直接导航——通过在网页浏览器中手动输入域名访问网站的行为——从未如此危险：一项新研究发现，绝大多数"停放"域名（主要是过期或闲置域名，或是热门网站的常见拼写错误）现在都被配置为重定向访问者至推送诈骗和恶意软件的网站。

一个模仿FBI网络犯罪投诉中心网站的相似域名，在2025年10月返回了无威胁的停放页面（左图），而移动用户则被立即导向欺骗性内容（右图）。图片来源：Infoblox。

当互联网用户尝试访问过期域名或意外导航至相似的"域名抢注"域名时，他们通常会被带到域名停放公司的占位页面，这些公司通过展示多个付费展示链接的第三方网站链接，试图从这些误入流量中获利。

十年前，访问这些停放域名后被重定向到恶意目的地的风险相对较小：2014年，研究人员发现（PDF）停放域名将用户重定向至恶意网站的概率不到5%——无论访问者是否点击了停放页面上的任何链接。

但在过去几个月的系列实验中，安全公司Infoblox的研究人员表示，他们发现情况现已逆转，恶意内容目前已成为停放网站的常态。

"在大规模实验中，我们发现超过90%的情况下，访问停放域名的用户会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅，或恶意软件，因为点击流量从停放公司出售给广告商，而广告商通常又将流量转售给另一方，"Infoblox研究人员在今天发布的论文中写道。

Infoblox发现，如果访问者使用虚拟专用网络（VPN）或非住宅互联网地址访问网站，停放网站是良性的。例如，Scotiabank.com的客户如果不小心将域名误输入为scotaibank[.]com，使用VPN时会看到正常的停放页面，但如果来自住宅IP地址，则会被重定向至试图推送诈骗、恶意软件或其他不良内容的网站。同样，仅通过使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名，就会发生这种重定向。

根据Infoblox的数据，拥有scotaibank[.]com的个人或实体拥有近3000个相似域名组合，包括gmai[.]com，该域名显然已配置了自己的邮件服务器以接收传入的电子邮件。这意味着，如果您向Gmail用户发送电子邮件时不小心遗漏了"gmail.com"中的"l"，该邮件不会消失在以太网中或产生退回回复：它会直接发送给这些诈骗者。报告指出，该域名还在最近的多次商业电子邮件入侵活动中被利用，使用附有木马恶意软件的付款失败诱饵。

Infoblox发现，这个特定的域名持有者（通过一个常见的DNS服务器——torresdns[.]com暴露）已建立了针对数十个顶级互联网目的地的域名抢注域名，包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些域名抢注域名的无害列表可在此处获取（所列域名中的点已替换为逗号）。

Infoblox的威胁研究员David Brunsdon表示，停放页面通过一系列重定向引导访问者，同时使用IP地理位置、设备指纹识别和Cookie来分析访问者的系统，以确定将域名访问者重定向至何处。

"在威胁到达之前，通常是一系列重定向链——停放公司之外的一两个域名，"Brunsdon说。"每次交接时，设备都会被反复分析，然后被传递到恶意域名，或者如果他们决定不值得作为目标，则传递到像Amazon.com或Alibaba.com这样的诱饵页面。"

访问scotaibank dot com时的重定向路径示例。每个分支包括观察到的一系列域名，包括颜色编码的着陆页。图片来源：Infoblox。

Infoblox表示，另一个拥有domaincntrol[.]com的威胁行为者——该域名与GoDaddy的名称服务器仅相差一个字符——长期以来一直利用DNS配置中的拼写错误将用户导向恶意网站。然而，最近几个月，Infoblox发现恶意重定向仅发生在对配置错误域名的查询来自使用Cloudflare DNS解析器（1.1.1.1）的访问者时，而所有其他访问者将收到一个拒绝加载的页面。

研究人员发现，即使是知名政府域名的变体也成为恶意广告网络的目标。

"当我们的一位研究人员试图向FBI的互联网犯罪投诉中心（IC3）报告犯罪时，他们不小心访问了ic3[.]org而不是ic3[.]gov，"报告指出。"他们的手机很快被重定向到一个虚假的'Drive Subscription Expired'页面。他们很幸运只遇到了诈骗；根据我们了解到的情况，他们同样可能轻易地收到信息窃取程序或木马恶意软件。"

Infoblox报告强调，他们追踪的恶意活动并未归因于任何已知方，并指出研究中提到的域名停放或广告平台并未涉及其记录中的恶意广告。

然而，报告总结道，尽管停放公司声称只与顶级广告商合作，但这些域名的流量经常被出售给联盟网络，而联盟网络又经常转售流量，以至于最终广告商与停放公司之间没有业务关系。