سال گذشته، یک هتل بوتیک در آنتالیا با مشکلی بسیار نگرانکننده به ما مراجعه کرد. برخی از مهمانان آنها معتقد بودند که اتاق رزرو کردهاند، اما هیچ سوابقی از آنها در هتل وجود نداشت. تحقیقات یک واقعیت تکاندهنده را فاش کرد: یک دامنه جعلی — دقیقاً مشابه نام هتل اما با یک "a" اضافی در انتها — برای انجام رزروهای کلاهبردارانه استفاده میشد. قربانیان پول واقعی را به یک سایت جعلی پرداخت کرده بودند.
این پرونده شدت حملات تایپواسکوآتینگ (Typosquatting) را که در حال حاضر در صنعت هتلداری در حال گسترش است، برجسته میکند. نه تنها مهمانان دچار ضرر مالی شدند، بلکه اعتبار هتل نیز آسیب دید، حتی اگر آنها کاملاً در این کلاهبرداری بیتقصیر بودند.
تایپواسکوآتینگ (Typosquatting) چیست؟
تایپواسکوآتینگ (Typosquatting) روشی برای فریب کاربران از طریق ثبت نسخههای اشتباه تایپی یا تغییر یافته جزئی از نام دامنه یک وبسایت قانونی است. مهاجمان از اشتباهات تایپی کوچکی که مردم هنگام تایپ در نوار آدرس مرتکب میشوند یا تغییرات ظریفی که به راحتی نادیده گرفته میشوند، سوءاستفاده میکنند.
صنعت هتلداری به دلایل مختلفی یک هدف جذاب است. اول، رزرو هتل اغلب شامل مبالغ بالای پول است و مهمانان اطلاعات کارت اعتباری خود را هنگام پرداخت به اشتراک میگذارند. دوم، بسیاری از مهمانان سایتی را که "رسمی" به نظر میرسد، بدون بررسی دقیق به عنوان مدرک کافی برای قانونی بودن میپذیرند. سوم، برندهای شناخته شده هتل ترافیک ارگانیک قابل توجهی را جذب میکنند که مهاجمان از آن برای کشاندن قربانیان به سایتهای جعلی استفاده میکنند.
تحقیقات ما نشان میدهد که بیش از شصت درصد از بیش از ۵۰۰ برند هتل فعال در ترکیه حداقل یک دامنه جعلی ثبت شده دارند که شباهت زیادی به برند آنها دارد.
تکنیکهای رایج تایپواسکوآتینگ
مهاجمان در طول سالها روشهای مختلفی را توسعه دادهاند. شناخت این روشها اولین قدم برای درک این است که کدام نسخههای برند شما در معرض خطر هستند.
اضافه کردن یا حذف کاراکتر
این سادهترین روش است. در حالی که "hillsidebeachclub.com" املای صحیح است، نسخههایی مانند "hillsidebeachclubb.com" یا "hilsidebeachclub.com" حاوی تفاوتهای کوچکی هستند که کاربران به راحتی ممکن است متوجه نشوند. کارشناسان صنعت اشاره میکنند که اکثر این دامنهها طوری پیکربندی شدهاند که وقتی کاربر اشتباه تایپی میکند، به طور خودکار به صفحه مهاجم هدایت شود.
جایگزینی کاراکتر
کاراکترهایی که از نظر بصری مشابه هستند به وفور استفاده میشوند. استفاده از حرف بزرگ "I" به جای "l" کوچک، عدد صفر به جای حرف "o" (یا برعکس)، یا ترکیب "rn" به جای "m" سایتهایی ایجاد میکند که در نگاه اول تشخیص آنها دشوار است. صفحهنمایشهای کوچکتر در دستگاههای موبایل این تفاوتها را حتی بیشتر پنهان میکنند.
افزودن مناطق یا نام خدمات
به جای "hotelname.com"، دامنههایی مانند "hotelnamebodrum.com"، "hotelnamereservation.com" یا "hotelnameprice.com" ایجاد میشوند. این رویکرد به ویژه خطرناک است زیرا کاربران اغلب چنین اضافاتی را کاملاً منطقی میدانند.
تعویض پسوند (Extension Swapping)
در حالی که سایت اصلی از پسوند ".com" استفاده میکند، مهاجم همان نام یا نام مشابه را با پسوندهای مختلف مانند ".net" ، ".org" ، ".co" ، ".tr" یا ".online" ثبت میکند. در تجربه یکی از مشتریان، در حالی که آنها یک دامنه قانونی با پسوند ".com.tr" داشتند، مهاجمان نسخه ".com" همان نام را بسیار زودتر ثبت کرده و فعالانه از آن استفاده میکردند.
افزودن یا حذف خط تیره (Hyphen)
تفاوت بین "grandhotel.com" و "grand-hotel.com" برای بسیاری از کاربران غیرقابل تشخیص باقی میماند.
حملات یونیکد و پونیکد (هوموگلیف - Homoglyphs)
این یک روش پیشرفتهتر است. کاراکترهای الفباهای دیگر میتوانند تقریباً مشابه کاراکترهای لاتین به نظر برسند. تشخیص "а" سیریلیک از "a" لاتین دشوار است، حتی زمانی که در کنار هم در مرورگر مشاهده شوند. دامنههای ایجاد شده با این تکنیک به صورت پونیکد (Punycode) کدگذاری میشوند و در حالی که برای کاربر یکسان به نظر میرسند، در واقع حاوی کاراکترهای کاملاً متفاوتی هستند.
یک حمله تایپواسکوآتینگ چگونه کار میکند
زنجیره حمله معمولاً شامل این مراحل است:
۱. ثبت دامنه: مهاجم دامنه هتل هدف را تحلیل کرده و چندین نسخه تایپواسکوآتینگ را ثبت میکند. این کار حدود ۱۰ تا ۱۵ دلار در سال هزینه دارد.
۲. راهاندازی سایت جعلی: ظاهر و احساس سایت واقعی هتل کپی میشود (شامل لوگوها، عکسها و جزئیات اتاق). ابزارهای مدرن میتوانند این کار را تنها در چند ساعت انجام دهند.
۳. دریافت گواهینامه SSL: به لطف ارائه دهندگان رایگان مانند Let's Encrypt، سایت جعلی HTTPS و آیکون قفل را اضافه میکند. این کار به جلب اعتماد کاربر به راحتی کمک میکند.
۴. هدایت ترافیک: سایت جعلی از طریق Google Ads یا تبلیغات شبکههای اجتماعی ترویج میشود، یا پیامهای اسپم مستقیماً به لیستهای مهمانان ارسال میگردد.
۵. جمعآوری پرداخت: کاربران رزرو انجام میدهند و جزئیات واقعی کارت اعتباری و پرداختهای خود را به سایت جعلی منتقل میکنند.
۶. ناپدید شدن: وقتی شکایات شروع به افزایش میکنند، سایت بسته میشود و پول پرداخت شده قابل بازیابی نیست.
چگونه یک حمله تایپواسکوآتینگ را شناسایی کنیم؟
اگر حملهای علیه کسبوکار شما آغاز شده باشد، علائم خاصی ممکن است توجه شما را جلب کند:
- مهمانانی که بدون رزرو معتبر برای پذیرش به هتل مراجعه میکنند.
- شکایات در شبکههای اجتماعی مانند "من در سایت شما پرداخت کردم اما رزرو ندارم."
- نتایج تبلیغاتی مشکوک که هنگام جستجوی نام برند شما در گوگل ظاهر میشوند.
- دامنههای ناشناخته که به عنوان ارجاعدهنده (Referrer) در Google Search Console ظاهر میشوند.
تحقیقات ما نشان میدهد که اکثر مدیران هتل تنها پس از رسیدن شکایات مهمانان از چنین حملاتی آگاه میشوند. با این حال، با نظارت پیشگیرانه، تشخیص حملات قبل یا درست در زمان شروع آنها امکانپذیر است.
روشهای محافظت
خرید پیشگیرانه دامنههای مشابه
ثبت دامنهها برای رایجترین نسخههای برند شما، مطمئنترین راه برای محافظت از این نسخهها در برابر مهاجمان است. این دامنهها را به سایت اصلی خود هدایت (Redirect) کنید؛ به این ترتیب، حتی اگر کاربر آدرس اشتباهی را تایپ کند، به سایت صحیح میرسد.
البته خرید هر نسخه ممکن هم هزینهبر و هم عملاً غیرممکن است. بنابراین، بحرانیترین نسخهها (رایجترین اشتباهات تایپی، پسوندهای مختلف، اضافات منطقهای) باید در اولویت قرار گیرند.
استفاده از ابزارهای خودکار نظارت بر دامنه
ابزارهایی مانند DNSTwist تمام نسخههای اشتباه تایپی ممکن یک دامنه را تولید کرده و بررسی میکنند که آیا ثبت شدهاند یا خیر. اجرای منظم این ابزارها به شما امکان میدهد دامنههای خطرناک جدید را زودتر شناسایی کنید.
کارشناسان صنعت توصیه میکنند این اسکن را حداقل یک بار در هفته انجام دهید. اکثر تهدیدها در چند روز اول پس از ثبت دامنه فعال میشوند.
نظارت بر برند با Google Alerts
هشدارهایی برای نسخههای مختلف نام هتل خود در Google Alerts ایجاد کنید. از طریق این هشدارها میتوانید زمانی که یک سایت جعلی توسط موتورهای جستجو ایندکس میشود، مطلع شوید.
نظارت بر گزارشهای شفافیت گواهینامه (Certificate Transparency)
وقتی یک گواهینامه SSL برای یک سایت جعلی دریافت میشود، این اطلاعات در گزارشهای (CT) ثبت میگردد. با نظارت بر این گزارشها، میتوانید گواهینامههای جدید مشابه برند خود را شناسایی کنید. برای کسب اطلاعات بیشتر در مورد نحوه عملکرد گواهینامههای SSL و نحوه نظارت بر گزارشهای CT، مقاله نظارت بر گزارشهای شفافیت گواهینامه ما را مطالعه کنید.
UDRP و مسیرهای قانونی
وقتی یک دامنه تایپواسکوآتینگ را شناسایی میکنید، میتوانید با استفاده از مکانیزم Uniform Domain-Name Dispute-Resolution Policy (UDRP) متعلق به ICANN درخواست انتقال دامنه را بدهید. برای مراحل نحوه انجام اقدامات قانونی علیه سایتهای جعلی در ترکیه، توصیه میکنیم مقاله فرآیند قانونی علیه سایتهای جعلی هتل ما را بررسی کنید.
در طول حمله چه باید کرد؟
وقتی یک دامنه جعلی را شناسایی کردید، این مراحل را دنبال کنید:
۱. تمام شواهد، از جمله اسکرینشاتها، سوابق WHOIS و اطلاعات گواهینامه را ذخیره کنید. ۲. یک گزارش سوءاستفاده (Abuse report) به شرکت ثبتکننده دامنه ارسال کنید. ۳. اگر آنها از Cloudflare استفاده میکنند، آن را به Cloudflare نیز گزارش دهید. ۴. گزارش سایت جعلی (Safe Browsing) را به گوگل ارسال کنید. ۵. به BTK و USOM (در ترکیه) اطلاع دهید. ۶. در صورت لزوم، شکایتی کیفری به دادسرای عمومی ارائه دهید.
دادههای صنعت: تایپواسکوآتینگ چقدر رایج است؟
ارقام حاصل از تحقیقات ما بر روی برندهای هتل ترکیه به وضوح نشان میدهد که این مشکل چقدر گسترده است.
در ۶۴٪ از ۳۱۲ برند هتلی که بررسی کردیم، حداقل یک دامنه تایپواسکوآتینگ فعال یا غیرفعال را شناسایی کردیم که شباهت زیادی به نام برند داشت. چهل درصد از این دامنهها فعالانه به عنوان صفحات رزرو جعلی استفاده میشدند. اکثر بقیه دامنههای "پارک شده" بودند که میتوانستند در آینده فعال شوند.
افزایش فصلی: سایتهای جعلی اغلب بین ماههای آوریل و ژوئن — شروع فصل رزرو تابستانی — ایجاد میشوند. در این دوره، تعداد ثبت دامنه نسبت به ماههای دیگر ۷۰٪ افزایش مییابد.
الگوهای هدفگیری: تحقیقات ما نشان داد که مهاجمان اهداف را به صورت تصادفی انتخاب نمیکنند بلکه بر اساس معیارهای خاصی، به ویژه موارد زیر انتخاب میکنند:
- هتلهایی که سرمایهگذاریهای کلانی انجام داده و دید رسانهای خود را در دو سال گذشته افزایش دادهاند.
- هتلهای بوتیکی که به تعداد بالایی از دنبالکننده در شبکههای اجتماعی رسیدهاند.
- هتلهای مقصدی که درصد بالایی از مهمانان خارجی دارند.
- هتلهایی که وبسایتهای جدید راهاندازی کرده و زیرساخت دامنه خود را بهروز میکنند.
این یافتهها نشان میدهد که تایپواسکوآتینگ یک جرم استراتژیک است، نه یک جرم فرصتطلبانه.
چگونه مهمانان خود را مطلع کنید؟
علاوه بر اقدامات فنی، ارتباط با مهمان لایه مهمی از محافظت را تشکیل میدهد. تحقیقات ما نشان میدهد که اکثر موارد کلاهبرداری زمانی رخ میدهد که هتل اصلاً مهمانان خود را در مورد سایتهای جعلی مطلع نکرده است.
هشدار برجسته در وبسایت شما
اطلاعات واضحی را به صفحه رزرو و صفحه اصلی خود اضافه کنید: "وبسایت رسمی ما فقط [yourhotelname.com] است. مراقب نامهای دامنه دیگر باشید." مهم است که این هشدار از نظر بصری چشمگیر باشد.
راهنمای تایید ایمیل
در ایمیلهای تاییدی که برای مهمانان ارسال میکنید، ویژگیهای سایت واقعی خود را به آنها یادآوری کنید: دقیقاً مشخص کنید که از کدام آدرس ایمیل با آنها ارتباط برقرار میکنید، از چه پلتفرمی برای پرداخت استفاده میکنید و نام دامنه رسمی شما چیست.
اطلاعرسانی در شبکههای اجتماعی
وقتی یک دامنه جعلی را شناسایی کردید، در شبکههای اجتماعی اعلامیه صادر کنید. هشدارهایی مانند "توجه: [fake-site.com] هیچ وابستگی به ما ندارد" یکی از موثرترین راهها برای محافظت فوری از مهمانان شماست.
استراتژی محافظت کمهزینه برای هتلهای کوچک
هر هتلی بودجه امنیتی بزرگی ندارد. برای شرکتهای کوچک و متوسط، اقدامات اولیهای که با حداقل هزینه قابل اجرا هستند عبارتند از:
خرید دامنه اولویتدار (سالیانه حدود ۵۰-۱۰۰ دلار): اگر هنوز این کار را انجام ندادهاید، بلافاصله پسوندهای .com، .com.tr و .net نام هتل خود را ثبت کنید. رایجترین نسخه تایپواسکوآتینگ خود را نیز اضافه کنید.
بررسی دستی هفتگی (رایگان): میتوانید ابزار DNSTwist را روی کامپیوتر محلی خود نصب کنید یا از نسخههای آنلاین استفاده کنید. اجرای یک جستجو در هفته به شناسایی زودهنگام دامنههای جعلی ثبت شده جدید کمک میکند.
تنظیم Google Alerts (رایگان): هشدارهایی برای چندین نسخه از نام هتل خود ایجاد کنید. زمانی که یک سایت جعلی جدید در موتورهای جستجو ایندکس شود، اعلان دریافت خواهید کرد.
نظارت بر شفافیت گواهینامه (رایگان): به طور منظم نام هتل خود را در crt.sh جستجو کنید. خریدهای گواهینامه جدید میتواند به سایتهای جعلی جدید اشاره داشته باشد.
این چهار مرحله یک سپر حفاظتی اولیه ایجاد میکند که بدون هیچ بودجه اضافی قابل اجراست. برای نظارت جامعتر و خودکار، پلتفرمهایی مانند RuuSafe این فرآیند را کاملاً بر عهده میگیرند.
کارکنان خود را مشارکت دهید
هر چقدر هم که اقدامات فنی قوی باشند، عامل انسانی همچنان نقش حیاتی ایفا میکند. آگاهی در میان کارکنان رزرو و پذیرش که به صورت مستقیم با مهمانان در ارتباط هستند، به تشخیص زودهنگام پروندهها کمک شایانی میکند.
در آموزش کارکنان موارد زیر را بگنجانید: سایتهای جعلی چه شکلی هستند، چگونه با مهمانی که از یک سایت جعلی شکایت دارد برخورد کنند و ارجاع فوری چنین شکایاتی به مدیریت.
در هتلی در آنتالیا، یک پذیرشگر از جزئیات ارائه شده توسط مهمانی که نمیتوانست پذیرش شود، یک سایت جعلی را شناسایی کرد. آدرس دامنه در ایمیل تاییدی که توسط مهمان نشان داده شد، یک حرف اضافه داشت. این کار باعث شد فرآیند قانونی علیه سایت جعلی در همان روز آغاز شود.
رویکرد بلندمدت برای مبارزه با تایپواسکوآتینگ
مشکل تایپواسکوآتینگ مشکلی نیست که یک بار حل و فراموش شود. وقتی مهاجمان دستگیر میشوند، با ثبت دامنههای جدید، توسعه تکنیکها و نسخههای جدید به کار خود ادامه میدهند.
بنابراین، محافظت باید به عنوان یک فرآیند بلندمدت و مستمر طراحی شود. یک اسکن یکباره که سالی یک بار انجام شود کافی نیست؛ یک رویکرد چندلایه شامل محافظت از برند، نظارت منظم و آگاهی کارکنان مورد نیاز است.
کارشناسان صنعت اظهار میدارند که موفقترین هتلها در این زمینه هتلهایی هستند که تکنولوژی و عامل انسانی را برای ایجاد یک روتین سیستماتیک محافظت از برند ترکیب میکنند. چنین روتینی در درازمدت هم ضرر مالی و هم آسیب به شهرت را به حداقل میرساند.
علاوه بر شناسایی دامنههای جعلی، نظارت بر گواهینامه SSL یک لایه موثر از محافظت را اضافه میکند. در این راهنما بیاموزید که چگونه با استفاده از گزارشهای شفافیت گواهینامه (Certificate Transparency)، خریدهای گواهینامه جدید به نام هتل خود را نظارت کنید.
برای یادگیری مرحله به مرحله آنچه باید هنگام شناسایی یک دامنه جعلی انجام دهید، میتوانید به راهنمای فرآیند قانونی ما علیه سایتهای جعلی هتل مراجعه کنید. فرآیند UDRP، شکایت ICANN و تمام مسیرهای قانونی در ترکیه در این راهنما توضیح داده شده است.
سوالات متداول
تفاوت بین تایپواسکوآتینگ و حمله هوموگلیف چیست؟ تایپواسکوآتینگ خطاهای تایپی صفحه کلید (افزودن، حذف یا تعویض کاراکترها) را تقلید میکند. حمله هوموگلیف (Homoglyph) از کاراکترهای مختلف یونیکد استفاده میکند که از نظر بصری یکسان به نظر میرسند. هدف در هر دو روش یکسان است: هدایت کاربر به سایت اشتباه. با این حال، حملات هوموگلیف حتی در نوار آدرس نیز تقریباً غیرقابل تشخیص هستند.
چگونه میتوانم دامنههای جعلی مرتبط با برند خود را پیدا کنم؟ میتوانید جستجوی دامنه را از طریق پایگاه داده ICANN WHOIS انجام دهید، سوابق گواهینامه SSL را در crt.sh اسکن کنید و از ابزارهای متنباز مانند DNSTwist استفاده کنید. این ابزارها به صورت سیستماتیک نسخههای نام برند شما را لیست میکنند.
فرآیند UDRP علیه یک دامنه جعلی چقدر طول میکشد؟ فرآیند UDRP (Uniform Domain-Name Dispute-Resolution Policy) معمولاً بین ۴۵ تا ۶۰ روز طول میکشد. این کار بسیار سریعتر از یک دعوای حقوقی است و در بیشتر موارد نیازی به وکیل ندارد. نهادهای داوری مورد تایید ICANN (مانند WIPO، NAF) این فرآیند را مدیریت میکنند.
آیا لازم است برای هر دامنه جعلی یک UDRP باز کرد؟ ممکن است لازم باشد برای هر دامنه جعلی جدید یک فرآیند جداگانه آغاز شود؛ با این حال، میتوان درخواست تجمیع (Consolidation) برای چندین دامنه متعلق به یک مهاجم را داد. تشخیص زودهنگام و اقدام سریع برای شکستن چرخه کلاهبرداران در باز کردن دامنههای جدید حیاتی است.
دامنههای جعلی ثبت شده با نام برند هتل خود را فوراً شناسایی کنید. ابزار نظارت بر دامنه RuuSafe به طور مداوم نسخههای تایپواسکوآتینگ را اسکن کرده و شما را از تهدیدات جدید مطلع میکند. اولین اسکن خود را به صورت رایگان انجام دهید.
