Typosquatting 是利用知名域名的拼写错误注册近似域名, 把误访的用户引向钓鱼站或广告页。 ICANN 与 Symantec 长期统计显示主要品牌每月有数千个 typo 域名被新注册。 2024 年 GitHub、 Microsoft 365、 PayPal、 LINE、 Mercari 的伪装域名尤其多。短网址运营方与使用方都需理解并防御。
典型手法有四种: 字符替换 (「twitter.com」 → 「twltter.com」)、字符位置交换 (「amazon.co.jp」 → 「amzaon.co.jp」)、字符省略 (「microsoft.com」 → 「microsft.com」)、同形攻击 (ASCII 「a」 替换为西里尔字母 「а」)。第四种在地址栏视觉上难以分辨, 浏览器若未开启 IDN Punycode 显示则极难发现。
短网址运营方的核心防御是"注册时的 URL 检查": 用 Google Safe Browsing API、 PhishTank、 OpenPhish 等情报源比对, 命中钓鱼或恶意软件即拒绝注册或自动停用。运营企业用户的防御应结合短网址的链接预览与员工教育, 配合 Microsoft 365 Safe Links 或 Google Workspace 邮件威胁防护。要系统学习信息安全, 相关书籍可在 Amazon 找到。
品牌方应持续监测自家域名的近似注册, 必要时通过 UDRP 进行域名移转。 WIPO 2024 年数据显示 UDRP 案件约 92% 由申诉方胜诉, 法律手段实用可行。同时把官方短网址域名告知员工与顾客, 形成"非官方短网址不要点击"的内部规则可显著降低受害率。