Oletko koskaan kuullut mikerowesoft.comista? Vai tuleeko deutschebnak.com tutuksi? Tarkkaavaiset lukijat ovat varmasti huomanneet, että sinne on livahtanut muutama virhe. Tällaista virhettä kutsutaan typposquattingiksi eli URL-osoitteen kaappaamiseksi, ja se on eräs cybersquattingin muoto. Se kuvaa sosiaalista insinööritoimintaa, jossa suosittuja verkko-osoitteita täydennetään kirjoitusvirheillä, jotta ihmiset ohjattaisiin laittomille verkkosivustoille. Nämä sivustot sisältävät yleensä kilpailijoiden mainoksia, haittaohjelmia tai jopa pornografista sisältöä.
Cybersquatting ja vastaavat
Cybersquatting on sateenvarjotermi, joka kattaa useita sosiaalisia hyökkäyksiä. Cybersquatting eli verkkotunnusten kyykyttäminen tarkoittaa sellaisten verkkotunnusten rekisteröintiä, joihin hakijalla ei ole oikeutta. Nämä voivat olla tuotemerkkejä (brandjacking), julkisuuden henkilöitä (namejacking) tai yritysten nimiä. Tähän kuuluu myös typo-verkkotunnusten rekisteröinti eli niin sanottu typosquatting.
Syväsukellus: Typosquatting
Jossain vaiheessa jokainen on päätynyt kirjoitusvirhealueelle. Itse asiassa koko juttu on melko helppo toteuttaa: verkkorikolliset rekisteröivät verkkotunnuksia, jotka muistuttavat vahvasti tunnettujen verkkosivustojen tunnuksia, yleensä vain muutamalla kirjaimella. Ihmiset ohjataan sitten yksinkertaisten kirjoitusvirheiden avulla kolmansien osapuolten sivustoille ja pahimmassa tapauksessa myös vuorovaikutukseen niiden kanssa. Tällaiseen vuorovaikutukseen voi kuulua henkilötietojen syöttäminen, haitallisten linkkien klikkaaminen tai haittaohjelmien lataaminen. Typosquatting ei kuitenkaan vaikuta vain yksityishenkilöihin. Monet yritykset varaavat etukäteen nelinumeroisia verkkotunnuksia, jotta ne eivät menettäisi asiakkaita tai liikennettä kirjoitusvirheiden vuoksi.
Typosquatting antaa hyökkääjille mahdollisuuden hyödyntää yksinkertaisia inhimillisiä virheitä:
- Kirjoitus- ja kirjoitusvirheet
- Vanhentuneet tai vaihtoehtoiset kirjoitusasut
- Verkkotunnukset, joissa on väliviivat
- Virheelliset välimerkit
- Väärät ylätason verkkotunnukset (esim. .net, .org, .com jne.).
On myös olemassa erilaisia tyyppejä:
- Imitaattorit - Väärennetty verkkosivusto, joka jäljittelee jo olemassa olevan verkkosivuston ulkoasua. Uhreja huijataan antamaan arkaluonteisia tietoja.
- Hakutulosten listaaminen - Väärennetty verkkosivusto, joka ohjaa oikealle verkkosivustolle tarkoitetun liikenteen omalle sivustolleen ja vaatii maksua klikkauksesta.
- Liikenteen rahaksi muuttaminen - Väärennetty verkkosivusto, joka sijoittaa mainoksia tai ponnahdusikkunoita tuottamaan tuloja.
- Kyselyt ja kylkiäiset - Valesivusto, joka teeskentelee keräävänsä asiakaspalautetta kerätäkseen henkilötietoja.
- Haittaohjelman asentaminen - Väärennetty verkkosivusto, joka asentaa haittaohjelman laitteistoon.
Mitä laki sanoo?
Verkkotunnuksen rekisteröinti on helppoa, ja useimmissa tapauksissa se maksaa vain muutaman euron. Ensisijaisuusperiaatteen mukaan, "ensin tullutta palvellaan ensin", ei ole takeita siitä, että verkkotunnusta hakeva henkilö on myös henkilö, joka käyttää sitä laillisesti. Näissä tapauksissa nimioikeudet, tavaramerkkilainsäädäntö tai jopa kilpailulainsäädäntö astuvat voimaan. Se, onko kyseessä laillisesti rekisteröity verkkotunnus, on arvioitava tapauskohtaisesti.
Vuonna 2001 BGH (Saksan liittovaltion korkein oikeus) päätti niin sanotussa "Shell-ratkaisussa", että etuoikeusperiaate ei ole enää voimassa, jos kantajan tunnettuus on huomattavasti suurempi kuin vastaajan. Tässä tapauksessa kantaja käytti oikeutta omaan nimeensä.
"Jo pelkkä rekisteröinti, ei toisen yrityksen nimen ensimmäinen käyttö verkkotunnuksena muussa kuin liiketoiminnassa, on Saksan siviililain 12 §:ssä tarkoitettua luvatonta nimenkäyttöä." - Kuten vuonna 2001 annetussa tuomiossa1 todetaan
Mike Rowe kertoo toisesta tapauksesta, joka todennäköisesti saa sinut hymyilemään. Tuolloin 17-vuotias hankki verkkotunnuksen MikeRoweSoft.com yksityistä verkkosivustoaan varten. Maailmankuulu ohjelmistoyritys Microsoft ei pitänyt lainkaan verkkosuunnittelijan luovasta työstä ja uhkasi nuorta yrittäjää oikeusjutulla.
"En odottanut, että he lähettäisivät heti perääni kaikki korkeapalkkaiset lakimiehensä", Mike Rowe selittää.
Lopulta molemmat osapuolet pääsivät kuitenkin tuomioistuimen ulkopuoliseen sovintoon. Kaiken draaman jälkeen Mike Rowe myi tapauksen asiakirjat "internetin historian palana" eBayssä 1037 dollarilla.2
Koska valtausten määrä kasvaa jatkuvasti ja tällaisten tapausten yksilöllinen tarkastelu on tarpeen, tällaiset menettelyt voivat pitkittyä vuosia. Epäilyttävät avainhenkilöt, jotka ovat usein verkkotunnusten valtausten takana, piileskelevät myös peiteyhtiöiden takana tai ulkomailla. Tämä lähestymistapa tekee tuomion saamisen käytännössä mahdottomaksi.
Ennaltaehkäisy ja toimenpiteet typosquattingin estämiseksi
Jos haluat suojautua typosquatting-verkkotunnusten aiheuttamalta hyökkäykseltä, nämä vinkit auttavat sinua:
Yksityishenkilöt
- Vältä epäilyttävien linkkien klikkaamista. Nämä linkit voivat tulla sinulle sähköpostitse, tekstiviesteissä, chat-viesteissä tai sosiaalisen median kanavissa.
- Vältä avaamasta sähköpostin liitetiedostoja tuntemattomilta vastaanottajilta.
- Asenna virustorjuntaohjelma ja pidä se ajan tasalla.
- Tarkista URL-osoitteiden oikea kirjoitusasu huolellisesti.
- Tallenna useimmin vieraillut linkit kirjanmerkkeihisi kirjoitusvirheiden välttämiseksi.
- Käytä puheentunnistusohjelmistoa tuttuja URL-osoitteita varten.
- Käytä hakukonetta päästäksesi tietyille verkkosivustoille.
Yritykset
- Varmista mahdollisimman monta verkkotunnusvariaatiota nimestäsi ja linkitä ne verkkosivustoosi. Tähän voi sisältyä eri kirjoitusasuja, välimerkkejä ja ylätason verkkotunnuksen maakohtaisia laajennuksia.
- Anna ICANNin tavaramerkkien selvityskeskuksen auttaa sinua valvomaan tuotemerkkiäsi ja ilmoittamaan, jos nimeäsi käytetään muiden verkkotunnuksissa.3
- SSL-varmenteiden avulla voit suojata kävijöiden tietoja siirron aikana ja antaa turvallisuuden tunteen. Verkkotunnuksesi kaappaamiseen pyrkivät henkilöt eivät käyttäisi tätä menetelmää.
- Heti kun epäilet, että joku saattaa esiintyä yrityksesi henkilöllisyydellä, ilmoita asiakkaillesi, kollegoillesi ja muille sidosryhmille mahdollisista sosiaalisen manipuloinnin hyökkäyksistä phishing-sähköpostien tai phishing-sivustojen kautta.
Yhteenvetona voidaan todeta, että typosquatting on vakava ongelma. Pienet, huolimattomat virheet mahdollistavat sen, että kokeneetkin käyttäjät voivat vahingossa päästä typposquatting-verkkotunnukseen. Mitättömältä tuntuva huolimattomuus voi silti aiheuttaa paljon vahinkoa.
1 http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=23718&pos=0&anz=1
2 https://en.wikipedia.org/wiki/Microsoft_v._MikeRoweSoft#Further_developments
3 https://www.trademark-clearinghouse.com/content/what-trademark-clearinghouse