password
icon
URL
type
date
summary
status
slug
tags
category
网络安全研究人员和IT管理员对谷歌的新ZIP和MOV互联网域提出了担忧,警告威胁行为者可能会利用它们进行钓鱼攻击和恶意软件传递。
本月早些时候,谷歌八个新的顶级域名(TLD),可用于托管网站或电子邮件地址。
新的域名是.dad、.esq、.prof、.phd、.nexus、.foo以及本文的主题——.zip和.mov域名TLD。
虽然ZIP和MOV TLD自2014年以来就已经可用,但直到本月它们才成为普遍可用,允许任何人购买像bleepingcomputer.zip这样的域名,用于网站。
然而,这些域名可能会被视为有风险的,因为TLD也是通常在论坛帖子、消息和在线讨论中共享的文件扩展名,现在一些在线平台或应用程序将自动将其转换为URL。
问题
在线上看到的两种常见文件类型是ZIP归档和MPEG 4视频,它们的文件名以.zip(ZIP归档)或.mov(视频文件)结尾。
因此,人们很常见地发布包含以.zip和.mov扩展名结尾的文件名的说明。
然而,现在它们是TLD,一些消息平台和社交媒体站点将自动将带有.zip和.mov扩展名的文件名转换为URL。
例如,在Twitter上,如果您向某人发送打开zip文件和访问MOV文件的说明,则这些无害的文件名将被转换为URL,如下所示。
Twitter自动链接化.zip和.mov文件名 来源:BleepingComputer
当人们在指导说明中看到URL时,他们通常会认为可以使用该URL来下载相关文件,并可能单击该链接。例如,将文件名链接到下载是我们通常在BleepingComputer的文章、教程和讨论论坛中提供说明的方法。
但是,如果威胁行为者拥有与链接文件名相同的.zip域,那么人们可能会错误地访问该站点,并因认为该URL来自可信来源而上当受骗或下载恶意软件。
虽然威胁行为者很少会注册数千个域来捕获少数受害者,但您只需要一个公司员工错误地安装恶意软件,整个网络就会受到影响。
这些域名的滥用并非理论上的事情,网络情报公司Silent Push Labs已经发现了一个看似钓鱼页面,位于microsoft-office[.]zip,试图窃取Microsoft帐户凭据。
用于Microsoft帐户钓鱼的ZIP域名 来源:SilentPush Labs
网络安全研究人员也开始利用域名进行实验。Bobby Rauch发表了一篇研究论文,利用Unicode字符和URL中的用户信息分隔符(@)开发出具有说服力的钓鱼链接。Rauch的研究表明,威胁行为者可以制作出看起来像GitHub上的合法文件下载链接的钓鱼链接,但实际上点击后会带你访问v1.27.1[.]zip网站,如下图所示。
意见分歧
这些发展引发了开发人员、安全研究人员和IT管理员之间的辩论,一些人认为这些担忧是没有必要的,而另一些人则认为ZIP和MOV TLD在已经存在风险的在线环境中增加了不必要的风险。
人们已经开始注册与常见 ZIP 文件关联的 .zip 域名,例如 update.zip、financialstatement.zip、setup.zip、attachment.zip、officeupdate.zip 和 backup.zip,以显示有关 ZIP 域名风险的信息,向您播放 RickRoll 或分享无害信息。
开源开发者 Matt Holt 还要求从 Mozilla 的 Public Suffix List 中删除 ZIP TLD,该列表包含了所有公共顶级域名,供应用程序和浏览器使用。
然而,PSL 社区迅速解释说,虽然这些 TLD 存在轻微的风险,但它们仍然是合法的,不应从 PSL 中删除,因为这会影响合法网站的运行。
软件工程师 Felix Fontein 解释说:“出于这个原因从 PSL 中删除现有的 TLD 就是错误的。这个列表用于许多不同的目的,而且仅仅因为这些条目对于一个非常特定的用例来说是不好的,它们仍然需要 (几乎) 所有其他用途。”
PSL 维护者 Jothan Frakes 进一步分享道:“这些都是 ICP3 根中的合法 TLD,这将不会继续推进。”
“实际上,表达的担忧更多地体现了开发者、安全社区与域名治理之间的脱节,他们需要在 ICANN 中更多地参与。”
同时,其他安全研究人员和开发者,如微软 Edge 开发者 Eric Lawrence,也表示他们认为这些新领域的担忧被夸大了。
当BleepingComputer联系谷歌提出这些问题时,他们表示文件名和域名之间的混淆风险并不新鲜,浏览器已经采取了措施来保护用户免受滥用。
“文件名和域名之间混淆的风险并不是新问题。例如,3M的Command产品使用的域名command.com,在MS DOS和早期的Windows版本中也是一个重要的程序。应用程序已经采取措施(如Google安全浏览),这些措施也适用于.zip等TLDs。与此同时,新的命名空间提供了扩展的命名机会,如community.zip和url.zip。谷歌非常重视网络钓鱼和恶意软件,谷歌注册处已经有机制在所有TLD,包括.zip中暂停或删除恶意域名。我们将继续监控.zip和其他TLD的使用情况,如果出现新的威胁,我们将采取适当的措施来保护用户。”-谷歌。
我们应该做什么?
事实上,我们不需要额外采取任何措施来保护自己免受网络钓鱼站点的影响。
正如每个人都应该知道的那样,从你不信任的人那里点击链接或从不信任的网站下载文件是不安全的。
就像任何链接一样,如果你在信息中看到一个.zip或.mov链接,请在点击之前进行研究。如果你仍然不确定链接是否安全,请不要点击它。
通过遵循这些简单的步骤,新TLD的影响将很小,不会显著增加你的风险。
然而,随着越来越多的应用程序自动将ZIP和MOV文件名转换为链接,你接触到这些链接的可能性很可能会增加,这会让你在上网时需要多加小心。
- 作者:黑客驰
- 链接:https://hackerchi.top/article/81cad963-52f5-4eb9-ad9d-564ff5038469
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
