Os novos TLDs .Zip e .Mov da Google suscitam receios de phishing por parte dos especialistas

Todos conhecemos sítios Web que têm sufixos como .com, .net e .org. Estes sufixos são designados domínios de topo (TLD) e, de acordo com a Autoridade para a Atribuição de Números na Internet (IANA), existem cerca de 1500 TLD diferentes geridos por vários registos. Ao longo dos anos, a lista de TLDs tem vindo a aumentar, com adições como .xyz, .io, .ai e outros.

Embora os TLDs em si sejam inofensivos, os piratas informáticos e os burlões combinam frequentemente nomes de domínio e TLDs para criar sítios Web e ligações maliciosos. Por exemplo, nada impede que um burlão compre um nome de domínio como "amazon12[.]net" e o utilize para criar um sítio Web ou endereços de correio eletrónico nefastos.

A utilização abusiva de TLDs é muito frequente em campanhasde phishing, em que uma mensagem de correio eletrónico pode parecer ter origem num endereço de correio eletrónico oficial, mas na realidade é enviada a partir de um ID de correio eletrónico imitador, por exemplo, "order-update@amazon12[.]net". Estas tácticas funcionam porque quando alguém vê o nome de uma marca de confiança num URL ou endereço de correio eletrónico, é mais provável que clique em ligações que conduzem a sítios e ficheiros maliciosos.

Novo TLD '.Zip' gera polémica para a Google

Em maio de 2023, o Google Registry anunciou 8 novos domínios de topo, nomeadamente, .dad, .phd, .prof, .esq, .foo, .zip, .mov e .nexus. Os especialistas em cibersegurança alertaram para o facto de dois destes TLD - .zip e .mov - serem facilmente exploráveis por piratas informáticos, burlões e spammers.

As críticas têm origem no facto de .Zip e .Mov serem duas das extensões de formato de ficheiro mais populares em computador. O facto de os TLD serem idênticos a extensões de ficheiros é um problema já existente - .com é também um formato de ficheiro executável, a extensão polaca .pl representa também scripts Perl e .sh representa tanto scripts Santa Helena como shell scripts Unix. No entanto, a ubiquidade dos formatos de ficheiro .zip e .mov torna estes novos TLD muito mais potencialmente nocivos.

.Zip é a extensão de ficheiro para arquivos comprimidos e .Mov é uma das extensões de ficheiro de vídeo mais comuns. Estes tipos de ficheiros são frequentemente incluídos em anexos de correio eletrónico e, por conseguinte, um cibercriminoso poderia teoricamente adquirir um domínio .zip com o mesmo nome de um nome de ficheiro vulgarmente utilizado, como "report.zip", e encaminhar as vítimas por correio eletrónico para um sítio de phishing contendo malware.

A ameaça aumenta quando as plataformas de mensagens e os sítios de redes sociais convertem automaticamente nomes de ficheiros com extensões .zip e .mov em URLs. No exemplo abaixo, do Twitter, enviar a alguém instruções sobre como abrir um ficheiro zip e aceder a um ficheiro MOV leva a que os nomes dos ficheiros sejam convertidos em URLs.

Fonte: BleepingComputer

TLD .Zip já está sendo usado para iscas de phishing

A Netcraft investigou os registos existentes do TLD .Zip e confirmou que já existem provas de atividade fraudulenta. A investigação revelou 5.000 domínios registados com .zip e foram descobertos ataques de phishingem cinco desses domínios, fazendo-se passar por marcas como Google, Microsoft e Okta.

O domínio microsoft-office[.]zip apresentou inicialmente a mensagem "Esta não é uma página da Microsoft" antes de ser modificado para se assemelhar a uma página de início de sessão real da Microsoft uma hora mais tarde.

Painéis de início de sessão apresentados em microsoft-office[.]zip (Fonte: Netcraft)

Existem muitos domínios registados que são susceptíveis de serem registos de má fé, incluindo

• Domínios que contêm nomes de marcas conhecidas
• Domínios que mencionam "instalador" ou "atualização
• Domínios que mencionam bancos pelo nome, como bankofamericasecurities[.]zip
• URLs como "attachment[.]zip" ou "video[.]mov" que podem ser plausivelmente incluídos em mensagens de correio eletrónico em que a vítima espera descarregar um ficheiro, mas em vez disso é ligada ao domínio
  Domínios que continham ou redireccionavam para um ficheiro .zip. Pelo menos dois eram bombas zip utilizadas para desativar o software antivírus.

A Google respondeu às preocupações relativas ao domínio .zip com a seguinte declaração.

"O risco de confusão entre nomes de domínio e nomes de ficheiros não é novo. Por exemplo, os produtos Command da 3M utilizam o nome de domínio command.com, que é também um programa importante no MS DOS e nas primeiras versões do Windows. As aplicações têm atenuações para este facto (como o Google Safe Browsing), e estas atenuações serão válidas para TLD como .zip.

Ao mesmo tempo, os novos espaços de nomes oferecem mais oportunidades de atribuição de nomes, como community.zip e url.zip. A Google leva a sério o phishing e o malware e o Registo da Google tem mecanismos existentes para suspender ou remover domínios maliciosos em todos os nossos TLDs, incluindo .zip. Continuaremos a monitorizar a utilização do .zip e de outros TLD e, se surgirem novas ameaças, tomaremos as medidas adequadas para proteger os utilizadores."

Embora tenha havido apelos à Google para revogar estes novos TLDs devido a potenciais abusos, parece que vieram para ficar. Verifique sempre cuidadosamente as ligações antes de clicar nelas e evite clicar em ligações em mensagens de correio eletrónico e de texto.