Navigasi langsung, yaitu tindakan mengunjungi situs web dengan mengetikkan nama domain secara manual di peramban web, kini semakin berisiko. Sebuah studi baru menemukan bahwa sebagian besar domain ‘parkir’ (nama domain yang kedaluwarsa atau tidak aktif, atau salah ketik umum dari situs web populer) kini dikonfigurasi untuk mengarahkan pengunjung ke situs yang menyebarkan penipuan dan malware.

Domain tiruan dari situs web FBI Internet Crime Complaint Center, menampilkan halaman parkir yang tidak berbahaya (kiri) sementara pengguna seluler langsung diarahkan ke konten penipuan pada Oktober 2025 (kanan). Gambar: Infoblox.

Ketika pengguna internet mencoba mengunjungi nama domain yang kedaluwarsa atau secara tidak sengaja membuka domain ‘typosquatting’ (domain tiruan karena salah ketik), mereka biasanya akan diarahkan ke halaman penampung di perusahaan parkir domain. Perusahaan ini mencoba memonetisasi lalu lintas yang salah arah tersebut dengan menampilkan tautan ke sejumlah situs web pihak ketiga yang telah membayar agar tautan mereka ditampilkan.

Satu dekade lalu, berakhir di salah satu domain parkir ini memiliki peluang yang relatif kecil untuk diarahkan ke tujuan berbahaya. Pada tahun 2014, para peneliti menemukan (PDF) bahwa domain parkir mengarahkan pengguna ke situs berbahaya kurang dari lima persen, terlepas dari apakah pengunjung mengklik tautan apa pun di halaman parkir tersebut.

Namun, dalam serangkaian eksperimen selama beberapa bulan terakhir, para peneliti di perusahaan keamanan Infoblox menyatakan bahwa mereka menemukan situasinya kini berbalik. Konten berbahaya kini menjadi norma bagi sebagian besar situs web yang diparkir.

“Dalam eksperimen skala besar, kami menemukan bahwa lebih dari 90% waktu, pengunjung domain parkir akan diarahkan ke konten ilegal, penipuan, scareware dan langganan perangkat lunak antivirus, atau malware, karena ‘klik’ tersebut dijual dari perusahaan parkir ke pengiklan, yang seringkali menjual kembali lalu lintas tersebut ke pihak lain,” tulis peneliti Infoblox dalam sebuah makalah yang diterbitkan hari ini.

Infoblox menemukan bahwa situs web yang diparkir bersifat jinak jika pengunjung tiba di situs menggunakan jaringan pribadi virtual (VPN), atau melalui alamat internet non-residensial. Sebagai contoh, pelanggan Scotiabank.com yang secara tidak sengaja salah mengetik domain menjadi scotaibank[.]com akan melihat halaman parkir normal jika mereka menggunakan VPN. Namun, mereka akan diarahkan ke situs yang mencoba menyebarkan penipuan, malware, atau konten tidak diinginkan lainnya jika berasal dari alamat IP residensial. Pengalihan ini terjadi hanya dengan mengunjungi domain yang salah ketik tersebut menggunakan perangkat seluler atau komputer desktop yang menggunakan alamat IP residensial.

Menurut Infoblox, individu atau entitas yang memiliki scotaibank[.]com memiliki portofolio hampir 3.000 domain tiruan, termasuk gmai[.]com. Domain ini terbukti telah dikonfigurasi dengan server emailnya sendiri untuk menerima pesan email masuk. Artinya, jika Anda mengirim email ke pengguna Gmail dan secara tidak sengaja menghilangkan huruf ‘l’ dari ‘gmail.com’, pesan tersebut tidak hanya hilang begitu saja atau menghasilkan balasan pantulan, melainkan langsung masuk ke tangan para penipu ini. Laporan tersebut juga mencatat bahwa domain ini telah dimanfaatkan dalam beberapa kampanye penipuan email bisnis (BEC) baru-baru ini, menggunakan umpan yang mengindikasikan pembayaran gagal dengan lampiran malware trojan.

Infoblox menemukan bahwa pemilik domain khusus ini (yang terungkap dari penggunaan server DNS umum, yaitu torresdns[.]com) telah menyiapkan domain typosquatting yang menargetkan puluhan tujuan internet terkemuka, termasuk Craigslist, YouTube, Google, Wikipedia, Netflix, TripAdvisor, Yahoo, eBay, dan Microsoft. Daftar domain typosquatting ini yang telah ‘dilucuti’ tersedia di sini (titik-titik pada domain yang terdaftar telah diganti dengan koma).

David Brunsdon, seorang peneliti ancaman di Infoblox, mengatakan bahwa halaman-halaman parkir tersebut mengirim pengunjung melalui serangkaian pengalihan, sambil memprofilkan sistem pengunjung menggunakan geolokasi IP, sidik jari perangkat, dan cookie untuk menentukan ke mana harus mengarahkan pengunjung domain.

“Seringkali itu adalah serangkaian pengalihan, biasanya satu atau dua domain di luar perusahaan parkir, sebelum ancaman tiba,” kata Brunsdon. “Setiap kali dalam serah terima, perangkat diprofilkan berulang kali, sebelum diteruskan ke domain berbahaya atau halaman umpan seperti Amazon.com atau Alibaba.com jika mereka memutuskan tidak layak untuk ditargetkan.”

Brunsdon mengatakan bahwa layanan parkir domain mengklaim hasil pencarian yang mereka tampilkan di halaman parkir dirancang agar relevan dengan domain yang diparkir. Namun, hampir tidak ada konten yang ditampilkan tersebut yang terkait dengan nama domain tiruan yang mereka uji.

Contoh jalur pengalihan saat mengunjungi scotaibank dot com. Setiap cabang mencakup serangkaian domain yang diamati, termasuk halaman arahan berkode warna. Gambar: Infoblox.

Infoblox mengatakan bahwa pelaku ancaman lain yang memiliki domaincntrol[.]com (sebuah domain yang hanya berbeda satu karakter dari server nama GoDaddy) telah lama memanfaatkan kesalahan ketik dalam konfigurasi DNS untuk mengarahkan pengguna ke situs web berbahaya. Namun, dalam beberapa bulan terakhir, Infoblox menemukan bahwa pengalihan berbahaya hanya terjadi ketika permintaan untuk domain yang salah konfigurasi tersebut berasal dari pengunjung yang menggunakan resolver DNS Cloudflare (1.1.1.1), dan semua pengunjung lainnya akan mendapatkan halaman yang menolak untuk dimuat.

Para peneliti menemukan bahwa bahkan variasi pada domain pemerintah yang terkenal pun menjadi sasaran jaringan iklan berbahaya.

“Ketika salah satu peneliti kami mencoba melaporkan kejahatan ke Internet Crime Complaint Center (IC3) FBI, mereka secara tidak sengaja mengunjungi ic3[.]org alih-alih ic3[.]gov,” catat laporan tersebut. “Ponsel mereka dengan cepat dialihkan ke halaman palsu ‘Drive Subscription Expired’. Mereka beruntung hanya menerima penipuan; berdasarkan apa yang kami pelajari, mereka bisa saja dengan mudah menerima pencuri informasi atau malware trojan.”

Laporan Infoblox menekankan bahwa aktivitas berbahaya yang mereka lacak tidak dikaitkan dengan pihak mana pun yang diketahui, mencatat bahwa platform parkir domain atau periklanan yang disebutkan dalam studi tersebut tidak terlibat dalam malvertising yang mereka dokumentasikan.

Namun, laporan tersebut menyimpulkan bahwa meskipun perusahaan parkir mengklaim hanya bekerja dengan pengiklan terkemuka, lalu lintas ke domain-domain ini seringkali dijual ke jaringan afiliasi, yang seringkali menjual kembali lalu lintas tersebut hingga pengiklan akhir tidak memiliki hubungan bisnis dengan perusahaan parkir.

Infoblox juga menunjukkan bahwa perubahan kebijakan Google baru-baru ini mungkin secara tidak sengaja meningkatkan risiko bagi pengguna dari penyalahgunaan pencarian langsung. Brunsdon mengatakan Google Adsense sebelumnya secara default mengizinkan iklan mereka ditempatkan di halaman parkir. Namun, pada awal 2025, Google menerapkan pengaturan default yang membuat pelanggan mereka memilih untuk tidak menampilkan iklan di domain parkir secara default. Ini berarti orang yang menjalankan iklan harus secara sukarela masuk ke pengaturan mereka dan mengaktifkan parkir sebagai lokasi.

Sumber: krebsonsecurity.com