1. Wybór celu: atakujący identyfikuje popularną domenę / pakiet / handle blockchain (ofiara musi mieć duży wolumen ruchu, żeby ROI był wysoki). 2. Generowanie wariantów: literówki (transposition, insertion, deletion, substitution), inne TLD, l.mn., ccTLD abuse (.cm/.co/.om), homoglify Unicode, obcojęzyczne pisownie. Algorytmy typu 'dnstwist' automatyzują generowanie tysięcy wariantów. 3. Rejestracja: atakujący masowo kupuje/rejestruje warianty w tanim rejestrze (ok. 8-15 USD/domenę/rok, prawie za darmo dla pakietów PyPI/npm/GitHub, kilka USD za nazwę ENS). 4. Setup: (a) parking z reklamami — pasywna monetyzacja; (b) phishing page — klon prawdziwej strony do zbierania haseł; (c) malware drop — drive-by download; (d) redirect do afiliacyjnego linku lub konkurencji; (e) e-mail catcher — zbieranie wiadomości wysyłanych na typo-domenę firmową. 5. Ofiara: użytkownik popełnia literówkę, klika link ze SPAM-a, lub aplikacja/skrypt/asystent AI sam wykonuje pip install typo-name. 6. Skalowanie: atakujący nie musi 'trafić' konkretnej ofiary — wystarczy ułamek procenta użytkowników domeny/pakietu. Przy popularnym celu (Google.com: miliony wpisów dziennie) 0,01% błędów daje setki wizyt.
Typosquatting NIE rozwiązuje problemu — jest atakiem/eksploatacją omyłek pisarskich. Rozwiązuje problem ATAKUJĄCEGO: jak przechwycić ruch, transakcje lub kredencjale bez włamania się do infrastruktury ofiary. Odpowiedź: zająć nazwę której ofiara nie kontroluje, a którą użytkownicy wpiszą przez pomyłkę.
Prawdziwa, popularna nazwa którą atakujący będzie imitował: google.com, react (npm), vitalik.eth (ENS), amazonaws.com. Kryterium wyboru: wolumen ruchu × prawdopodobieństwo pomyłki.
Oficjalna
Algorytm / narzędzie produkujące potencjalne literówki: dnstwist, urlcrazy, custom scripty. Bierze pod uwagę sąsiedztwo klawiatury, częste błędy (transposition, insertion, deletion), homoglify Unicode, plurale, TLD swaps.
Oficjalna
System, w którym atakujący rejestruje nazwę: rejestrator DNS (GoDaddy, Namecheap), rejestr pakietów (PyPI, npm, RubyGems, crates.io), blockchain naming system (ENS, Unstoppable Domains, ADAHandles), rejestr certyfikatów.
Oficjalna
Co użytkownik zobaczy/wykona po dotarciu do squatowanej nazwy: klon strony (phishing), reklama (parking), drive-by malware, przekierowanie do afilianta, e-mail catcher, malicious package post-install script.
Oficjalna
Firma rejestruje tylko google.com; goggle.com, gogle.com, google.co, google.om zostają dostępne dla atakującego. Lego wydało ~500k USD na UDRP już PO fakcie.
Homoglify Unicode (cyrylica, greka) są nieodróżnialne wizualnie dla użytkownika. Doppelganger domain z brakiem kropki bywa zauważana dopiero po logowaniu.
PyPI/npm/RubyGems przez lata nie egzekwowały weryfikacji tożsamości maintainera; typosquat pakietu (requests → requsts, python-dateutil → python-datetutil) był trywialny.
W ENS/Unstoppable Domains błędnie wysłana kryptowaluta jest nieodwracalna. Ofiara nie ma UDRP ani chargebacku — pieniądze przepadły.
Kongres USA przyjmuje ACPA — pierwsze formalne uznanie typosquattingu jako actionable offense. Sekcja 3(a) rozszerza 15 USC 1117 o sub-section (d)(2)(B)(ii). Uzupełnia UDRP przy WIPO (aktywne od 1999).
McAfee dokumentuje ilość malware instalowanego przez drive-by download na goggle.com — literówce google.com. SpySheriff, rogue anti-spyware, jako emblematyczny payload.
Ben Edelman i Tyler Moore publikują 'Measuring Typosquatting Perpetrators and Funders' — pokazują, że typosquatting generuje ~500 mln USD/rok tylko na literówkach domen Google (New Scientist 2010).
John Oliver w 'Last Week Tonight' rejestruje equifacks.com, experianne.com, tramsonion.com jako demonstrację jak trywialny jest typosquatting.
Digital Shadows raportuje wykrycie ponad 550 typosquatów związanych z wyborami prezydenckimi w USA 2020 (kandydaci, komitety wyborcze).
Malware.news dokumentuje dystrybucję Magniber ransomware przez typo-domeny Chrome/Edge — pierwsze duże malware family używające typosquattingu jako głównego wektora.
Muzammil et al. (APWG eCrime 2024) publikują pierwszy large-scale measurement typosquattingu w ENS, Unstoppable Domains, ADAHandles. Tysiące transakcji kryptowalutowych wysłanych do squatowanych adresów. IEEE doi:10.1109/eCrime60373.2024.10896082.
Have I Been Squatted + Ctrl-Alt-Intel raportują (luty 2026) kampanię phishingową 'Diesel Vortex' rosyjsko-armeńskiej grupy cyberprzestępczej. Cel: frachtowe i logistyczne firmy w USA i Europie. Wynik: >1600 unikalnych kredencjali skradzionych z platform logistycznych. CERT-EU wydaje Cyber Brief 26-03.
Lipiec 2026: zespół Tel Aviv University + Technion + Intuit publikuje HalluSquatting. Zamiast zgadywania literówek użytkownika, atakujący ustala które nazwy LLM halucynuje w rekomendacjach kodu i pre-rejestruje właśnie te. Fundamentalna zmiana wektora: z user typos na AI hallucinations.
Który mechanizm generowania jest używany: klasyczna literówka, TLD swap, homoglify, combosquatting, doppelganger domain, ccTLD abuse.
DNS (domain names), package registry (npm/pypi/rubygems/crates.io), blockchain naming (ENS/UD/ADAHandles), social handles (X, Instagram, GitHub org).
Jak atakujący zarabia: parking z reklamami, phishing kredencjali, malware distribution, afiliacja, kradzież kryptowalut, sprzedaż domeny brandowi.
Trigger jest zewnętrzny (ludzki błąd, halucynacja LLM, autouzupełnianie IDE), a nie w kodzie ataku.
Aktywacja zależy od tego, co ofiara wpisze lub co wybierze mechanizm rozwiązywania nazw (DNS, resolver rejestru pakietów, wyszukiwarka modeli, wybór narzędzia przez agenta LLM).
Setki lub tysiące wariantów mogą być utrzymywane równolegle; każdy działa niezależnie i wyzwala się dopiero, gdy ofiara popełni błąd.
Typosquatting to atak socjotechniczny + rejestrowy — nie zależy od procesora, GPU, TPU ani akceleratora. Występuje tam gdzie jest jakikolwiek namespace z rejestracją nazw.