網(wǎng)絡(luò)安全研究人員和IT管理員對谷歌新的ZIP和MOV互聯(lián)網(wǎng)域名提出了擔(dān)憂���,警告說攻擊者可能利用它們進行網(wǎng)絡(luò)釣魚攻擊和惡意軟件傳輸��。
本月早些時候�,谷歌推出了8個新的高級域名(TLD)�����,可以購買用于托管網(wǎng)站或電子郵件地址�����。
這些新域名包括.dad、.esq���、.prof、.phd����、.nexus、.foo�����,以及我們本篇提到的.zip和.mov域名��。
(相關(guān)資料圖)
雖然ZIP和MOV高級域名自2014年以來一直可用��,但直到本月才開始普遍可用�,允許任何人購買域名,如bleepingcomputer.zip����,用于建立網(wǎng)站。
然而�,這些域名被認為是有風(fēng)險的,因為這些域名也是論壇帖子�����、信息和在線討論中經(jīng)常分享的文件擴展名。
擔(dān)憂
網(wǎng)上常見的兩種文件類型分別是ZIP壓縮文件和MPEG 4視頻����,其文件名以.zip (壓縮文件)或.mov(視頻文件)結(jié)尾。
因此�,人們發(fā)布含有以.zip和.mov為擴展名的文件名是非常常見的。
然而����,現(xiàn)在它們變成了域名,一些消息平臺和社交媒體網(wǎng)站會自動將帶有.zip和.mov擴展名的文件名轉(zhuǎn)換成URL�����。
例如�����,在Twitter上����,如果你向某人發(fā)送zip文件和訪問MOV文件的說明,這些無害的文件名會被自動轉(zhuǎn)換成URL���,如下圖所示�����。
當(dāng)人們看到指示中的URL時�,他們通常認為該URL可以用來下載相關(guān)文件,并可能點擊該鏈接���。例如,在BleepingComputer的文章��、教程和討論區(qū)中���,我們通常是將文件名與下載鏈接起來���,提供說明。
但是��,如果攻擊者擁有一個與鏈接文件名相同的.zip域名���,那么人們可能會錯誤地訪問該網(wǎng)站����,并上當(dāng)受騙或下載惡意軟件。
雖然攻擊者不太可能為了幾個受害者而注冊成千上萬的域名���,但只需要一個企業(yè)員工錯誤地安裝惡意軟件����,整個網(wǎng)絡(luò)都會受到影響�。
濫用這些域名并不是理論上的,網(wǎng)絡(luò)情報公司Silent Push Labs已經(jīng)在microsoft-office[.zip上發(fā)現(xiàn)了一個類似釣魚的頁面�,試圖竊取微軟賬戶的憑證。
網(wǎng)絡(luò)安全研究人員也開始玩起了域名�,Bobby Rauch發(fā)表了關(guān)于利用Unicode字符和URL中的userinfo分隔符(@)開發(fā)的釣魚鏈接的研究。
Rauch的研究表明�,攻擊者先制作釣魚網(wǎng)址,該網(wǎng)址看起來像GitHub上的合法文件下載網(wǎng)址�,但實際上點擊后會把你跳轉(zhuǎn)到v1.27.1[.]zip的網(wǎng)站,如下圖所示�����。
矛盾的觀點
這些發(fā)現(xiàn)在開發(fā)者����、安全研究人員和IT管理員中引發(fā)了一場爭論,一些人認為這種擔(dān)心是沒有必要的�,另一些人則認為ZIP和MOV域名給已經(jīng)有風(fēng)險的網(wǎng)絡(luò)環(huán)境增加了不必要的風(fēng)險���。
人們已經(jīng)開始注冊與常見的ZIP壓縮文件相關(guān)的.zip域名,如update.zip�、financialstatement.zip、setup.zip�、attachment.zip、officeupdate.zip和backup.zip�����,以顯示有關(guān)ZIP域名風(fēng)險的信息����。
開源開發(fā)者Matt Holt還要求將ZIP域名從Mozilla的公共后綴列表中刪除����。
然而,PSL社區(qū)很快解釋說�����,雖然這些域名可能有一點風(fēng)險��,但它們?nèi)匀挥行?�,不?yīng)該從PSL中刪除,因為這將影響合法網(wǎng)站的運作��。
與此同時�,其他安全研究人員和開發(fā)人員,如微軟Edge開發(fā)人員Eric���,也表示他們認為關(guān)于這些新域名的擔(dān)心是過度的��。
當(dāng)BleepingComputer就這些問題聯(lián)系谷歌時�����,他們表示��,文件和域名之間的混淆風(fēng)險是長期存在的�����,瀏覽器的保護措施已經(jīng)部署���,以保護用戶免受干擾。
域名和文件名之間的混淆風(fēng)險并不是一個新問題����。 例如�,3M公司的Command產(chǎn)品使用域名command.com��,這也是MS DOS和早期版本的Windows上的一個重要程序�����。 應(yīng)用程序?qū)Υ擞斜Wo措施(如谷歌安全瀏覽)����,這些保護措施對.zip等域名也將適用。
同時���,新的命名空間為命名提供了更多機會�,如community.zip和url.zip�����。 谷歌非常重視網(wǎng)絡(luò)釣魚和惡意軟件���,谷歌注冊處有一套機制來禁止或刪除我們所有的惡意域名,包括.zip����。 我們將繼續(xù)監(jiān)測.zip和其他域名的使用情況�,如果出現(xiàn)新的威脅�,我們將采取適當(dāng)?shù)男袆觼肀Wo用戶。" -——谷歌��。
如何避免
證所周知���,點擊別人的鏈接或從你不信任的網(wǎng)站下載文件永遠是不安全的���。
像其他任何鏈接一樣,如果你在信息中看到一個.zip或.mov鏈接����,在點擊它之前先研究一下。如果你仍然不確定該鏈接是否安全�,請不要點擊它。通過遵循這些簡單的步驟���,將新域名的影響降至最小���。
然而,隨著越來越多的應(yīng)用程序自動將ZIP和MOV文件名變成鏈接�����,因此在上網(wǎng)時要時刻保持警惕。
參考鏈接:https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/
