Vad är typosquatting?
Typosquatting (även kallat URL-kapning eller domänimitation) är praktiken att registrera domännamn som liknar en legitim domän, i hopp om att användare skriver fel i adressen eller inte märker subtila skillnader.
Detta används ofta för riktade phishing-kampanjer mot företag.
För dindomän.se kan angripare registrera:
| Typosquat-typ | Exempel |
|---|---|
| Teckenbyte | d1ndomän.se (siffran 1 istället för i) |
| Teckenuteslutning | dndomän.se |
| Teckentransposition | idndomän.se |
| Teckenaddition | dinnddomän.se |
| Homoglyf (liknande tecken) | dinḋomän.se (Unicode-d) |
| Annat TLD | dindomän.com, dindomän.co |
| Bindestrecksinlägg | din-domän.se |
| Bindestrecksborttagning | (om din domän har bindestreck) |
| Combosquatting | dindomän-login.se, dindomän-support.se |
ExposureIndex övervakar registrerade domäner som matchar dessa mönster och kontrollerar om de är aktivt konfigurerade för e-postsändning (har MX-poster) eller hostar innehåll — tecken på att domänen används i en attack.
Hur angripare använder lookalike-domäner
- Phishing av anställda — E-postmeddelanden som verkar komma från
hr@d1ndomän.seoch ber personal logga in på en falsk portal. - Phishing av kunder — E-postmeddelanden som verkar komma från
support@dindomän-support.seriktade mot dina användare. - Business Email Compromise (BEC) — Utger sig för att vara din VD eller ekonomiteam för att omdirigera betalningar.
- Credential harvesting — Hostar en övertygande klon av din inloggningssida.
- Skadlig kod — Hostar nedladdningar som verkar vara din programvara.
En lookalike-domän med ett giltigt SSL-certifikat är omöjlig att skilja från din riktiga domän för ett otränat öga.
Vad du bör göra
Defensiva registreringar
Registrera de mest uppenbara typosquatsen innan angripare gör det. Prioriterade kandidater:
- Vanliga enteckenstypos av ditt domännamn
- Din domän under
.com,.org,.netoch lands-TLD:er relevanta för din marknad - Combosquats för dina vanligaste arbetsflöden:
dindomän-login.se,dindomän-support.se,dindomän-secure.se
Peka dessa registreringar mot din riktiga domän (omdirigering) eller till en parkerad sida. Detta är relativt billigt — domänregistrering kostar lite jämfört med en lyckad phishing-kampanj.
Konfigurera DMARC på p=reject
Om din egen domän har DMARC på p=reject hindrar det angripare från att spoofа din exakta domän. Det gör ingenting för lookalike-domäner (de är separata registreringar), men det begränsar attackytan till domäner som kräver mer ansträngning att registrera.
Övervaka och rapportera aktiva hot
När ExposureIndex flaggar en lookalike-domän som aktivt skickar e-post (har MX-poster) eller hostar en phishing-sida:
- Samla bevis — Ta en skärmdump av sidan, notera IP-adressen, spara e-postrubriker om tillgängligt.
- Rapportera till hostingleverantören/registraren — Använd missbrukskontakten i domänens WHOIS-post (
whois dindomän-fake.se). De flesta registrarer och hostingleverantörer stänger av tydligt missbrukande domäner inom 24–72 timmar. - Rapportera till Google Safe Browsing — safebrowsing.google.com/safebrowsing/report_phish — detta flaggar sidan i Chrome, Firefox och Safari.
- Rapportera till CERT-SE — Det svenska CERT:et har befogenhet att agera vid phishing-nedtagningar.
- Varna dina kunder — Om en lookalike-domän aktivt riktar sig mot dina användare minskar en notifiering via dina legitima kanaler antalet offer.
Utbilda anställda att verifiera avsändardomäner
Anställda bör tränas att titta på den fullständiga avsändardomänen — inte bara visningsnamnet — innan de litar på ett mejl. Visningsnamnet i "Från"-fältet kan säga vad som helst; den faktiska adressen är det som räknas.
Senast uppdaterad: March 28, 2026