Typosquatting to technika cyberataków polegająca na rejestrowaniu domen internetowych łudząco podobnych do adresów popularnych stron — różniących się jedną literą, transpozycją znaków lub podmianą homoglyfów. Choć metoda jest znana od lat, w 2026 roku pozostaje jednym z najskuteczniejszych i najtańszych wektorów ataków phishingowych, odpowiedzialnym za znaczną część kradzieży danych uwierzytelniających w polskich i europejskich organizacjach.
Czym jest typosquatting
Nazwa "typosquatting" pochodzi od angielskiego słowa "typo" (literówka) i "squatting" (zajmowanie bez prawa). Atakujący rejestruje domeny, które użytkownicy mogą wpisać przez pomyłkę, licząc na to, że część ruchu przeznaczonego dla legalnego serwisu trafi na jego stronę. Technika jest stara jak internet — pierwsze udokumentowane przypadki opisywano już w latach 90. — ale jej skuteczność nie maleje, a wręcz rośnie w erze pracy zdalnej i mobilnych urządzeń, gdzie użytkownicy działają pod presją czasu.
Przykłady typosquattingowych domen ilustrują skalę problemu: gacebook.com (zamiast facebook.com), micros0ft.com (zero zamiast litery "o"), mbankk.pl (podwójne "k"), gooogle.com (dodatkowe "o"), paypa1.com (cyfra 1 zamiast litery "l"). Każda z tych domen może służyć jako front dla fałszywej strony logowania lub strony dystrybuującej malware. W Polsce szczególnie aktywne są kampanie podszywające się pod banki, portale zakupowe i systemy podatkowe.
Skuteczność typosquattingu wynika z ograniczeń ludzkiej percepcji wzrokowej. Mózg ludzki podczas czytania przetwarza słowa holistycznie, a nie znak po znaku. Badania z zakresu psychologii poznawczej pokazują, że różnica jednego znaku w adresie URL umyka uwadze przeciętnego użytkownika w ponad 80% przypadków, szczególnie gdy jest pod presją czasu lub działa rutynowo.
Jak działa atak typosquatting
Typowy atak przebiega w kilku etapach. Po pierwsze, atakujący rejestruje domenę — koszt rejestracji domeny .pl to kilkanaście złotych rocznie, co czyni tę metodę wyjątkowo niskokosztową nawet przy masowej rejestracji dziesiątek wariantów. Następnie tworzy sklonowaną stronę logowania, wizualnie identyczną z oryginałem: ten sam layout, logo, kolory, treść.
Po uruchomieniu strony atakujący czeka na organiczny ruch wynikający z literówek lub aktywnie kieruje ofiary na fałszywą domenę przez kampanie e-mailowe, reklamy w wyszukiwarkach lub linki w mediach społecznościowych. Gdy użytkownik wpisuje swoje dane logowania, trafiają one bezpośrednio do atakującego, a użytkownik często jest przekierowywany na prawdziwą stronę, nie zdając sobie sprawy, że właśnie padł ofiarą ataku.
Warianty tej techniki obejmują phishingowe wiadomości e-mail wysyłane z typosquattingowych domen (np. @mbankk.pl zamiast @mbank.pl), strony dystrybucji malware (zamiast formularza logowania pojawia się fałszywe powiadomienie o wymaganej aktualizacji oprogramowania) oraz oszustwa reklamowe, gdzie typosquattingowe domeny służą do generowania przychodów z reklam kosztem legalnych właścicieli marki. CERT Polska w swoich raportach rocznych konsekwentnie wskazuje ataki oparte na fałszywych domenach jako jeden z wiodących wektorów phishingu w Polsce.
Zagrożenia dla organizacji
Kradzież danych uwierzytelniających to bezpośredni i najpoważniejszy skutek skutecznego ataku typosquattingowego. Pracownik, który zaloguje się na fałszywej stronie udającej panel Microsoft 365, Entra ID, systemu VPN czy bankowości firmowej, przekazuje swoje dane logowania atakującemu. Nawet jeśli organizacja wdrożyła MFA, część mechanizmów MFA (np. SMS OTP) może być podatna na ataki w czasie rzeczywistym (real-time phishing proxy).
Warto podkreślić, że DMARC, DKIM i SPF — mechanizmy chroniące przed podszywaniem się pod domeny organizacji — nie chronią przed typosquattingiem. DMARC weryfikuje, czy e-mail pochodzi z autoryzowanego serwera dla domeny @mojafirma.pl. Jeśli atakujący używa domeny @m0jafirma.pl (zero zamiast "o"), DMARC nie może temu zapobiec, bo to jest osobna, zarejestrowana domena.
Skutki dla organizacji mogą być daleko idące: kompromitacja kont AD lub M365 prowadzi do dalszego lateral movement i eskalacji uprawnień, wycieki danych klientów generują zobowiązania z tytułu RODO i utratę zaufania, a infekcja ransomware z fałszywej strony dystrybucji malware może sparaliżować działalność całej firmy. Szkody wizerunkowe są trudne do naprawienia, szczególnie gdy klienci padają ofiarą ataków na fałszywych stronach udających markę organizacji.
Szczególnie narażone są organizacje, których marka jest powszechnie rozpoznawalna — banki, operatorzy telekomunikacyjni, sklepy e-commerce, urzędy i instytucje publiczne. Im bardziej znana marka, tym więcej prób rejestracji typosquattingowych domen na nią skierowanych. Warto podkreślić, że typosquatting dotyka nie tylko dużych korporacji — małe i średnie firmy są równie atrakcyjnymi celami, ponieważ rzadziej aktywnie monitorują przestrzeń domenową i rzadziej dysponują zasobami do szybkiego reagowania na nowe zagrożenia domenowe.
Jak chronić firmę przed typosquatting
Ochrona przed typosquattingiem działa na kilku poziomach jednocześnie.
Proaktywna rejestracja domen
Najskuteczniejszą metodą jest zarejestrowanie najczęstszych wariantów typosquattingowych własnej domeny zanim zrobią to atakujący. Dla firmy "example.pl" warto rozważyć: exmaple.pl, exampl.pl, exxample.pl, przykładowe homoglify. Koszty rejestracji są nieporównywalnie mniejsze niż koszty reagowania na incydent.
Monitoring domen i infrastruktura DNS
Narzędzia takie jak DomainTools, WhoisFreaks czy dnstwist pozwalają na ciągłe monitorowanie rejestracji domen podobnych do Twojej marki. Filtry DNS (Cisco Umbrella, Cloudflare Gateway, NextDNS) blokują dostęp do znanych złośliwych domen na poziomie rozwiązywania nazw, zanim przeglądarka nawiąże połączenie z serwerem. To skuteczna warstwa ochrony szczególnie dla urządzeń pracowników zdalnych.
Rekomendacja ExColo: NextDNS
Dla maksymalnej ochrony przed typosquattingiem na poziomie sieci, ExColo rekomenduje używanie NextDNS. To nowoczesna zapora DNS, która blokuje złośliwe domeny w czasie rzeczywistym.
Skorzystaj ze specjalnej ofertyBezpieczeństwo tożsamości
Wdrożenie silnego uwierzytelniania wieloskładnikowego i Conditional Access sprawia, że skradzione hasło nie wystarczy do przejęcia konta. Metody MFA odporne na phishing (FIDO2/passkeys, certyfikaty) nie mogą być przejęte przez fałszywe strony, bo klucz kryptograficzny jest powiązany z konkretną domeną. To fundamentalna zmiana w stosunku do haseł i SMS OTP.
Edukacja pracowników
Regularne szkolenia powinny uczyć weryfikacji adresów URL przed podaniem danych logowania, korzystania z zakładek dla krytycznych systemów, zgłaszania podejrzanych linków do działu IT oraz rozpoznawania typowych technik typosquattingowych. Symulacje phishingowe pomagają zmierzyć i podnieść poziom świadomości w organizacji.
Warto zadbać, by szkolenia nie były jednorazowym wydarzeniem, lecz regularnym, cyklicznym elementem kultury bezpieczeństwa. Pracownicy powinni rozumieć nie tylko jak wygląda atak typosquattingowy, ale też dlaczego jest skuteczny — znajomość mechanizmu psychologicznego leżącego u podstaw podatności (ograniczenia percepcji wzrokowej, presja czasu, działanie rutynowe) znacznie skuteczniej motywuje do zachowania czujności niż lista zakazów. Wskaźniki z symulacji phishingowych powinny być analizowane w czasie i raportowane kierownictwu jako miara dojrzałości bezpieczeństwa organizacji.
Jak ExColo może pomóc
ExColo oferuje kompleksowe wsparcie w ochronie przed atakami opartymi na fałszywych domenach. W zakresie bezpieczeństwa tożsamości pomagamy we wdrożeniu MFA odpornego na phishing, konfiguracji Conditional Access i hardeningu Active Directory, który ogranicza skutki kradzieży danych uwierzytelniających.
Przeprowadzamy audyty ekspozycji domenowej, identyfikując zarejestrowane typosquattingowe domeny skierowane przeciw Twojej organizacji. Pomagamy w opracowaniu procesu monitorowania i reagowania na nowe rejestracje. Szkolimy pracowników i działy IT w zakresie rozpoznawania i reagowania na ataki typosquattingowe.
Nie czekaj na incydent — zrób pierwszy krok: skontaktuj się z ExColo.
