直接导航——即在浏览器中手动输入域名访问网站的行为——正面临前所未有的风险：一项新研究发现，绝大多数"停放"域名（主要是过期或闲置域名，以及热门网站的常见拼写错误）现在都被配置为重定向访问者至推送诈骗和恶意软件的网站。

2025年10月，一个仿冒FBI网络犯罪投诉中心的域名在桌面端显示无害的停放页面（左图），而移动用户则被立即导向欺诈内容（右图）。图片来源：Infoblox。

当互联网用户尝试访问过期域名或意外导航至仿冒的"域名抢注"网站时，他们通常会被带到域名停放公司的占位页面。这些公司通过展示付费第三方网站的链接，试图从这些误入流量中获利。

十年前，访问这些停放域名后被重定向到恶意网站的概率相对较低：2014年研究人员发现（PDF），无论访问者是否点击停放页面上的任何链接，停放域名将用户重定向至恶意网站的概率均低于5%。

但在过去几个月的系列实验中，安全公司Infoblox的研究人员表示，他们发现情况现已完全逆转，恶意内容目前已成为停放网站的常态。

"在大规模实验中，我们发现超过90%的情况下，访问停放域名的用户会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅服务或恶意软件。这是因为停放公司将'点击'出售给广告商，而广告商往往又将流量转售给其他方，"Infoblox研究人员在今天发布的论文中写道。

Infoblox发现，如果访问者使用虚拟专用网络（VPN）或非住宅IP地址访问停放网站，这些网站会显示正常内容。例如，Scotiabank.com的客户若将域名误输为scotaibank[.]com，使用VPN时会看到正常的停放页面，但若使用住宅IP地址访问，则会被重定向至试图推送诈骗、恶意软件或其他不良内容的网站。需要强调的是，仅需使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名，就会触发这种重定向。

据Infoblox透露，scotaibank[.]com的所有者拥有近3000个仿冒域名组合，包括gmail[.]com。该域名已被证实配置了自己的邮件服务器用于接收邮件。这意味着，如果您在发送邮件给Gmail用户时不小心漏掉了"gmail.com"中的字母"l"，这封邮件不会消失或退回，而是直接落入这些诈骗者手中。报告指出，该域名还在近期多起商业邮件入侵攻击中被利用，通过附有木马恶意软件的"付款失败"诱饵进行欺诈。

Infoblox发现，这个特定的域名持有者（通过公共DNS服务器torresdns[.]com暴露）针对数十个顶级互联网平台设置了域名抢注网站，包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些域名抢注网站的脱敏列表可在此处查看（所列域名中的点号已替换为逗号）。

Infoblox威胁研究员David Brunsdon表示，停放页面会让访问者经历一系列重定向链，同时通过IP地理位置、设备指纹识别和Cookie来分析访问者系统，以确定最终重定向目标。

"在威胁到达之前，通常存在一条重定向链——涉及停放公司之外的一到两个域名，"Brunsdon说。"每次交接时，设备都会被反复分析，然后被传递到恶意域名，或者如果他们认为不值得攻击，则会被导向像Amazon.com或Alibaba.com这样的诱饵页面。"

访问scotaibank.com时的重定向路径样本。每个分支包含观察到的系列域名，包括颜色编码的着陆页。图片来源：Infoblox。

Infoblox指出，另一个拥有domaincntrol[.]com的威胁行为者（该域名与GoDaddy的名称服务器仅相差一个字符）长期利用DNS配置中的拼写错误将用户导向恶意网站。然而最近几个月，Infoblox发现这种恶意重定向仅发生在使用Cloudflare DNS解析器（1.1.1.1）的访问者查询错误配置域名时，其他所有访问者只会收到拒绝加载的页面。

研究人员发现，即使是知名政府域名的变体也已成为恶意广告网络的目标。

"当我们的一位研究人员试图向FBI的互联网犯罪投诉中心（IC3）举报犯罪时，他们意外访问了ic3[.]org而非ic3[.]gov，"报告指出。"他们的手机很快被重定向到一个虚假的'Drive订阅已过期'页面。他们还算幸运只遇到了诈骗；根据我们的了解，他们同样可能轻易收到信息窃取程序或木马恶意软件。"

Infoblox报告强调，他们追踪的恶意活动并未归因于任何已知方，并指出研究中提及的域名停放或广告平台与他们记录的恶意广告行为无关。

然而报告总结称，尽管停放公司声称只与顶级广告商合作，但这些域名的流量经常被出售给联盟网络，后者又多次转售流量，最终导致终端广告商与停放公司之间不存在任何商业关系。

直接导航——通过在网页浏览器中手动输入域名访问网站的行为——从未如此危险：一项新研究发现，绝大多数"停放"域名（主要是过期或闲置域名，或是热门网站的常见拼写错误）现在都被配置为重定向访问者至推送诈骗和恶意软件的网站。

一个模仿FBI网络犯罪投诉中心网站的相似域名，在2025年10月返回了无威胁的停放页面（左图），而移动用户则被立即导向欺骗性内容（右图）。图片来源：Infoblox。

当互联网用户尝试访问过期域名或意外导航至相似的"域名抢注"域名时，他们通常会被带到域名停放公司的占位页面，这些公司通过展示多个付费展示链接的第三方网站链接，试图从这些误入流量中获利。

十年前，访问这些停放域名后被重定向到恶意目的地的风险相对较小：2014年，研究人员发现（PDF）停放域名将用户重定向至恶意网站的概率不到5%——无论访问者是否点击了停放页面上的任何链接。

但在过去几个月的系列实验中，安全公司Infoblox的研究人员表示，他们发现情况现已逆转，恶意内容目前已成为停放网站的常态。

"在大规模实验中，我们发现超过90%的情况下，访问停放域名的用户会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅，或恶意软件，因为点击流量从停放公司出售给广告商，而广告商通常又将流量转售给另一方，"Infoblox研究人员在今天发布的论文中写道。

Infoblox发现，如果访问者使用虚拟专用网络（VPN）或非住宅互联网地址访问网站，停放网站是良性的。例如，Scotiabank.com的客户如果不小心将域名误输入为scotaibank[.]com，使用VPN时会看到正常的停放页面，但如果来自住宅IP地址，则会被重定向至试图推送诈骗、恶意软件或其他不良内容的网站。同样，仅通过使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名，就会发生这种重定向。

根据Infoblox的数据，拥有scotaibank[.]com的个人或实体拥有近3000个相似域名组合，包括gmai[.]com，该域名显然已配置了自己的邮件服务器以接收传入的电子邮件。这意味着，如果您向Gmail用户发送电子邮件时不小心遗漏了"gmail.com"中的"l"，该邮件不会消失在以太网中或产生退回回复：它会直接发送给这些诈骗者。报告指出，该域名还在最近的多次商业电子邮件入侵活动中被利用，使用附有木马恶意软件的付款失败诱饵。

Infoblox发现，这个特定的域名持有者（通过一个常见的DNS服务器——torresdns[.]com暴露）已建立了针对数十个顶级互联网目的地的域名抢注域名，包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些域名抢注域名的无害列表可在此处获取（所列域名中的点已替换为逗号）。

Infoblox的威胁研究员David Brunsdon表示，停放页面通过一系列重定向引导访问者，同时使用IP地理位置、设备指纹识别和Cookie来分析访问者的系统，以确定将域名访问者重定向至何处。

"在威胁到达之前，通常是一系列重定向链——停放公司之外的一两个域名，"Brunsdon说。"每次交接时，设备都会被反复分析，然后被传递到恶意域名，或者如果他们决定不值得作为目标，则传递到像Amazon.com或Alibaba.com这样的诱饵页面。"

访问scotaibank dot com时的重定向路径示例。每个分支包括观察到的一系列域名，包括颜色编码的着陆页。图片来源：Infoblox。

Infoblox表示，另一个拥有domaincntrol[.]com的威胁行为者——该域名与GoDaddy的名称服务器仅相差一个字符——长期以来一直利用DNS配置中的拼写错误将用户导向恶意网站。然而，最近几个月，Infoblox发现恶意重定向仅发生在对配置错误域名的查询来自使用Cloudflare DNS解析器（1.1.1.1）的访问者时，而所有其他访问者将收到一个拒绝加载的页面。

研究人员发现，即使是知名政府域名的变体也成为恶意广告网络的目标。

"当我们的一位研究人员试图向FBI的互联网犯罪投诉中心（IC3）报告犯罪时，他们不小心访问了ic3[.]org而不是ic3[.]gov，"报告指出。"他们的手机很快被重定向到一个虚假的'Drive Subscription Expired'页面。他们很幸运只遇到了诈骗；根据我们了解到的情况，他们同样可能轻易地收到信息窃取程序或木马恶意软件。"

Infoblox报告强调，他们追踪的恶意活动并未归因于任何已知方，并指出研究中提到的域名停放或广告平台并未涉及其记录中的恶意广告。

然而，报告总结道，尽管停放公司声称只与顶级广告商合作，但这些域名的流量经常被出售给联盟网络，而联盟网络又经常转售流量，以至于最终广告商与停放公司之间没有业务关系。

直接导航——即在浏览器中手动输入域名访问网站的行为——正面临前所未有的风险：一项新研究发现，绝大多数"停放"域名（主要是过期或闲置域名，以及热门网站的常见拼写错误）现在都被配置为重定向访问者至传播诈骗和恶意软件的网站。

2025年10月，模仿FBI网络犯罪投诉中心网站的相似域名曾显示无威胁的停放页面（左图），而移动用户则被立即导向欺诈内容（右图）。图片来源：Infoblox。

当互联网用户尝试访问过期域名或意外导航至相似的"域名抢注"网站时，通常会被导向域名停放公司的占位页面。这些公司通过展示付费第三方网站的链接，试图从错误流量中获利。

十年前，访问这些停放域名后被重定向至恶意网站的概率相对较低：2014年研究人员发现（PDF），无论访问者是否点击停放页面上的链接，停放域名将用户重定向至恶意网站的概率不足5%。

但在过去几个月的系列实验中，安全公司Infoblox的研究人员表示，他们发现情况现已完全逆转，恶意内容目前已成为停放网站的常态。

"在大规模实验中，我们发现超过90%的情况下，停放域名的访问者会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅服务或恶意软件。这是因为停放公司将'点击'出售给广告商，而广告商又经常将这些流量转售给第三方。"Infoblox研究人员在今日发布的论文中写道。

Infoblox发现，如果访问者使用虚拟专用网络（VPN）或非住宅IP地址访问停放网站，这些网站会显示正常内容。例如，Scotiabank.com客户若将域名误输为scotaibank[.]com，使用VPN时会看到正常停放页面，但使用住宅IP地址访问则会被重定向至试图传播诈骗、恶意软件或其他不良内容的网站。需要强调的是，仅需使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名，就会触发这种重定向。

据Infoblox调查，scotaibank[.]com的所有者拥有近3000个仿冒域名组合，包括gmail[.]com——该域名已被证实配置了用于接收邮件的独立邮件服务器。这意味着如果您在发送邮件给Gmail用户时不小心遗漏了"gmail.com"中的字母"l"，这封邮件不会消失或退回，而是直接落入诈骗者手中。报告指出，该域名近期还被用于多起商业邮件入侵攻击，通过附带木马恶意软件的"付款失败"诱饵进行欺诈。

Infoblox发现该特定域名持有者（通过公共DNS服务器torresdns[.]com暴露）针对数十个顶级网站建立了域名抢注页面，包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些抢注域名的无害化列表可在此处查看（所列域名中的点号已替换为逗号）。

Infoblox威胁研究员David Brunsdon表示，停放页面会让访问者经历一系列重定向链，同时通过IP地理位置、设备指纹识别和Cookie持续分析用户系统，以确定最终重定向目标。

"通常在威胁到达前会存在重定向链——涉及停放公司外部的一到两个域名，"Brunsdon说。"每次交接时设备都会被反复分析，然后被传递到恶意域名，或者如果判定不值得攻击，则转向Amazon.com或Alibaba.com等诱饵页面。"

访问scotaibank.com时的重定向路径样本。每个分支包含观察到的系列域名，包括颜色编码的着陆页。图片来源：Infoblox。

Infoblox指出，另一个控制domaincntrol[.]com的威胁行为体（该域名与GoDaddy名称服务器仅差一个字符）长期利用DNS配置中的拼写错误将用户导向恶意网站。但最近几个月发现，这种恶意重定向仅发生在访问者使用Cloudflare DNS解析器（1.1.1.1）查询错误配置域名时，其他所有访问者只会收到拒绝加载的页面。

研究人员发现，甚至知名政府域名的变体也已成为恶意广告网络的目标。

"当我们有研究人员尝试向FBI网络犯罪投诉中心（IC3）举报犯罪时，他们意外访问了ic3[.]org而非ic3[.]gov，"报告指出。"他们的手机很快被重定向到虚假的'Drive订阅已过期'页面。他们还算幸运只遇到诈骗；根据我们的研究，他们同样可能轻易遭遇信息窃取程序或木马病毒。"

Infoblox报告强调，他们追踪的恶意活动无法归因于任何已知方，研究中提及的域名停放或广告平台与其记录的恶意广告行为无关。

但报告最终指出，尽管停放公司声称只与顶级广告商合作，但这些域名的流量经常被转售给联盟网络，经过多次倒手后，最终广告商与停放公司已不存在直接业务关系。

直接导航——即在浏览器中手动输入域名访问网站的行为——正面临前所未有的风险：一项新研究发现，绝大多数"停放"域名（主要是过期或闲置域名，以及热门网站的常见拼写错误）现在都被配置为重定向访问者至推送诈骗和恶意软件的网站。

2025年10月，一个仿冒FBI网络犯罪投诉中心的域名在桌面端显示无威胁的停放页面（左图），而移动用户则被立即导向欺诈内容（右图）。图片来源：Infoblox。

当互联网用户尝试访问过期域名或意外导航至仿冒的"域名抢注"网站时，他们通常会被带到域名停放公司的占位页面。这些公司通过展示付费第三方网站的链接，试图从这些误入流量中获利。

十年前，访问这些停放域名后被重定向到恶意网站的概率相对较低：2014年，研究人员发现（PDF）停放域名将用户重定向至恶意网站的概率不到5%——无论访问者是否点击了停放页面上的任何链接。

但在过去几个月的系列实验中，安全公司Infoblox的研究人员表示，他们发现情况现已逆转，恶意内容目前已成为停放网站的常态。

"在大规模实验中，我们发现超过90%的情况下，访问停放域名的用户会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅，或恶意软件。这是因为点击流量从停放公司出售给广告商，而广告商通常又将这些流量转售给第三方，"Infoblox研究人员在今天发布的论文中写道。

Infoblox发现，如果访问者使用虚拟专用网络（VPN）或非住宅IP地址访问网站，停放网站是良性的。例如，Scotiabank.com的客户若将域名误输为scotaibank[.]com，使用VPN时会看到正常的停放页面，但若使用住宅IP地址访问，则会被重定向至试图推送诈骗、恶意软件或其他不良内容的网站。同样，仅需使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名，就会触发此重定向。

据Infoblox称，scotaibank[.]com的所有者拥有近3000个仿冒域名组合，包括gmai[.]com。该域名已被证实配置了自己的邮件服务器以接收传入的电子邮件。这意味着，如果您向Gmail用户发送电子邮件时不小心漏掉了"gmail.com"中的字母"l"，这封邮件不会消失在以太网中或产生退信回复：它会直接发送给这些诈骗者。报告指出，该域名还在近期多起商业电邮入侵攻击中被利用，使用附带木马恶意软件的付款失败诱饵。

Infoblox发现，这个特定的域名持有者（通过一个共同的DNS服务器——torresdns[.]com暴露）已针对数十个顶级互联网目标设置了域名抢注域名，包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些域名抢注域名的无害列表可在此处查看（所列域名中的点已替换为逗号）。

Infoblox的威胁研究员David Brunsdon表示，停放页面会引导访问者经过一系列重定向链，同时使用IP地理位置、设备指纹识别和Cookie来分析访问者的系统，以确定将域名访问者重定向至何处。

"在威胁到达之前，通常存在一个重定向链——停放公司之外的一到两个域名，"Brunsdon说。"每次交接时，设备都会被反复分析，然后被传递到恶意域名，或者如果他们认为不值得作为目标，则传递到像Amazon.com或Alibaba.com这样的诱饵页面。"

Brunsdon称，域名停放服务声称他们在停放页面上返回的搜索结果旨在与其停放域名相关，但他们测试的显示内容几乎都与仿冒域名无关。

访问scotaibank.com时的重定向路径示例。每个分支包括观察到的系列域名，包括颜色编码的着陆页。图片来源：Infoblox。

Infoblox表示，另一个拥有domaincntrol[.]com的威胁行为者（该域名与GoDaddy的名称服务器仅差一个字符）长期以来一直利用DNS配置中的拼写错误将用户导向恶意网站。然而，最近几个月，Infoblox发现恶意重定向仅发生在使用Cloudflare DNS解析器（1.1.1.1）的访问者查询配置错误的域名时，而所有其他访问者将收到一个拒绝加载的页面。

研究人员发现，即使是知名政府域名的变体也成为恶意广告网络的目标。

"当我们的一位研究人员试图向FBI的网络犯罪投诉中心（IC3）报告犯罪时，他们不小心访问了ic3[.]org而不是ic3[.]gov，"报告指出。"他们的手机很快被重定向到一个虚假的'Drive Subscription Expired'页面。他们很幸运只遇到了诈骗；根据我们的了解，他们同样可能轻易地收到信息窃取程序或木马恶意软件。"

Infoblox报告强调，他们追踪的恶意活动并未归因于任何已知方，并指出研究中提及的域名停放或广告平台与他们记录的恶意广告活动无关。

直接导航——通过在网页浏览器中手动输入域名访问网站的行为——从未如此危险：一项新研究发现，绝大多数“停放”域名（主要是过期或闲置的域名，或是热门网站的常见拼写错误）现在被配置为重定向访问者至推送诈骗和恶意软件的网站。

一个模仿FBI互联网犯罪投诉中心网站的相似域名，在2025年10月曾返回一个无威胁的停放页面（左图），而移动用户则被立即导向欺骗性内容（右图）。图片来源：Infoblox。

当互联网用户尝试访问过期域名或意外导航至相似的“域名抢注”域名时，他们通常会被带到一个域名停放公司的占位页面，该公司通过展示一系列付费链接的第三方网站来试图从这些误入流量中获利。

十年前，访问这些停放域名时被重定向到恶意目的地的风险相对较小：2014年，研究人员发现（PDF）停放域名将用户重定向至恶意网站的概率不到5%——无论访问者是否点击了停放页面上的任何链接。

但在过去几个月的系列实验中，安全公司Infoblox的研究人员表示，他们发现情况现已逆转，恶意内容目前是停放网站的绝对常态。

“在大规模实验中，我们发现超过90%的情况下，访问停放域名的用户会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅，或恶意软件，因为‘点击’从停放公司出售给广告商，而广告商通常又将该流量转售给另一方，”Infoblox研究人员在今天发布的一篇论文中写道。

Infoblox发现，如果访问者使用虚拟私人网络（VPN）或非住宅互联网地址访问网站，停放网站是良性的。例如，Scotiabank.com的客户如果不小心将域名误输入为scotaibank[.]com，在使用VPN时会看到一个正常的停放页面，但如果来自住宅IP地址，则会被重定向到一个试图推送诈骗、恶意软件或其他不良内容的网站。同样，仅通过使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名，就会发生这种重定向。

据Infoblox称，拥有scotaibank[.]com的个人或实体拥有近3000个相似域名组合，包括gmai[.]com，该域名显然已配置了自己的邮件服务器以接收传入的电子邮件。这意味着，如果您向Gmail用户发送电子邮件，却不小心从“gmail.com”中漏掉了“l”，那么这封邮件不会消失在以太网中或产生退回回复：它会直接发送给这些诈骗者。报告指出，该域名还在最近的多个商业电子邮件入侵活动中被利用，使用附有木马恶意软件的付款失败诱饵。

Infoblox发现，这个特定的域名持有者（通过一个常见的DNS服务器——torresdns[.]com暴露）已建立了针对数十个顶级互联网目的地的域名抢注域名，包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些域名抢注域名的无害化列表可在此处获取（所列域名中的点已替换为逗号）。

Infoblox的威胁研究员David Brunsdon表示，停放页面通过一系列重定向引导访问者，同时使用IP地理位置、设备指纹识别和Cookie来分析访问者的系统，以确定将域名访问者重定向至何处。

“在威胁到达之前，通常是一连串的重定向——停放公司之外的一两个域名，”Brunsdon说。“每次交接时，设备都会被反复分析，然后被传递到一个恶意域名，或者如果他们决定不值得作为目标，则传递到像Amazon.com或Alibaba.com这样的诱饵页面。”

Brunsdon表示，域名停放服务声称他们在停放页面上返回的搜索结果旨在与其停放域名相关，但他们测试的几乎所有显示内容都与相似域名无关。

访问scotaibank dot com时的重定向路径示例。每个分支包括一系列观察到的域名，包括颜色编码的着陆页。图片来源：Infoblox。

Infoblox表示，另一个拥有domaincntrol[.]com的威胁行为者——该域名与GoDaddy的名称服务器仅相差一个字符——长期以来一直利用DNS配置中的拼写错误将用户导向恶意网站。然而，最近几个月，Infoblox发现恶意重定向仅发生在对配置错误的域名的查询来自使用Cloudflare DNS解析器（1.1.1.1）的访问者时，而所有其他访问者将收到一个拒绝加载的页面。

研究人员发现，即使是知名政府域名的变体也成为恶意广告网络的目标。

“当我们的一位研究人员试图向FBI的互联网犯罪投诉中心（IC3）报告犯罪时，他们不小心访问了ic3[.]org而不是ic3[.]gov，”报告指出。“他们的手机很快被重定向到一个虚假的‘Drive Subscription Expired’页面。他们很幸运只遇到了诈骗；根据我们了解到的情况，他们同样可能轻易地收到信息窃取程序或木马恶意软件。”

Infoblox报告强调，他们追踪的恶意活动并未归因于任何已知方，并指出研究中提到的域名停放或广告平台并未涉及其记录中的恶意广告活动。