Google lanserte nylig åtte nye toppnivå-domener (TLD): .dad, .phd, .prof, .esq, .foo, .zip, .mov og .nexus.
Introduksjonen av .zip- og .mov-domenene har imidlertid fått enkelte sikkerhetseksperter til å advare om at domenene kan misbrukes, ettersom de også kan være filendelser, skriver Ars Technica.
Vanskelig å skille
Sikkerhetseksperten Bobby Rauch jobber hos Amazon, og i et blogginnlegg bruker han dette eksempelet:
– Kan du raskt se hvilken av disse to URL-ene som er legitim, og hvilken som er et ondsinnet phishing-angrep?
1: https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
2: https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
Mange av oss er vant til å sjekke det som tilsynelatende er domenenavnet, altså det som kommer rett etter https://. Men i eksempel 1) over er det en @ foran v1271.zip. Det betyr at alt mellom https:// og @ behandles som et brukernavn, mens alt etter @ er adressen til nettsiden.
Moderne nettlesere ønsker imidlertid ikke at brukere autentiserer seg mot nettsider med ett enkelt klikk, og vil ignorere alt som kommer foran @-tegnet. For eksempel vil URL-en https://google.com@bing.com ta brukeren til bing.com.
For at nettleseren skal la seg lure, kan imidlertid ikke det som kommer før @-tegnet inneholde vanlige skråstreker /. Hvis du ser nøye etter i eksempel-URL #1 over, så er skråstreken litt annerledes enn i #2 – den er nemlig erstattet av Unicode-tegn U+2215, som ligner en vanlig skråstrek.
I dette tilfellet havner du altså på nettsiden 1271.zip, som kan være en ondsinnet phishingside – kanskje laget for å ligne den ekte github-siden. Eller starte nedlasting av en fil som inneholder skadevare.
Fikk over 100.000 kroner for å finne digert slette-hull på LinkedIn
– Ingen praktisk betydning
Den kjente sikkerhetseksperten Troy Hunt i Microsoft står bak nettsiden Have I been Pwned, og mener folk bør slutte å bekymre seg.
Hunt viser til artikkelen fra Bobby Rauch, og mener at selv om den er interessant å lese, så vil de nye toppdomenene få så godt som ingen konsekvenser når det gjelder phishing-angrep.
This is interesting reading regarding the .zip TLD. However, it's of near zero consequence to phishing attacks, read it first then I'll explain: https://t.co/RoN3L2m61o
— Troy Hunt (@troyhunt) May 17, 2023
Han mener at folk uansett ikke finleser URL-ene tegn for tegn, eller har noe bevisst forhold til om URL-en man klikker på har et domene som er legitimt eller bare ligner.
I bloggposten fra Rauch anbefales det at man undersøker URL-er og ser om de inneholder suspekte Unicode-tegn eller @-tegn etterfulgt av .zip.
– De første to anbefalingene er tydelig for infosec-profesjonelle. "Hei, mamma – sjekk alltid for U+2044 og U+2215 i URL-er" kommer åpenbart ikke til å fungere, skriver Hunt på Twitter.
Også Ólafur Waage i norske TurtleSec har engasjert seg, og kaller ZIP-domenene en "diger feil":
.zip top level domains were a colossal mistake. pic.twitter.com/gqlEJEWLgG
— Ólafur Waage (@olafurw) May 12, 2023
Google: – Ingen ny risiko
Google har svart på kritikken, og mener risikoen for å bli lurt av domenenavn som ligner filnavn ikke er ny.
– For eksempel bruker 3Ms Command-produkter domenenavnet command.com, som også er et viktig program i MS-DOS og tidlige versjoner av Windows, skriver Google i et tilsvar til blant andre Bleeping Computer.
Google mener det finnes mange teknikker for å beskytte seg mot å klikke på ondsinnede lenker, som Google Safe Browsing.
«Mennesker er dårlige på URL-er og TLD-er har ingen betydning.»
– Google tar phishing og skadevare seriøst, og Google Registry har eksisterende mekanismer for å suspendere eller fjerne ondsinnede domener på tvers av alle våre TLD-er, inkludert .zip. Vi vil fortsette å overvåke bruken av .zip og andre TLD-er, og hvis nye trusler oppstår vil vi gjøre det som er nødvendig for å beskytte brukerne våre, skriver Google.
Troy Hunt oppsummerer:
– Mennesker er dårlige på URL-er og TLD-er har ingen betydning.
Det beste tipset er som alltid: Ikke klikk på lenker du mottar fra folk du ikke stoler på.
