Direct navigation — the act of visiting a website by manually typing a domain name in a web browser — has never been riskier: A new study finds the vast majority of “parked” domains — mostly expired or dormant domain names, or common misspellings of popular websites — are now configured to redirect visitors to sites that foist scams and malware.

When Internet users try to visit expired domain names or accidentally navigate to a lookalike “typosquatting” domain, they are typically brought to a placeholder page at a domain parking company that tries to monetize the wayward traffic by displaying links to a number of third-party websites that have paid to have their links shown.

A decade ago, ending up at one of these parked domains came with a relatively small chance of being redirected to a malicious destination: In 2014, researchers found (PDF) that parked domains redirected users to malicious sites less than five percent of the time — regardless of whether the visitor clicked on any links at the parked page.

But in a series of experiments over the past few months, researchers at the security firm Infoblox say they discovered the situation is now reversed, and that malicious content is by far the norm now for parked websites.

“In large scale experiments, we found that over 90% of the time, visitors to a parked domain would be directed to illegal content, scams, scareware and anti-virus software subscriptions, or malware, as the ‘click’ was sold from the parking company to advertisers, who often resold that traffic to yet another party,” Infoblox researchers wrote in a paper published today.

Infoblox found parked websites are benign if the visitor arrives at the site using a virtual private network (VPN), or else via a non-residential Internet address. For example, Scotiabank.com customers who accidentally mistype the domain as scotaibank[.]com will see a normal parking page if they’re using a VPN, but will be redirected to a site that tries to foist scams, malware or other unwanted content if coming from a residential IP address. Again, this redirect happens just by visiting the misspelled domain with a mobile device or desktop computer that is using a residential IP address.

According to Infoblox, the person or entity that owns scotaibank[.]com has a portfolio of nearly 3,000 lookalike domains, including gmai[.]com, which demonstrably has been configured with its own mail server for accepting incoming email messages. Meaning, if you send an email to a Gmail user and accidentally omit the “l” from “gmail.com,” that missive doesn’t just disappear into the ether or produce a bounce reply: It goes straight to these scammers. The report notices this domain also has been leveraged in multiple recent business email compromise campaigns, using a lure indicating a failed payment with trojan malware attached.

Infoblox found this particular domain holder (betrayed by a common DNS server — torresdns[.]com) has set up typosquatting domains targeting dozens of top Internet destinations, including Craigslist, YouTube, Google, Wikipedia, Netflix, TripAdvisor, Yahoo, eBay, and Microsoft. A defanged list of these typosquatting domains is available here (the dots in the listed domains have been replaced with commas).

David Brunsdon, a threat researcher at Infoblox, said the parked pages send visitors through a chain of redirects, all while profiling the visitor’s system using IP geolocation, device fingerprinting, and cookies to determine where to redirect domain visitors.

“It was often a chain of redirects — one or two domains outside the parking company — before threat arrives,” Brunsdon said. “Each time in the handoff the device is profiled again and again, before being passed off to a malicious domain or else a decoy page like Amazon.com or Alibaba.com if they decide it’s not worth targeting.”

Brunsdon said domain parking services claim the search results they return on parked pages are designed to be relevant to their parked domains, but that almost none of this displayed content was related to the lookalike domain names they tested.

Infoblox said a different threat actor who owns domaincntrol[.]com — a domain that differs from GoDaddy’s name servers by a single character — has long taken advantage of typos in DNS configurations to drive users to malicious websites. In recent months, however, Infoblox discovered the malicious redirect only happens when the query for the misconfigured domain comes from a visitor who is using Cloudflare’s DNS resolvers (1.1.1.1), and that all other visitors will get a page that refuses to load.

The researchers found that even variations on well-known government domains are being targeted by malicious ad networks.

“When one of our researchers tried to report a crime to the FBI’s Internet Crime Complaint Center (IC3), they accidentally visited ic3[.]org instead of ic3[.]gov,” the report notes. “Their phone was quickly redirected to a false ‘Drive Subscription Expired’ page. They were lucky to receive a scam; based on what we’ve learnt, they could just as easily receive an information stealer or trojan malware.”

The Infoblox report emphasizes that the malicious activity they tracked is not attributed to any known party, noting that the domain parking or advertising platforms named in the study were not implicated in the malvertising they documented.

However, the report concludes that while the parking companies claim to only work with top advertisers, the traffic to these domains was frequently sold to affiliate networks, who often resold the traffic to the point where the final advertiser had no business relationship with the parking companies.

Infoblox also pointed out that recent policy changes by Google may have inadvertently increased the risk to users from direct search abuse. Brunsdon said Google Adsense previously defaulted to allowing their ads to be placed on parked pages, but that in early 2025 Google implemented a default setting that had their customers opt-out by default on presenting ads on parked domains — requiring the person running the ad to voluntarily go into their settings and turn on parking as a location.

 

Avevamo già spiegato cos’é il protocollo Matrix e come iniziare ad usarlo.

Riassumendo molto brevemente: Matrix é un protocollo di comunicazione aperto e liberamente utilizzabile da chiunque (ognuno puà farsi il suo server Matrix) creando una rete di chat potenzialmente infinita, le cui caratteristiche di sicurezza ed espansione permettono e promettono di fare un sacco di cose. Insomma: si tratta di uno strumento estremamente interessante.

Una delle caratteristiche più interessanti é la capacità di Matrix di dialogare con altre piattaforme. Detto in soldoni: con Matrix si può creare un “gruppo” in cui possono dialogare utenti Matrix, utenti Whatsapp, Telegram, IRC ecc. lasciando che ognuno usi l’App che preferisce. Questo é il “bridging”

(Una nota: questo articolo vuole solamente spiegare il concetto di “bridge” dando giusto un accenno terra-terra a come funziona e non vuol certo essere un manuale sull’utilizzo dei bridge)

Chi ha già letto gli articoli precedenti sa che Matrix non é un servizio di chat come Twitter ma é un protocollo, come l’email: Gmail, ProtonMail, Hotmail sono tutti servizi che usano i protocolli email, ognuno coi propri server e con caratteristiche personali che però, interagiscono fra loro (da Gmail puoi mandare una email a Hotmail, giusto?).

Non ti “registri all’email” ma “crei un account su ProtonMail”. Non ti “registri a Matrix”, ma “crei un account su un server Matrix”.

Prendiamo dunque ad esempio il server Matrix di Feneas: https://chat.feneas.org, Una volta registrati si può dialogare con qualsiasi utente registrato su qualsiasi server Matrix (ancora una volta: se ti registri su Yahoo puoi scambiarti le email con chiunque abbia un indirizzo email, indifferentemente dal server a cui si é registrato).

In Matrix ogni conversazione avviene in “stanze”. Sono sostanzialmente come i gruppi di Whatsapp, solo che qui anche la chat tra te ed una sola altra persona avviene in una stanza.

Qui incontriamo dunque i “bridge”, ossia quegli strumenti che permettono di collegare una stanza Matrix con il proprio corrispettivo su altre piattaforme.

Un “bridge” (letteralmente “ponte”) é sostanzialmente un programma che si occupa di sincronizzare Matrix con una certa piattaforma in modo da farli comunicare assieme.

Per ogni piattaforma dunque servità un bridge apposito. Dunque ce ne sono diversi. Non solo: per certe piattaforme esiste più di un bridge che magari adottano soluzioni e caratteristiche diverse. Bisogna tener conto che tutto il processo di bridging tra Matrix e le altre piattaforme é ancora un work in progress: alcuni bridge funzionano bene, altri così-così, ed insomma, la “scena” del bridging é ancora molto attiva. Alcune piattaforme sono fatte in modo da poter essere, almeno sulla carta, facilmente collegabili con un bridge mentre altre sono decisamente più ostiche.

Il funzionamento ideale di una stanza Matrix “bridged” (da qui in poi renderò “bridged” con “sincronizzata”) con una piattaforma diversa, ad esempio Telegram, dovrebbe essere abbastanza banale: io che ho un account Matrix entro nella stanza e chatto normalmente, da Matrix, mentre un’altra persona che ha Telegram vedrà quel che ho scritto nella stanza, a cui però accede attraverso Telegram.

Un esempio lo si può vedere nella stanza pubblica Telegram-FOSS. La stanza é sincronizzata con Telegram ed IRC, pertanto gli utenti che vi partecipano lo fanno da tutte e tre le piattaforme.

 

Si, ma, in soldoni, come funzionano questi bridge? Come si installano e come si attivano?

Dunque, ogni bridge é un programma che va a dialogare con Matrix: non é parte integrante di Matrix! Questo vuol dire che se creo un account su un server Matrix non é scontato che questo abbia anche dei bridge e se ne ha, non é detto che li abbia tutti!

La maggior parte dei server Matrix offre perlopiù il solo bridge ad alcuni server IRC (Freenode e pochi altri ancora).

Come dicevamo, la “scena” riguardante la realizzazione dei bridge é ancora un work in progress e dunque é probabile che nel giro di qualche tempo sempre più server avranno di default un numero maggiore di bridge.

Come si fa allora ad usare un bridge se i server Matrix non li offrono di default? La prima soluzione possibile é quella di farsi il proprio server Matrix installandoci tutti i bridge che si desiderano, ma ovviamente per fare ciò é necessario avere un server e saperci mettere le mani.

Ma esiste un altro modo: un bridge, dicevamo, é un programma che sincronizza una stanza Matrix con l’equivalente di una diversa piattaforma (canale IRC, gruppo Whatsapp ecc…), ma non é indispensabile che il bridge si trovi sullo stesso server Matrix che deve sincronizzare.

Potenzialmente, dunque, un bridge potrebbe essere installato sui server di Whatsapp per offrire ai propri utenti la possibilità di interagire con gli utenti Matrix (ok, Facebook aborre un’idea del genere e dunque non succederà mai, ma tecnicamente la cosa sarebbe possibile).

Ma il bridge può anche essere installato su un server che non c’entra nulla con gli altri due. Un esempio é t2bot.io, che offre alcuni bridge per Matrix.

 

Si, ma, materialmente, per fare questa sincronizzazione, dal lato utente come funziona? Cosa clicco? Dove devo digitare?

Beh, qui la cosa cambia da bridge a bridge: ognuno ha un approccio diverso così come caratteristiche e funzionamento. Due diversi bridge per Whatsapp possono funzionare in modo molto diverso, per intenderci.

Ma giusto per dare un’idea vediamo un esempio di sincronizzazione con Telegram usando il bridge messo a disposizione di t2bot.io

SU TELEGRAM

1. Creare un canale Telegram
2. Invitare il bot @matrix_t2bot nel canale (basta digitare @matrix_t2bot nella casella di ricerca per trovatlo)
3. Nel gruppo, digitare il comando /id Il Bot fornirà un <codice>

SU MATRIX

1. Creare una stanza Matrix (la stanza deve essere accessibile da chiunque ed avere un indirizzo locale)
2. Invitare il bot @telegram:t2bot.io nella stanza
3. Nella stanza, digitare il comando !tg bridge <codice>
4. Il bot chiederà una conferma. Digitare !tg continue

Fatta! Adesso in quel canale potranno dialogare sia utenti Telegram che utenti Matrix. (Maggiori dettagli qui: https://t2bot.io/telegram )

 

A questo punto quel che vien scritto in quella stanza Matrix apparirà nella stanza Telegram e viceversa. Tuttavia i messaggi provenienti dall’ “altra piattaforma” appariranno come se fossero pubblicati dal bot e non dalla persona che li ha scritti (Telegram Bot ha scritto: “ciao!”). Per far si che i messaggi vengano attribuiti all’utente che li ha effettivamente scritti, ora che si son sincronizzate le stanze vanno sincronizzati gli account!

SU MATRIX

1. Aprire una chat privata con l’utente @telegram:t2bot.io
2. Digitare il comando !tg login ed attendere un pò
3. Dopo una certa attesa il bot fornirà delle istruzioni da seguire; solitamente contenenti un link ad una pagina in cui bisognerà scrivere il numero di telefono del proprio account Telegram (+39 12 34567890) ed il proprio account Matrix (@nomeutente:nomeserver)

A questo punto il bot sincronizzerà i due account ed inviterà a sincronizzare anche altre stanze/gruppi. Questo, va ricordato, é UN bridge Matrix/Telegram e nulla toglie che ne possano essere sviluppati degli altri che funzionino in modo più semplice ed intuitivo.

Idealmente in una stanza Matrix con tutti i bridge immaginabili, si potrebbe far dialogare assieme utenti Mastodon, Whatsapp, IRC, XMPP, Matrix, Telegram, Slack, Discord, iMessage, Skype. Ma potrebbero intervenire anche utenti via SMS ed Email.

Con il bridge Mastodon o un eventuale bridge ActivityPub inoltre Matrix verrebbe definitivamente a far parte del Fediverso e l’abbinata Matrix-ActivityPub potrebbe in effetti fungere da vero nodo collettore tra innumerevoli piattaforme decentralizzate, federandole.