Het is een truc zo oud als het web zelf: claim een domeinnaam waarmee je bezoekers vangt die het adres van een populaire bestemming verkeerd intikken. De typosquatters zijn de laatste tijd bezig aan een opmars.
Probeer het maar eens: type facebook.com als faebook.com en in plaats van het bekende blauw komt een felicitatie in beeld: u bent "de winnaar van …" Om de prijs in ontvangst te nemen, hoeft u alleen maar uw e-mailadres achter te laten. Oké, probeer het toch maar niet; daar komt alleen maar ellende van.
Gelukkig heeft Facebook een reeks fout gespelde varianten van zijn naam wél geclaimd maar net als elk bedrijf van enige naam heeft het uitgebreide ervaring met de zogenoemde typosquatters: domeinnaamkapers die leven van onze tikfouten. In het voorbeeld is het doel het verzamelen van mailadressen die geld opleveren als ze voor spam worden gebruikt, andere tikfouten leiden tot weinig anders dan pagina's die verkeer verkopen aan onschuldige advertentienetwerken.
Schade: 285 miljoen dollar
De laatste tijd worden de domeinnaamkrakers steeds actiever, en de grootste namen van het web proberen ze dan ook juridisch aan te pakken. Er staat namelijk nogal wat op het spel. Volgens de webconsultants van FairWinds zadelen de kapers de 250 bestbezochte websites op met jaarlijks 285 miljoen dollar aan gemiste inkomsten en andere kosten. Het is niet ongebruikelijk dat top websites worden belaagd door meer dan duizend erop lijkende domeinnamen van typosquatters. Dat de exploitatie van tikfouten steeds populairder wordt, is te wijten aan de opmars van advertentienetwerken: die maken het eenvoudig voor de kapers om op min of meer legale wijze geld te verdienen aan het aftappen van verkeer. Het gemak waarmee de tikfoutexploitanten binnenlopen is verbluffend: er zullen genoeg mediabedrijven zijn die dromen van de ruim 800.000 unieke bezoekers die goggle.com maandelijks trekt.
Juridisch gevecht
Voor de bonafide eigenaren van websites zit er intussen weinig anders op dan zoveel mogelijk erop lijkende namen te claimen. Facbook.com leidt bijvoorbeeld keurig naar het sociale netwerk dat eigenlijk werd bedoeld. Het opsporen en juridisch aanpakken van de typosquatters blijkt een stuk moeilijker. Een klacht bij een domeinnamenautoriteit als ICANN kan helpen, maar de klager zal moeten bewijzen dat er kwade opzet in het spel is.
Nou moeten de juristen van de grootste webbedrijven zich ook nuttig maken, dus er is een gestage stroom klachten en rechtszaken op gang gekomen. Google heeft klachten lopen tegen twee sites die vanuit de Fillipijnen tikfouten in het adres van YouTube exploiteren. Deze zomer begon Facebook een zaak tegen meer dan honderd typosquatters die inbreuk zouden maken op het merkrecht van het bedrijf, met domeinnamen als facebobk.com, facemook.com en faecbook.com.
Het spreekt niet vanzelf dat rechters de rechtmatige eigenaar van een bekende naam zonder meer gelijk geven. Vorige maand nog liep de claim van Google op niets uit, toen het in de VS voor het National Arbitration Forum de zeggenschap opeiste over drie sites met verhaspelde namen: goggle.com, goggle.net, en goggle.org. De reden: het arbitragecollege achtte zich niet bevoegd. Zakenman David Csumrik kan dus vanuit Barbados vrolijk doorgaan met het weggeven van iPads als prijzen – tegen achterlating van een e-mailadres.
Nederland
In Nederland trok – al in 2000 – het bedrijfje Kijkenvergelijk BV aan het kortste eind, toen het de namen wwwad.nl en wwwnrc.nl had geclaimd en werd aangepakt door de uitgever van die kranten. Volgens de rechter maakte Kijkenvergelijk hiermee inbreuk op de merkrechten van AD en NRC: "Typosquatting is zonder twijfel een vorm van gebruik zonder geldige reden in het economisch verkeer van een met een merk overeenstemmend teken waardoor ongerechtvaardigd voordeel kan worden getrokken uit of afbreuk kan worden gedaan aan het onderscheidend vermogen of de reputatie van het merk,” aldus het vonnis van de rechtbank in Zutphen.
Veiligheid
Behalve gemist verkeer en ergernis bij het publiek, kunnen typosquatters ook een gevaar vormen voor bedrijfsgeheimen. Achter goggle.com staat een e-mailserver die dankbaar alle berichten naar een verkeerd gespeld @goggle.com adres opslokt. Daartussen kan vertrouwelijke post schuilen. Een Amerikaanse beveiligingsfirma nam de proef op de som, maakte fake-adressen aan van de 500 grootste bedrijven in het land en vlooide de inkomende post na. Daartussen trof het maar liefst 120.000 mails aan die vertrouwelijke gegevens bevatten, waaronder inlognamen van werknemers, bedrijfsgeheimen en complete installatiehandleidingen voor de IT-infrastructuur van ondernemingen – spekkie voor het bekkie van hackers.
Let op
Voor de eenvoudige websurfer is het dus opletten geblazen: hou de adresbalk met een schuin oog in de gaten: de kapers achter twtter.com gebruiken vaak bedrieglijk op de orginele website lijkende layout om naam- en adresgegevens binnen te hengelen, maar sluizen in de regel verkeer door naar sites met namen als testendonline.com of quiztopweb.com. Een service als OpenDNS houdt redelijk bij welke spelfouten als domeinnaam zijn gekaapt en leidt automatisch door naar de juiste plek. Wie een beetje handig is, kan zijn pc erop instellen. Persoonlijke informatie geeft u natuurlijk nooit prijs, tenzij u overtuigd bent dat u de vrager volledig kunt vertrouwen en dat zijn identiteit overeenstemt met de werkelijkheid.
Elke week het beste van TechBusiness in de mail? Vraag de nieuwsbrief aan.