Et enkelt ekstra bogstav i et domænenavn kan være forskellen på en legitim mail fra din virksomhed og en phishing-mail, der tømmer en kundes konto eller får en medarbejder til at betale en falsk faktura.
I denne artikel får du en praktisk, ikke-teknisk gennemgang af den stigende tendens til domænesquatting og typosquatting: hvordan svindlere registrerer domæner, der ligner dit, hvordan de bruger dem til at efterligne afsendere, og hvilke konkrete signaler du kan tjekke for at afsløre risikoen i tide. Du får også en handlingsliste til, hvordan du selv kan undersøge “lookalike-domæner”, og hvad du bør gøre, hvis de allerede er registreret.
Hvad er domænesquatting og typosquatting – og hvorfor betyder det noget?
Domænesquatting (ofte kaldet cybersquatting) er, når nogen registrerer et domæne, der udnytter et varemærke eller et kendt navn, typisk for at snylte på troværdighed eller presse ejeren til at købe domænet dyrt. Typosquatting er en underkategori, hvor domænet ligner det rigtige med minimale stavefejl, byttede bogstaver eller ekstra tegn (fx “virksomhedn.dk” i stedet for “virksomhed.dk”). Det betyder noget, fordi domænet i praksis er afsender-identitet på nettet: står der et troværdigt navn i browseren eller i mailens afsenderfelt, sænker vi paraderne.
Angrebene rammer både forbrugere og medarbejdere. Forbrugeren ser en “support”-side eller en betalingsside, der ligner den rigtige. Medarbejderen får en mail, der ligner en intern besked, en leverandørfaktura eller en “hurtig godkendelse” fra ledelsen. Svindleren behøver ikke at hacke dit system for at skade dit brand; det kan være nok at eje et domæne, der ligner dit.
Sådan misbruges falske domæner i praksis
De mest effektive domænebaserede angreb er dem, der føles “normale”. Svindlere kopierer tone, signaturer, logoer og workflows, så modtageren handler hurtigt uden at dobbelttjekke. I min erfaring er de farligste tilfælde dem, hvor mailen ikke indeholder åbenlyse fejl, men i stedet passer ind i en travl hverdag: en hastebetaling, en ændring af kontonummer eller en “sikkerhedsopdatering”.
Eksempel: “fakturaen” der ændrer kontonummer
Et klassisk BEC-scenarie (Business Email Compromise) starter ofte med et lookalike-domæne: “leverandor.dk” bliver til “leverandør.dk” (med specialtegn), “leverandor.com” eller “leverandor-support.com”. Svindleren sender en mail til økonomi med en troværdig forklaring: “Vi har skiftet bank – brug nyt kontonummer fra næste betaling.” Hvis domænet ligner det rigtige, og signaturen matcher, bliver det alt for let at overse.
Eksempel: “login-siden” der stjæler adgangskoder
En anden udbredt metode er phishing-sider på domæner, der ligner et kendt brand: “konto-firma.dk” eller “firma-login.com”. Linket i mailen går til en side, der visuelt efterligner den rigtige. Brugeren taster login, og oplysningerne sendes direkte til angriberen. Nogle kampagner kombinerer dette med “MFA-træthed” eller realtids-phishing, hvor koder opsnappes og bruges med det samme.
De typiske “lookalike”-mønstre: små ændringer, stor effekt
Svindlere arbejder systematisk. De registrerer ikke bare ét domæne, men ofte en hel “familie” af variationer, så de kan teste, hvilke der slipper igennem filtre og menneskelig kontrol. Her er de mest almindelige mønstre, du bør kende:
- Stavefejl og byttede bogstaver (fx “exmaple.dk” i stedet for “example.dk”).
- Ekstra tegn eller ord (fx “example-support.dk”, “secure-example.com”).
- Alternative TLD’er (fx .com, .net, .eu, .shop, .app i stedet for .dk).
- Bindestreger og punktummer (fx “ex-ample.dk” eller “example.dk.com”).
- Homoglyffer og specialtegn (fx bogstaver der ligner hinanden: “l” og “I”, “o” og “0”).
- Punycode/IDN-tricks (internationaliserede domæner, der visuelt ligner kendte navne).
Det er netop “minimal ændring”-princippet, der gør typosquatting effektivt: hjernen læser ord i helheder, især når vi scroller hurtigt i en indbakke på mobilen.
Signaler der afslører et mistænkeligt domæne (og hvordan du tjekker dem)
Man kan ofte spotte et risikodomæne på få minutter, hvis man ved, hvad man skal kigge efter. Du behøver ikke være udvikler; du skal bare have en fast rutine.
1) Registreringsdato og historik
Et domæne, der udgiver sig for at være en “etableret virksomhed”, men er registreret for få dage eller uger siden, er et rødt flag. Mange phishing-kampagner bruger friske domæner, fordi de endnu ikke er kendt i bloklister. Tjek registreringsdato i WHOIS eller via en domæneopslagstjeneste. Vær dog opmærksom på, at angribere også kan købe ældre domæner for at se mere legitime ud.
2) WHOIS-data: anonymisering, mærkelige mønstre og mismatch
WHOIS-data er ikke altid fuldt synlige længere (GDPR og privacy-tjenester skjuler ofte kontaktfelter), men du kan stadig få nyttige signaler: registrar, navneservere, oprettelsesdato og nogle gange land/organisation. Mistænkelige tegn kan være pludselige ændringer, uventede navneservere eller en registrar, der ofte ses i misbrugssager. Et mismatch mellem domænets påståede brand og dets tekniske “fingeraftryk” er værd at undersøge.
3) Manglende eller “tynd” DNS-konfiguration
Mange svindeldomæner er sat op hurtigt og minimalt. Hvis domænet ikke har en rigtig hjemmeside, ingen relevante DNS-poster eller kun et par standardposter, kan det indikere, at det primært bruges til e-mail eller kortvarige phishing-sider. Omvendt kan et falsk domæne også have en poleret forside, mens e-mail-delen er det egentlige mål. Pointen er: DNS fortæller ofte, om domænet er bygget til drift eller til misbrug.
Hvorfor overser virksomheder risikoen, indtil skaden er sket?
Domæner ligger i krydsfeltet mellem marketing, IT og jura, og netop derfor falder de ofte mellem stolene. Marketing ejer brandet, IT ejer infrastrukturen, og jura tænker i varemærker og tvister. Når ingen har en klar “domæneansvarlig”, bliver arbejdet reaktivt: man opdager først problemet, når en kunde ringer, en medarbejder har klikket, eller en bankoverførsel er gået galt.
En anden årsag er, at domæner føles som en engangsbeslutning: “Vi har jo vores .dk og .com.” Men trusselsbilledet ændrer sig løbende. Nye TLD’er kommer til, nye leverandører og kampagner skaber nye angrebsflader, og svindlere bliver bedre til at efterligne kommunikation. Det gør domæneovervågning og e-mailautentifikation til en vedvarende opgave, ikke et projekt.
Fra falske domæner til falske mails: derfor hænger domæner og e-mail-sikkerhed sammen
Når et lookalike-domæne først er registreret, er e-mail typisk den hurtigste vej til effekt: det kræver ikke SEO, ikke annoncer og ikke tålmodighed. En overbevisende mail kan ramme hundredvis af modtagere på få minutter, og selv en lav klikrate kan give gevinst, hvis målet er en enkelt stor betaling eller et par stjålne konti.
Det er her, e-mailautentifikation bliver et naturligt næste lag. Protokoller som SPF, DKIM og DMARC bygger på en enkel idé: modtageren skal kunne vurdere, om en mail må sendes på vegne af et domæne, og om indholdet er manipuleret. Men de virker kun godt, hvis du har styr på, hvilke domæner der er autoriserede, og hvilke der ikke er. Hvis din organisation har mange domæner, underdomæner eller tredjepartsafsendere (CRM, nyhedsbreve, fakturasystemer), bliver det hurtigt uoverskueligt uden en fast proces og løbende kontrol.
Hvis du vil arbejde mere systematisk med dette lag, kan du tage udgangspunkt i en praktisk gennemgang af e-mail-sikkerhed og koble den direkte til din domænestrategi, så dine tekniske indstillinger understøtter din brandbeskyttelse i stedet for at halte bagefter.
Praktisk: sådan tjekker du om domæner der ligner dit, allerede er registreret
Du kan komme langt med en simpel, gentagelig metode. Målet er ikke at finde alle tænkelige varianter, men at afdække de mest sandsynlige og de mest skadelige.
Trin 1: Lav en liste over realistiske variationer
Start med dit primære domæne og lav 15–30 variationer. Tænk som en travl modtager: hvilke fejl ville du selv lave på et tastatur, og hvilke TLD’er ville du forvente?
- Byt to bogstaver rundt (fx “ab” → “ba”).
- Fjern et bogstav eller tilføj et ekstra (fx “firmaa.dk”).
- Erstat æ/ø/å med ae/oe/aa (og omvendt, hvis relevant).
- Tilføj “login”, “support”, “secure”, “pay”, “invoice” eller “portal”.
- Tjek de vigtigste TLD’er for dit marked (.dk, .com, .eu og evt. branche-TLD’er).
Trin 2: Slå domænerne op og noter status
Brug en domænesøger/registrar til at se, om domænerne er ledige. For dem der er taget, tjek WHOIS/registreringsdata og om domænet har aktive DNS-poster (især MX-poster, som indikerer e-mail). Et domæne uden website kan stadig være farligt, hvis det kan sende mail.
Trin 3: Vurder risiko og prioriter indsats
Prioritér efter, hvor tæt domænet ligner dit, og hvor let det kan misbruges. Et domæne der kun adskiller sig med én karakter, og som har MX-poster, er typisk højere risiko end et domæne med en fjern TLD og ingen konfiguration. Notér også, om domænet omdirigerer til din rigtige side (det kan være en legitim aktør, men kan også være camouflage).
Hvad gør du, hvis et lookalike-domæne allerede er registreret?
Det vigtigste er at handle roligt og struktureret. Nogle domæner er registreret af andre med samme navn, af fans, af domæneinvestorer eller af helt legitime årsager. Andre er decideret sat i verden for at snyde.
- Dokumentér hvad du ser: screenshots af sider, mailheaders, DNS/MX, registreringsdato og eventuelle omdirigeringer.
- Vurder misbrug: Er der phishing-side? Sendes der mails? Er der brand-efterligning (logo, tekster, “kundeservice”)?
- Kontakt registrar/hosting med en abuse-rapport, hvis der er svindel. Mange udbydere reagerer hurtigt ved tydeligt misbrug.
- Informer internt (IT, økonomi, kundeservice): del de konkrete domæner og eksempler på mails, så frontlinjen kan spotte dem.
- Kommunikér eksternt ved behov: en kort advarsel på dit website eller i nyhedsbrev kan stoppe en kampagne, hvis kunder rammes.
- Overvej juridiske spor (varemærke/UDRP) hvis domænet krænker dit brand og har tydelig ond tro.
Et spørgsmål der ofte kommer op er: “Hvad koster det?” Selve registreringen af ekstra domæner er typisk billig (ofte få hundrede kroner om året per domæne afhængigt af TLD), mens oprydning efter et phishing-incident kan blive dyr: tid, omdømme, tabte betalinger, supporthenvendelser og eventuelle compliance-omkostninger. Derfor giver det ofte mening at budgettere med en lille, fast “domæneportefølje” og en enkel overvågningsrutine.
Bedste praksis: sådan reducerer du risikoen uden at gøre det kompliceret
Du kan ikke registrere hele internettet, men du kan gøre det markant sværere at misbruge dit brand. De mest effektive tiltag er dem, du faktisk får vedligeholdt.
- Registrér de vigtigste varianter: de oplagte stavefejl, de centrale TLD’er og dine brandkritiske kampagnedomæner.
- Hold en opdateret liste over “autoriserede domæner” i virksomheden (inkl. underdomæner og tredjepartsafsendere).
- Indfør DMARC gradvist: start med monitorering (p=none), ret fejl, og stram derefter til (quarantine/reject).
- Lav en enkel proces for nye systemer, der sender mail (CRM, HR, faktura): hvem godkender domæne og autentifikation?
- Træn medarbejdere i domænelæsning: “klik ikke bare på navnet” – se hele domænet, især på mobil.
- Opsæt overvågning/alerts for nye domæneregistreringer, der ligner dit brand, hvis du har et større risikobillede.
En klassisk faldgrube er at sætte SPF/DKIM/DMARC op én gang og tro, det er færdigt. I praksis ændrer afsendere sig: marketing tester nye platforme, økonomi skifter leverandør, og IT konsoliderer systemer. Hvis autentifikationen ikke følger med, ender du enten med huller (svindel slipper igennem) eller med at legitim mail bliver afvist. En anden faldgrube er at registrere mange domæner uden at sikre, at de ikke kan misbruges: domæner du ejer, bør som udgangspunkt have kontrolleret DNS, og hvis de ikke skal sende mail, kan du overveje at undgå MX eller konfigurere dem bevidst, så de ikke bliver en blind vinkel.
