不少网路安全人员以及 IT 管理员对 Google 打算推出的顶级域名「.zip」和「.mov」感到担心,深怕骇客可能利用它们来进行网路钓鱼或传输恶意软体。
Google 在本(5)月稍早推出了 8 个新的顶级域名(top-level domain,简称 TDL),包括 .dad、.esq、.prof、.phd、.nexus、.foo 以及上述提及的 .zip 以及 .mov。在早期的 Internet 环境中,TDL 通常被用来分类网站用途,如网路使用者最熟悉的 .com 就对应有商业用途的网站、.org 则用於非营利组织、.edu 用於学校与大学、其他像是 .tw、.jp 等则用於国家。两周前,在 Google 新增了 8 个新 TDL 之後,全球 TDL 数量达到了 1,480 个。
而 .zip 与 .mov 之所以会在资安界引起强烈的反弹声浪,最主要原因在於这两个名称早已经被用来指称完全不同的东西,.zip 是压缩档的档名,.mov 则是影片文件的结尾,以 Apple 的 QuickTime 建立影档时即是 .mov 作为结尾,不管是 .zip 或 .mov 现今仍被网路使用者大量使用。
资安专家指出,这些域名可以被任何人随意注册,到时骇客甚至不必发送邮件或简讯引诱受害者点击连结,只需要注册域名、设置网站就能轻松提供恶意内容,然後再等待人们不小心下载到带有恶意软体的 zip 档案就可以了。.mov 的道理亦然,即使是具备一定电脑经验或网路知识的人也可能上当。
或者更让人担忧的是,有人可能在 email 或社交媒体平台(如 Twitter)中提到 setup.zip 或 vacation.mov 会被自动转成可点击的连结(骇客也会利用这种模糊性)。已经有资安人员注册了像是 setup.zip 以及 steamstaller.zip 来示警并教育网路使用者,这类域名可能被骇客用来做些什麽。(例如点进去 steamstaller.zip 就写着大大的「这不是 Steam」。)
但像是 microsoft-office[.]zip 这一网站就已经被用来作钓鱼攻击,恶意攻击者在该网站中试图窃取使用者微软帐号的凭证。
Google 怎麽说?
Google 在一份声明中为 .zip 和 .mov 进行了辩护,称 Google 将会监控 .zip 和其他 TLD 的使用情况,以防止它们构成任何新威胁,并指出这些风险皆为可控。尽管资安人员认为 .zip 和 .mov 这两个新网域一定会产生新的攻击媒介与攻击方式。
截至周四,已经有 2,753 个以 .zip 为结尾的域名,系统网路安全协会(SANS)网路安全研究所研究主任约翰内斯·乌尔里希(Johannes Ullrich)确定其中有 2 个很可疑,代表它们可能是恶意的。一个是 fermwartung[.]zip 这个网址,虽然它指向看起来合法的公司网站,却会自动下载一个档案,该档案已被资安公司标记为恶意软体。
研究人员还发现其中有 48 个网域是导向 Rick Astley 的歌曲 Never Gonna Give You Up,这也是网路常见的瑞克摇(rickrolling)恶作剧。其他的网域要不是 parked 状态(意味着已经被保留但尚未设置网页)不然就是产生错误。
有些人认为「事情没那麽糟」
现在关於这两个域名仍在资安专家与 IT 人员之间争论不休,有些人认为这些担心并没有太大必要。例如微软 Edge 开发者 Eric Lawrence 就认为这些担心太过度,甚至形容其恐慌程度「简直可笑」。
另外,也有人提出先前也有类似的 TLD,例如 .docs。或者也有人指出,许多 TLD 其实不会被程式自动转换,通常需要将 https:// 新增到开头才能点击。(只是 Twitter 例外就是了)
只能说今後大家需要做的事情和过去不会有太多不同:不要点击来路不明的连结,或者从不信任的网站下载档案,今後看到 .zip、.mov 的连结时,如果不确定它是否安全,那就不要点击它。
参考资料:arstechnica、theregister、techradar、XDA
核稿编辑:Chris