Noile TLD-uri .Zip și .Mov ale Google stârnesc temeri de phishing din partea experților

Suntem cu toții familiarizați cu site-uri web care au sufixe precum .com, .net și .org. Aceste sufixe se numesc domenii de nivel superior (TLD) și, conform Internet Assigned Numbers Authority (IANA), există aproape 1 500 de TLD-uri diferite gestionate de diverse registre. De-a lungul anilor, lista TLD-urilor s-a extins cu adăugiri precum .xyz, .io, .ai și multe altele.

Deși TLD-urile în sine sunt inofensive, hackerii și escrocii combină adesea nume de domenii și TLD-uri pentru a crea site-uri web și link-uri rău intenționate. De exemplu, nimic nu împiedică un escroc să cumpere un nume de domeniu precum "amazon12[.]net" și să îl folosească pentru a crea un site web sau adrese de e-mail nefaste.

Abuzul de TLD este foarte răspândit în campaniile dephishing, în care un e-mail poate părea că provine de la o adresă de e-mail oficială, dar este de fapt trimis de la un ID de e-mail copiat, de exemplu "order-update@amazon12[.]net". Aceste tactici funcționează deoarece, atunci când cineva vede numele unei mărci de încredere într-un URL sau într-o adresă de e-mail, este mai probabil să facă clic pe link-uri care duc la site-uri web și fișiere malițioase.

Noul TLD ".Zip" stârnește controverse pentru Google

În mai 2023, Google Registry a anunțat 8 noi domenii de nivel superior, și anume, .dad, .phd, .prof, .esq, .foo, .zip, .mov și .nexus. Experții în securitate cibernetică au ridicat semnale de alarmă cu privire la două dintre aceste domenii de nivel 1 - .zip și .mov - pentru că sunt ușor de exploatat de hackeri, escroci și spammeri.

Criticile provin din faptul că .zip și .mov sunt două dintre cele mai populare extensii de formate de fișiere pentru calculatoare. Faptul că TLD-urile sunt identice cu extensiile de fișiere este o problemă deja existentă - .com este, de asemenea, un format de fișier executabil, extensia poloneză .pl reprezintă, de asemenea, scripturi Perl, iar .sh reprezintă atât scripturi shell Sfânta Elena, cât și Unix. Cu toate acestea, omniprezența formatelor de fișiere .zip și .mov face ca aceste noi TLD-uri să fie mult mai potențial dăunătoare.

.Zip este extensia de fișier pentru arhivele de fișiere comprimate, iar .Mov este una dintre cele mai comune extensii de fișiere video. Aceste tipuri de fișiere sunt adesea incluse în atașamentele de e-mail și, prin urmare, un infractor cibernetic ar putea, teoretic, să achiziționeze un domeniu .zip cu același nume ca un nume de fișier utilizat în mod obișnuit, cum ar fi "report.zip" și să direcționeze victimele prin e-mail către un site de phishing care conține programe malware.

Amenințarea este amplificată atunci când platformele de mesagerie și site-urile de socializare convertesc automat în URL-uri numele de fișiere cu extensiile .zip și .mov. În exemplul de mai jos de pe Twitter, trimiterea unor instrucțiuni de deschidere a unui fișier zip și de accesare a unui fișier MOV duce la convertirea numelor de fișiere în URL-uri.

Sursa: BleepingComputer

TLD .Zip este deja folosit pentru momeli de phishing

Netcraft a investigat înregistrările TLD .Zip existente și a confirmat că există deja dovezi de activitate frauduloasă. Investigația a scos la iveală 5.000 de domenii înregistrate care utilizează .zip și au fost descoperite atacuri de phishingpe cinci dintre aceste domenii, care se dau drept mărci precum Google, Microsoft și Okta.

microsoft-office[.]zip a afișat inițial mesajul "Aceasta nu este o pagină Microsoft", înainte de a fi modificat pentru a semăna cu o pagină reală de conectare Microsoft o oră mai târziu.

Panouri de autentificare afișate pe microsoft-office[.]zip (Sursa: Netcraft)

Există multe domenii înregistrate care sunt susceptibile de a fi înregistrări de rea credință, printre care:

• Domenii care conțin nume de mărci cunoscute
• Domenii care menționează "installer" sau "update" (instalare sau actualizare)
• Domenii care menționează numele băncilor, cum ar fi bankofamericasecurities[.]zip
• URL-uri precum "attachment[.]zip" sau "video[.]mov", care pot fi incluse în mod plauzibil în e-mailuri în care victima se așteaptă să descarce un fișier, dar care, în schimb, sunt conectate la domeniu.
  Domenii care conțin sau redirecționează către un fișier .zip. Cel puțin două dintre acestea erau bombe zip implementate pentru a dezactiva software-ul antivirus.

Google a răspuns la preocupările legate de domeniul .zip prin următoarea declarație.

"Riscul de confuzie între numele de domenii și numele de fișiere nu este unul nou. De exemplu, produsele Command de la 3M folosesc numele de domeniu command.com, care este, de asemenea, un program important pe MS DOS și pe primele versiuni de Windows. Aplicațiile dispun de măsuri de atenuare pentru acest lucru (cum ar fi Google Safe Browsing), iar aceste măsuri de atenuare vor fi valabile și pentru TLD-uri precum .zip.

În același timp, noile spații de nume oferă oportunități extinse de denumire, cum ar fi community.zip și url.zip. Google ia în serios problema phishing-ului și a malware-ului, iar Registrul Google dispune de mecanisme existente pentru a suspenda sau elimina domeniile rău intenționate în toate TLD-urile noastre, inclusiv .zip. Vom continua să monitorizăm utilizarea domeniului .zip și a altor TLD-uri și, dacă apar noi amenințări, vom lua măsurile adecvate pentru a proteja utilizatorii."

Deși au existat apeluri către Google pentru revocarea acestor noi TLD-uri din cauza potențialelor abuzuri, se pare că acestea sunt aici pentru a rămâne. Verificați întotdeauna cu atenție linkurile înainte de a da clic pe ele și evitați să dați clic pe linkurile din e-mailuri și mesaje text.