Typosquatting: জনপ্রিয় ওয়েবসাইটের ডোমেইন নামের বানানে সূক্ষ্ম পরিবর্তন করে হ্যাকারদের ফিশিং ফাঁদ তৈরির কৌশল!

Typosquatting (যাকে URL hijacking, sting site, fake URL-ও বলা হয়) হলো এমন একটি practice যেখানে adversary popular brand-এর domain name-এর সামান্য variation registered করে — typo, character substitution, hyphen insertion, plural form, TLD swap ইত্যাদির মাধ্যমে।

উদ্দেশ্য কয়েকটি-

• Phishing: credential harvesting।
• Malware Distribution: drive-by download বা social engineering।
• Affiliate Fraud: legitimate site-এর traffic divert করে affiliate revenue earn।
• Brand Damage: false content, misinformation।
• Domain Resale: brand owner-এর কাছে inflated price-এ বিক্রি (cybersquatting variant)।
• Email Spoofing: lookalike domain থেকে invoice fraud, BEC।

প্রতিটি brand-এর জন্য attacker কয়েক ডজন variation generate করতে পারেন। Common pattern-

Character Omission

goole.com, microsft.com, facebok.com

Character Substitution

• paypa1.com (l → 1), g00gle.com (o → 0)।
• rnicrosoft.com (m → rn — visually similar in sans-serif)।

Character Insertion

microssoft.com, gooogle.com

Character Transposition

gogole.com, microsfot.com

Hyphen Manipulation

face-book.com, pay-pal.com

Plural/Singular

googles.com, paypal-services.com

TLD Swap

google.co (Colombia → not Google), paypal.io, amazon.org

Subdomain Confusion

accounts.google.com.evil.com — user "google.com" দেখে কিন্তু actual domain evil.com।

IDN Homograph Attack

Internationalized Domain Name (IDN) Unicode character ব্যবহার করে। Cyrillic "а" (U+0430) Latin "a" (U+0061)-এর সাথে visually identical। аpple.com (Cyrillic 'a') ≠ apple.com। Punycode-এ এটি xn--pple-43d.com।

ICANN-এর IDN policy এবং browser vendor (Chrome, Firefox, Safari) এই attack বিরুদ্ধে partial mitigation introduce করেছে — যেমন mixed-script display show করা।

Combosquatting

Brand + relevant word: paypal-secure.com, amazon-billing.com, microsoft-support.com। ক্রমে evolving, কারণ এটি pure typo নয়, কিন্তু confusion ratio একই।

Bitsquatting

ASCII bit-flip। Hardware error-এ DNS query-এ bit flip হলে accidental traffic redirect। microsoft.com-এর bit-flipped version-গুলো registered করা হয়েছিল ২০১১-এর Dinaburg-এর research-এর পর।

• Google.com Typo Domains: Google নিজেই কয়েক হাজার typo domain register করেছে defensive registration-এর অংশ হিসেবে। gogle.com, googel.com — সব redirect to google.com।
• PayPal Phishing Wave: paypa1.com, paypal-account-verify.com, paypa-l.com — বছরের পর বছর active।
• COVID-19 Pandemic: ২০২০-এ WHO, CDC, government health agency-এর lookalike domain-এ unprecedented spike। Malicious COVID-relief site, fake vaccine appointment।
• Banking Apps: bangladesh-এর Eastern Bank, BRAC Bank, Dutch-Bangla-এর lookalike SMS পেয়েছে অনেক customer — ebl-bd.com, bracbank-bd.net ইত্যাদি।
• Cryptocurrency Exchange: bnance.com, coinbas3.com — crypto theft-এর প্রধান vector।

Software developer-দের জন্য বিশেষভাবে dangerous। npm install electron typo করে npm install elektron লিখলে malicious package install হতে পারে।

npm Incidents:

• ২০১৮: event-stream package-এর dependency-এ malicious code injected। ৭ million weekly download।
• ২০১৭: crossenv package — cross-env-এর typo।
• ২০২১: ua-parser-js compromise।

PyPI Incidents:

• ২০১৭: ১০+ typosquatted package — urllib3 → urlib3, numpy → numpi।
• ২০২২: ctx package compromise এবং hundreds of malicious package surge।
• ২০২৩: colorama lookalike package।

RubyGems, Maven, NuGet: similar incident regularly।

Mitigation in Package Ecosystem:

• official "namespace squatting" defensive registration।
• name similarity detection (Levenshtein distance) at registration time।
• maintainer 2FA enforcement।
• signed package (Sigstore, npm provenance)।

Twitter/X, Instagram, TikTok, Discord, Telegram — username typosquatting মানে identity confusion।

• @MicrosoftSupport (legitimate) vs @MicrosoftSupporrt (phishing)।
• Bank verified handle এবং unverified lookalike।

Bangladesh-এ Facebook-এ bank/MFS company-এর lookalike page অসংখ্য — যা phishing এবং investment fraud-এর primary vehicle।

dnstwist

Open-source tool যা একটি base domain-এর জন্য সম্ভাব্য typo permutation generate করে এবং DNS resolve করে check করে কোনগুলো registered। GitHub-এ elceef/dnstwist।

dnstwist --registered example.com — registered typo-variant list।

URLCrazy

similar functionality, Ruby-ভিত্তিক।

Domain Monitoring Services

• DomainTools, RiskIQ, Recorded Future Brand Intelligence, ZeroFox।
• new domain registration daily feed monitoring।
• favicon similarity, content similarity score।

Certificate Transparency Log Monitoring

প্রতিটি TLS certificate CT log-এ publicly logged। Brand owner CT log monitor করে নতুন lookalike domain-এর জন্য SSL certificate issuance detect করতে পারেন।

Tool: certstream, sslmate Cert Spotter, CRT.sh।

Phishing URL Database

PhishTank, OpenPhish, Google Safe Browsing — known phishing URL aggregate।

Modern browser typosquatting-এর বিরুদ্ধে partial defense provide করে-

• Google Safe Browsing: known phishing/malware site warning।
• Microsoft SmartScreen: similar capability Edge-এ।
• HSTS Preload: encrypted traffic enforcement।
• IDN Display Policy: mixed-script domain Punycode-এ display।

Email client (Outlook, Gmail) DMARC, SPF, DKIM enforcement এবং display name spoof detection।

ICANN-এর UDRP (Uniform Domain-Name Dispute-Resolution Policy) brand owner-দের typosquatted domain reclaim করার legal mechanism। তিনটি criteria meet হলে UDRP successful-

1. Disputed domain trademark-এর সাথে confusingly similar।
2. Squatter-এর legitimate interest নেই।
3. Bad faith registration/use।

WIPO (World Intellectual Property Organization) এবং NAF (National Arbitration Forum) UDRP arbitration provider।

US-এ ACPA (Anticybersquatting Consumer Protection Act, 1999) — civil remedy এবং damage।

বাংলাদেশে BTRC-এর domain registration policy, Cyber Security Act ২০২৩ relevant।

Enterprise-grade brand protection multi-faceted-

Defensive Registration

• core brand-এর সব common TLD (.com, .net, .org, .co, country TLD)।
• typo variant top 50-100।
• combosquatting variant (brand-secure, brand-login)।

Continuous Monitoring

• daily new domain registration feed।
• CT log monitoring।
• DNS resolution check।
• web crawling for site content।
• visual similarity (favicon, screenshot AI)।

Takedown Workflow

• legitimate hosting provider abuse contact।
• DMCA notice (যদি content infringement)।
• UDRP arbitration high-volume offender-দের জন্য।
• legal action criminal egregious case-এ।

User Education

• consistent URL communication।
• "always type or bookmark" advice।
• verified channel-এর identification।

Email Authentication

• DMARC reject policy।
• SPF, DKIM strict alignment।
• BIMI (Brand Indicators for Message Identification) — inbox-এ verified brand logo।

Generative AI-এর adoption typosquatting-কে আরো sophisticated করেছে। Attacker AI ব্যবহার করে-

• realistic phishing landing page generate (matching brand UI)।
• localized content (Bangla, Hindi, Vietnamese phishing site)।
• dynamic content adaptation।
• conversational chatbot impersonation।

Defender-side-ও AI ব্যবহৃত হচ্ছে — Microsoft Defender for Cloud, Cloudflare's AI WAF, etc।

বাংলাদেশের context-এ typosquatting বিশেষভাবে banking এবং MFS (Mobile Financial Services) sector-এ rampant-

• bKash, Nagad, Rocket-এর lookalike SMS link।
• Bangladesh Bank, Eastern Bank, Dutch-Bangla-এর mimicked email।
• Government portal (NID, BTRC, NBR)-এর fake site।

Local cybercrime unit এবং BGD e-GOV CIRT-এর সাথে collaborative takedown effort চলছে, কিন্তু volume বিশাল এবং hosting often offshore (Russia, Eastern Europe)।

Organization-level recommendation-

Defensive Domain Portfolio:

• top 20-50 typo variant register।
• country TLD coverage।
• combosquatting variant।

Monitoring Subscription:

• DomainTools, RiskIQ, ZeroFox, Mandiant Brand Protection।
• internal CT log monitoring (free, technical)।

Takedown Process:

• documented playbook।
• legal partnership।
• 24/7 abuse contact monitoring।

Email Security:

• DMARC reject।
• SPF, DKIM strict।
• BIMI implementation।

User-Facing Communication:

• consistent URL only।
• mobile app-এর preference সব channel-এ।
• security advisory regular।

Internal Security:

• DNS filtering (Cisco Umbrella, Cloudflare for Teams, NextDNS) — known typo domain block।
• phishing-resistant MFA।
• regular phishing simulation।

Developer-Specific:

• private package registry (Artifactory, Verdaccio)।
• dependency scanning (Snyk, Dependabot)।
• typosquatting check at install time (e.g., Socket.dev)।
• SBOM maintenance।

User Education:

• "look-twice-at-the-address-bar" habit।
• bookmark-only navigation for sensitive site।
• password manager-এর URL match dependence।
• IDN awareness।

Crisis Response:

• public advisory readiness।
• customer notification template।
• regulatory disclosure preparation।