Subdomain squatting er en sikkerhedsrisiko, hvor en tredjepart overtager kontrollen over en underdomæne-adresse, som stadig peger på en ekstern tjeneste, men hvor den oprindelige ejer ikke længere kontrollerer destinationen. Risikoen opstår typisk pga. mangelfuld DNS-hygiejne og efterladte konfigurationer.
Subdomain squatting opstår, når et subdomæne (fx old.example.com) fortsat har en DNS-record, der peger på en tredjepartsplatform (fx Heroku, AWS, GitHub Pages), som ikke længere er aktiv eller ejet af virksomheden. En angriber kan derefter oprette en ny ressource på samme platform og dermed overtage indholdet, der vises på subdomænet.
Virksomheden ejer fortsat hoveddomænet, men har mistet kontrollen over, hvad subdomænet leverer.
Typiske årsager:
Nedlagte test-, staging- eller kampagnesites
Fjernede SaaS-integrationer uden oprydning i DNS
CNAME-records til eksterne platforme, der tillader genbrug af navne
Wildcard DNS (*.example.com) uden governance
Manglende ejerskab og dokumentation for subdomæner
Dette er ikke hacking i klassisk forstand, men en konfigurationsfejl.
Phishing og scam-sider hostet under et legitimt domæne
Cookie-misbrug, session fixation og CSRF-angreb
OAuth- og SSO-angreb via tillidsbaserede redirects
Brugere ser et legitimt domæne og sænker paraderne
Brandet associeres med malware eller svindel
Tab af kundetillid og omdømme
Spam-indhold kan blive indekseret under dit domæne
Negativ påvirkning af domænets autoritet
Risiko for manuel straf fra søgemaskiner
Potentiel datalækage kan knyttes til dit domæne
Kan udløse brud på GDPR, NIS2 eller interne sikkerhedspolitikker
Phishing-sider på login.example.com
Fake OAuth-callbacks på auth.example.com
Hosting af malware eller redirects
Cookie poisoning mellem subdomæner
Udnyttelse af for bredt scoped cookies (Domain=.example.com)
Fjern DNS-records før eksterne services nedlægges
Ingen ubrugte subdomæner
Undgå wildcard DNS medmindre absolut nødvendigt
Alle subdomæner skal have:
En ansvarlig ejer
Et dokumenteret formål
En livscyklus (oprettelse → drift → afvikling)
Brug host-only cookies til login
Undgå Domain=.example.com til sessions
Isolér auth-domæner fra marketing og legacy subdomæner
Scan regelmæssigt for dangling DNS-records
Overvåg HTTP-fejl som NoSuchBucket, App not found, 404
Automatisér alerts ved ændringer i DNS
Subdomain squatting er et tegn på lav operationel modenhed. Professionelle organisationer behandler DNS som kritisk infrastruktur.
Jo flere kampagner, SaaS-værktøjer og miljøer, desto større angrebsflade. Uden struktur eskalerer risikoen lineært.
Forebyggelse er næsten gratis. Håndtering af phishing, SEO-skader eller compliance-brud er dyrt.
Udfordring: Mange historiske subdomæner
Løsning: DNS-audit og oprydning kvartalsvist
Udfordring: Decentral oprettelse af subdomæner
Løsning: Central DNS governance og change management
Udfordring: Afhængighed af tredjepartsplatforme
Løsning: Checklister ved både onboarding og offboarding
Subdomain squatting er ikke et edge-case.
Det er en forudsigelig konsekvens af manglende DNS-disciplin.
Virksomheder, der tager sikkerhed, SEO og brand seriøst, skal:
Have fuldt overblik over alle subdomæner
Antage at subdomæner kan kompromitteres
Designe cookies og auth derefter
