Analiza przeprowadzona przez ekspertów cyberbezpieczeństwa ujawnia niepokojącą zmianę w ekosystemie internetowym: aż 90 proc. nowo zarejestrowanych i parkowanych domen serwuje w tej chwili złośliwe treści, podczas gdy dekadę temu odsetek ten wynosił zaledwie 5 proc.. Domeny te, wykorzystywane jako jednorazowa infrastruktura, pozwalają przestępcom na omijanie systemów reputacyjnych i skuteczne dystrybuowanie fałszywych aktualizacji systemu oraz stron phishingowych.
Według najnowszych danych przedstawionych w podcaście Radio CSIRT z 21 grudnia 2025 roku, usługi parkowania domen – niegdyś służące głównie do wyświetlania reklam na nieużywanych adresach – stały się kluczowym elementem arsenału grup przestępczych. Badanie opublikowane przez Infoblox (16 grudnia 2025) wskazuje, iż mechanizm ten opiera się na zaawansowanym profilowaniu ofiar. Przekierowania na złośliwe strony aktywują się wyłącznie dla użytkowników łączących się z domowych adresów IP, podczas gdy połączenia z sieci VPN lub korporacyjnych są kierowane na nieszkodliwe strony parkingowe, co skutecznie myli analityków bezpieczeństwa.
Skala zjawiska jest masowa i precyzyjnie wycelowana w najpopularniejsze marki. Cyberprzestępcy masowo rejestrują domeny typu “typosquatting” (literówki w nazwach), podszywając się pod gigantów takich jak Netflix, Microsoft, Google czy banki. Jeden z zidentyfikowanych aktorów zarządza portfelem ponad 3000 takich domen, wykorzystując je m.in. do przechwytywania korespondencji e-mail. Co więcej, infrastruktura ta jest często krótkotrwała i dynamicznie rotowana, co sprawia, iż tradycyjne czarne listy i filtry oparte na reputacji domeny stają się nieskuteczne w czasie rzeczywistym.
W obliczu tego zagrożenia platformy technologiczne zaczynają reagować. Google AdSense już na początku 2025 roku zmodyfikowało swoją politykę, domyślnie wyłączając wyświetlanie reklam na parkowanych domenach, aby odciąć oszustom źródło łatwego zarobku. Eksperci z NIST i zespołów CSIRT zalecają firmom wdrożenie bardziej restrykcyjnych polityk bezpieczeństwa, w tym blokowania ruchu do nowo zarejestrowanych domen oraz stosowania zaawansowanej analizy behawioralnej, zamiast polegania wyłącznie na statycznych bazach zagrożeń.
