражувачи се обиде да пријави криминал на FBI Internet Crime Complaint Center (IC3), тој случајно го посети ic3[.]org наместо ic3[.]gov“, се наведува во извештајот. „Нивниот телефон беше веднаш пренасочен кон лажна страница ‘Drive Subscription Expired’. Имаше среќа што добија само измама; според тоа што научивме, исто така лесно можеле да добијат информациски крадец или тројан малициозен софтвер.“

Извештајот на Infoblox нагласува дека следената малициозна активност не е припишана на позната страна, и дека платформите за паркирање домени или рекламирање споменати во студијата не се вмешани во малициозното рекламирање што го документирале.

Сепак, извештајот заклучува дека, иако компаниите за паркирање тврдат дека работат само со врвни огласувачи, сообраќајот кон овие домени често се продавал на affiliate мрежи, кои понатаму го препродавале сообраќајот до степен каде што крајниот огласувач немал никаква деловна врска со компаниите за паркирање.

Infoblox исто така посочи дека неодамнешните промени во политиката на Google можеби ненамерно ја зголемиле ризичноста за корисниците од злоупотреба на директни пребарувања. Brunsdon рече дека порано Google Adsense по дифолт дозволувал нивните реклами да се поставуваат на паркирани страници, но во почетокот на 2025 година Google воведе поставка по дифолт која бара од нивните клиенти да се исклучат од прикажување реклами на паркирани домени — што значи дека лицето кое ја поставува рекламата морало доброволно да влезе во своите поставки и да овозможи прикажување реклами на паркирани локации.

Извори:

  • Krebs on Security – Most Parked Domains Now Serving Malicious Content Krebs on Security