پژوهش جدیدی نشان میدهد که Direct Navigation یعنی وارد کردن دستی آدرس یک سایت در مرورگر، امروز خطرناکتر از همیشه شده است. طبق این گزارش، بخش عمدهای از دامنههای موسوم به Parked Domains که معمولاً دامنههای منقضیشده، غیرفعال یا اشتباهات تایپی دامنههای معروف هستند، اکنون کاربران را به سمت کلاهبرداریها و بدافزارها هدایت میکنند.
در یک نمونه، دامنهای شبیه به وبسایت مرکز شکایات جرایم اینترنتی FBI (IC3) برای کاربران دسکتاپ یک صفحه پارکینگ بیخطر نمایش میداد، اما کاربران موبایل در اکتبر ۲۰۲۵ بلافاصله به محتوای فریبنده و مخرب منتقل میشدند.
زمانی که کاربران اینترنت بهاشتباه وارد دامنهای منقضیشده یا یک دامنه typosquatting میشوند، معمولاً به صفحهای هدایت میشوند که توسط شرکتهای Domain Parking مدیریت میشود. این شرکتها با نمایش لینکهایی به وبسایتهای ثالث، ترافیک اشتباه کاربران را به درآمد تبدیل میکنند.
حدود یک دهه پیش، خطر این صفحات نسبتاً پایین بود. در سال ۲۰۱۴، تحقیقات نشان میداد که کمتر از ۵٪ دامنههای پارکشده کاربران را به سایتهای مخرب هدایت میکنند، حتی اگر کاربر روی هیچ لینکی کلیک نمیکرد. اما یافتههای جدید شرکت امنیتی Infoblox نشان میدهد این وضعیت کاملاً معکوس شده است.
بر اساس آزمایشهای گسترده Infoblox طی ماههای اخیر، بیش از ۹۰٪ بازدیدها از دامنههای Parked منجر به هدایت کاربر به محتوای غیرقانونی، کلاهبرداری، scareware، اشتراکهای جعلی آنتیویروس یا بدافزار میشود. در این مدل، «کلیک» یا بازدید کاربر توسط شرکت پارکینگ به تبلیغدهندگان فروخته میشود و آنها نیز اغلب این ترافیک را به واسطههای دیگر میفروشند.
Infoblox همچنین متوجه شد اگر کاربر از VPN یا IP غیرمسکونی استفاده کند، دامنههای Parked اغلب رفتار مخربی ندارند. اما اگر کاربر با IP خانگی وارد شود، بلافاصله به سایتهای آلوده هدایت میشود. برای مثال، کاربری که بهاشتباه به جای scotiabank.com وارد scotaibank[.]com شود، در صورت استفاده از VPN یک صفحه پارکینگ عادی میبیند، اما با IP خانگی مستقیماً به صفحات کلاهبرداری یا بدافزار منتقل میشود.
طبق گزارش Infoblox، مالک دامنه scotaibank[.]com بیش از ۳۰۰۰ دامنه مشابه دیگر را نیز در اختیار دارد؛ از جمله gmai[.]com که حتی دارای mail server فعال برای دریافت ایمیل است. این یعنی اگر ایمیلی به Gmail ارسال شود و حرف «l» از gmail.com جا بیفتد، ایمیل مستقیماً به دست کلاهبرداران میرسد. این دامنه در چندین کمپین Business Email Compromise (BEC) نیز استفاده شده و ایمیلهایی با عنوان پرداخت ناموفق و فایلهای آلوده پیوست ارسال کرده است.
این مجموعه دامنهها که با DNS مشترکی به نام torresdns[.]com شناسایی شدهاند، دهها سرویس بزرگ اینترنتی را هدف قرار دادهاند؛ از جمله Craigslist، YouTube، Google، Wikipedia، Netflix، TripAdvisor، Yahoo، eBay و Microsoft.
David Brunsdon، محقق تهدید در Infoblox، توضیح میدهد که صفحات پارکشده کاربران را از زنجیرهای از redirectها عبور میدهند. در هر مرحله، سیستم کاربر با استفاده از IP Geolocation، Device Fingerprinting و Cookieها پروفایل میشود تا تصمیم گرفته شود کاربر به محتوای مخرب هدایت شود یا به یک صفحه طعمه بیخطر مانند Amazon یا Alibaba.
او میگوید: معمولاً یک یا دو دامنه خارج از شرکت پارکینگ در این زنجیره وجود دارد و در هر انتقال، دوباره پروفایلسازی انجام میشود تا در نهایت کاربر به دامنه مخرب یا یک صفحه پوششی هدایت شود.
Infoblox همچنین اعلام کرده که محتوای نمایشدادهشده در صفحات پارکینگ تقریباً هیچ ارتباطی با دامنههای مشابهی که تست شدهاند نداشته است، برخلاف ادعای شرکتهای Domain Parking.
در بخش دیگری از گزارش، Infoblox به دامنه domaincntrol[.]com اشاره میکند که تنها یک حرف با nameserverهای GoDaddy تفاوت دارد و سالهاست از اشتباهات پیکربندی DNS برای هدایت کاربران به سایتهای مخرب استفاده میکند. در ماههای اخیر مشخص شده که این redirect مخرب فقط زمانی رخ میدهد که کاربر از DNS شرکت Cloudflare (1.1.1.1) استفاده کند و سایر کاربران با صفحهای مواجه میشوند که اصلاً لود نمیشود.
حتی دامنههای مشابه وبسایتهای دولتی نیز هدف قرار گرفتهاند. یکی از محققان Infoblox هنگام تلاش برای گزارش جرم به IC3، بهاشتباه وارد ic3[.]org بهجای ic3[.]gov شد و تلفن همراهش فوراً به صفحه جعلی «Drive Subscription Expired» هدایت شد. طبق یافتههای این تحقیق، این مورد میتوانست بهجای کلاهبرداری ساده، به سرقت اطلاعات یا نصب trojan منجر شود.
Infoblox تأکید میکند فعالیتهای مخرب مشاهدهشده به بازیگر شناختهشده خاصی نسبت داده نشده و شرکتهای پارکینگ یا پلتفرمهای تبلیغاتی نامبرده مستقیماً متهم نشدهاند. با این حال، گزارش نتیجه میگیرد که ترافیک این دامنهها اغلب به شبکههای affiliate فروخته میشود و آنقدر دستبهدست میشود که تبلیغدهنده نهایی هیچ ارتباط مستقیمی با شرکت پارکینگ ندارد.
در پایان، Infoblox اشاره میکند که تغییرات اخیر سیاستهای Google نیز ناخواسته ریسک سوءاستفاده را افزایش داده است. تا پیش از این، Google AdSense بهصورت پیشفرض اجازه نمایش تبلیغ روی دامنههای Parked را میداد، اما در اوایل ۲۰۲۵ این سیاست تغییر کرد و اکنون تبلیغدهندگان باید بهصورت دستی این گزینه را فعال کنند؛ تغییری که به گفته محققان، مسیرهای درآمدی غیرشفافتری را برای بازیگران مخرب ایجاد کرده است.
یک نظر