本月初谷歌推出了八個新的頂級域名(TLD),用戶可以購買這些域名來托管網站或電子郵件地址。

新域名分別是.dad、.esq、.prof、.phd、.nexus、.foo,其中.zip和.mov域名引起了很多安全專家的擔憂,因為這些域名可能會被不法分子用于網絡釣魚攻擊和惡意軟件投放。

雖然.zip和.mov頂級域名自2014年以來一直可用,但直到本月它們才普遍可用,向所有人開放購買.zip或.mov域名。

安全專家認為,.zip和.mov域名與兩種常見文件類型zip文檔和MPEG4視頻文件擴展名相同,這可能導致一些社交媒體和通訊工具自動將擴展名為.zip和.mov的文件名轉換為URL鏈接。

例如,在Twitter上,如果您向某人發送有關打開zip文件和訪問mov文件的說明,則無害的文件名將轉換為URL,如下所示。

如果攻擊者擁有(或有意識地注冊)與文件名同名的.zip域名,則用戶很可能會錯誤地訪問釣魚網站或下載惡意軟件,因為該URL看上去是安全的,來自受信任的來源。

事實上,不法分子不需要注冊數以千計的域名來“盲狙”受害者,只需要注冊一些最常用的文件名域名就足以捕獲受害者。對企業來說,只需要一名員工錯誤地安裝惡意軟件即可導致整個網絡遭受攻擊。

濫用.zip和.mov域名并非停留在紙面上的假設,威脅情報公司Silent Push Labs已經在Microsoft Office上發現了一個使用.zip域名的網絡釣魚頁面,試圖竊取微軟帳戶憑據(下圖)。

在Reddit論壇中,安全人員和開發人員展開了激烈的辯論,一些專業人士認為對.zip和.mov安全性的擔憂沒有必要,另一些人則認為這兩個域名給互聯網帶來了不必要的風險。

微軟Edge瀏覽器開發人員Eric Lawrence表示新域名的風險被夸大了。谷歌則表示文件和域名之間混淆的風險并不新鮮,瀏覽器緩解措施已經到位,可以保護用戶免受濫用。

對于企業安全管理者和最終用戶來說,對網絡釣魚的防御能力主要取決于日常的安全意識和“衛生習慣”,但隨著.zip和.mov域名的普及,此類鏈接應當引起額外的重視。

域名 軟件 網絡安全 網絡釣魚
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接