谷歌推出ZIP域名引发安全争议
本月初谷歌推出了八个新的顶级域名(TLD),用户可以购买这些域名来托管网站或电子邮件地址。
新域名分别是.dad、.esq、.prof、.phd、.nexus、.foo,其中.zip和.mov域名引起了很多安全专家的担忧,因为这些域名可能会被不法分子用于网络钓鱼攻击和恶意软件投放。
虽然.zip和.mov顶级域名自2014年以来一直可用,但直到本月它们才普遍可用,向所有人开放购买.zip或.mov域名。
安全专家认为,.zip和.mov域名与两种常见文件类型zip文档和MPEG4视频文件扩展名相同,这可能导致一些社交媒体和通讯工具自动将扩展名为.zip和.mov的文件名转换为URL链接。
例如,在Twitter上,如果您向某人发送有关打开zip文件和访问mov文件的说明,则无害的文件名将转换为URL,如下所示。
如果攻击者拥有(或有意识地注册)与文件名同名的.zip域名,则用户很可能会错误地访问钓鱼网站或下载恶意软件,因为该URL看上去是安全的,来自受信任的来源。
事实上,不法分子不需要注册数以千计的域名来“盲狙”受害者,只需要注册一些最常用的文件名域名就足以捕获受害者。对企业来说,只需要一名员工错误地安装恶意软件即可导致整个网络遭受攻击。
滥用.zip和.mov域名并非停留在纸面上的假设,威胁情报公司Silent Push Labs已经在Microsoft Office上发现了一个使用.zip域名的网络钓鱼页面,试图窃取微软帐户凭据(下图)。
在Reddit论坛中,安全人员和开发人员展开了激烈的辩论,一些专业人士认为对.zip和.mov安全性的担忧没有必要,另一些人则认为这两个域名给互联网带来了不必要的风险。
微软Edge浏览器开发人员Eric Lawrence表示新域名的风险被夸大了。谷歌则表示文件和域名之间混淆的风险并不新鲜,浏览器缓解措施已经到位,可以保护用户免受滥用。
对于企业安全管理者和最终用户来说,对网络钓鱼的防御能力主要取决于日常的安全意识和“卫生习惯”,但随着.zip和.mov域名的普及,此类链接应当引起额外的重视。
参考链接:
https://isc.sans.edu/diary/The+zip+gTLD+Risks+and+Opportunities/29838/