使用多年的.com、.org和.net等域名已經為人所熟識,近日Google宣佈將會新增8個域名,其中兩個頗具爭議,因為域名ZIP和MOV的出現將與檔案名稱產生混淆,而網絡犯罪份子也看準時機,準備推動新的網絡釣魚模式。
令人混淆的.zip和.zip
ZIP和MOV檔案已經面世數十年,.zip是一個壓縮的規架,.mov則是其中一款最受歡迎的影片容器,而Google卻準備推出MOV和ZIP域名,而且不限使用者及目的,要辨別ZIP和MOV是網站還是檔案需要配合上文下理去推斷,然而這只對人類有效,對電腦則可能自動傾向認定為檔案,如果有人事先註冊與檔案相同名稱的網站,誤點「檔案」的人便可能掉入某種特定的網絡釣魚活動。
保安研究人員mr.d0x找到其他方法利用.zip域名進行網絡釣魚,他形容方法為file-archiver-in-the-browser,涉及利用網站偽裝壓縮工具界面,令用戶相信他正在打開一個.zip檔案,其實是被導引到相同名稱的網站,而網址卻能通向任何地方,例如能夠隱藏連結下載惡意程式執行檔,又或者要求輸入登入憑證去存取某些文件。文章還提及了一種有趣地使用Windows File Explorer的傳輸機制,如果攻擊者能說服受害者搜尋一個不存在的.zip檔案,File Explorer便會自動打開相同名稱的網站。
事實上,研究人員已經找到利用.zip偽裝Windows更的網絡釣魚網站,其實這種令人混淆的情況早已出現過,.com在MS-DOS(比Windows更早的年代)之上屬於執行檔案的副檔案,至於ZIP和MOV對一般用戶而言也有普及使用,如果稍一不慎便可能掉入陷阱,雖然並非全部都是「地雷」,但卻已經為用戶上網帶來不便。
給用戶的建議
ZIP和MOV的出現不會令網絡釣魚和網上詐騙的生態系統產生戲劇性的轉變,只是在黑客的武器庫中新增一件武器而已,所以過往的防範方法依然有效,點擊前小心檢查連結、留意不明來歷電郵的附件和網址,不要點擊任何可疑連結,確保在所有裝置使用合適的保安方案。
給管理員的建議
部份用戶很可能無視上述的建議,因應公司的運作,管理員可能需要為.zip和.mov域名設定另外的保安規則,考慮更嚴格的連結掃瞄,甚至是完全封鎖公司電腦瀏覽有關域名的網站,對員工的資安培訓自然不可缺少,並且測試重要的商用系統在處理.zip和.mov網站時的結果,又或者為使用ZIP檔案帶來不良影響,以及密切監察電郵系統、公司即時通訊應用程式和員工使用的檔案分享服務等等。
資料來源:Kaspersky Blog