⚠️ Awareness demo — interactive typosquat quiz. No data collected.
Which one is the real URL?
Click the URL you'd trust. Then we'll reveal the fakes.
Round 1 — Microsoft
Round 2 — PayPal
Round 3 — ING
Round 4 — Google
Round 5 — the tricky one
Hint: the second option uses a Cyrillic "a" — visually identical, actually a different character.
🎣
You scored 0/5
Typosquatting & homograph attacks use domains that look like the real thing.
What's going on?
Attackers register look-alike domains for every major brand. They use tricks like: rn looking like m, 1/l/I swaps, missing letters, extra subdomains (microsoft.security-login.com), or Cyrillic/Greek lookalikes (a homograph attack). Combined with a phishing email, it's enough to fool most people in a hurry.
How to defend yourself:
Read the whole domain. The part just before the last dot is the real owner.
brand.verify-login.com is owned by verify-login.com, not by the brand.
Bookmark the real sites you log in to; never reach them via email links.
Use a password manager — it won't autofill on the wrong domain, which is a massive tell.
Hover before you click. On mobile, long-press to preview.
Typosquatting en homograph-aanvallen gebruiken domeinen die op het echte lijken.
Wat is hier aan de hand?
Aanvallers registreren look-alike-domeinen voor elk groot merk. Ze gebruiken trucs zoals: rn dat op m lijkt, 1/l/I-verwisselingen, ontbrekende letters, extra subdomeinen (microsoft.security-login.com), of Cyrillische/Griekse lookalikes (homograph-aanval). In combinatie met een phishingmail genoeg om de meeste mensen in tijdnood voor de gek te houden.
Hoe bescherm je jezelf:
Lees het hele domein. Het deel vóór de laatste punt is de echte eigenaar.
merk.verify-login.com is van verify-login.com, niet van het merk.
Zet echte sites waar je inlogt in je bladwijzers; bereik ze nooit via e-maillinks.
Gebruik een wachtwoordmanager — die vult niet in op het verkeerde domein, een enorme tell.
Hover vóór je klikt. Op mobiel: long-press voor een preview.