GR
Όλοι γνωρίζουμε τους ιστότοπους που έχουν καταλήξεις όπως .com, .net και .org. Αυτές οι καταλήξεις ονομάζονται τομείς ανωτάτου επιπέδου (TLD) και σύμφωνα με την Αρχή Εκχώρησης Αριθμών Διαδικτύου (IANA), υπάρχουν σχεδόν 1.500 διαφορετικοί TLD που διαχειρίζονται από διάφορα μητρώα. Με την πάροδο των ετών, ο κατάλογος των TLDs διευρύνθηκε με προσθήκες όπως .xyz, .io, .ai και άλλα.
Παρόλο που οι TLDs από μόνοι τους είναι ακίνδυνοι, οι χάκερ και οι απατεώνες συχνά συνδυάζουν ονόματα τομέων και TLDs για να δημιουργήσουν κακόβουλους ιστότοπους και συνδέσμους. Για παράδειγμα, τίποτα δεν εμποδίζει έναν απατεώνα να αγοράσει ένα όνομα τομέα όπως το 'amazon12[.]net' και να το χρησιμοποιήσει για να δημιουργήσει έναν κακόβουλο ιστότοπο ή διευθύνσεις ηλεκτρονικού ταχυδρομείου.
Η κατάχρηση TLD είναι διαδεδομένη σε εκστρατείεςphishing, όπου ένα email μπορεί να φαίνεται ότι προέρχεται από μια επίσημη διεύθυνση email, αλλά στην πραγματικότητα αποστέλλεται από ένα αντιγραφικό email ID, για παράδειγμα "order-update@amazon12[.]net". Αυτές οι τακτικές λειτουργούν επειδή όταν κάποιος βλέπει το όνομα μιας αξιόπιστης μάρκας σε μια διεύθυνση URL ή διεύθυνση ηλεκτρονικού ταχυδρομείου, είναι πιο πιθανό να κάνει κλικ σε συνδέσμους που οδηγούν σε κακόβουλους ιστότοπους και αρχεία.
Τον Μάιο του 2023, το Μητρώο της Google ανακοίνωσε 8 νέα top-level domains, συγκεκριμένα τα .dad, .phd, .prof, .esq, .foo, .zip, .mov και .nexus. Οι ειδικοί σε θέματα ασφάλειας στον κυβερνοχώρο έθεσαν υπό αμφισβήτηση δύο από αυτά τα TLD - .zip και .mov - επειδή είναι εύκολα εκμεταλλεύσιμα από χάκερς, απατεώνες και spammers.
Η κριτική πηγάζει από το γεγονός ότι τα .Zip και .Mov είναι δύο από τις πιο δημοφιλείς επεκτάσεις μορφής αρχείων υπολογιστών. Το γεγονός ότι οι TLDs ταυτίζονται με επεκτάσεις αρχείων είναι ένα υπαρκτό πρόβλημα - η .com είναι επίσης μια εκτελέσιμη μορφή αρχείου, η πολωνική επέκταση .pl αντιπροσωπεύει επίσης σενάρια Perl και η .sh αντιπροσωπεύει τόσο την Αγία Ελένη όσο και σενάρια κελύφους Unix. Ωστόσο, η πανταχού παρούσα μορφή αρχείων .zip και .mov καθιστά αυτά τα νέα TLD πολύ πιο δυνητικά επιβλαβή.
Το .Zip είναι η επέκταση αρχείου για συμπιεσμένα αρχεία αρχείων και το .Mov είναι μία από τις πιο κοινές επεκτάσεις αρχείων βίντεο. Αυτοί οι τύποι αρχείων περιλαμβάνονται συχνά σε συνημμένα αρχεία ηλεκτρονικού ταχυδρομείου και επομένως ένας εγκληματίας του κυβερνοχώρου θα μπορούσε θεωρητικά να αγοράσει έναν τομέα .zip με το ίδιο όνομα με ένα ευρέως χρησιμοποιούμενο όνομα αρχείου, όπως το "report.zip" και να κατευθύνει τα θύματα μέσω ηλεκτρονικού ταχυδρομείου σε έναν ιστότοπο phishing που περιέχει κακόβουλο λογισμικό.
Η απειλή μεγεθύνεται όταν οι πλατφόρμες ανταλλαγής μηνυμάτων και οι ιστότοποι κοινωνικής δικτύωσης μετατρέπουν αυτόματα τα ονόματα αρχείων με επεκτάσεις .zip και .mov σε διευθύνσεις URL. Στο παρακάτω παράδειγμα του Twitter, η αποστολή σε κάποιον οδηγιών για το άνοιγμα ενός αρχείου zip και την πρόσβαση σε ένα αρχείο MOV οδηγεί στη μετατροπή των ονομάτων αρχείων σε διευθύνσεις URL.
Πηγή: BleepingComputer
Η Netcraft διερεύνησε τις υπάρχουσες εγγραφές του .Zip TLD και επιβεβαίωσε ότι υπάρχουν ήδη ενδείξεις για δόλια δραστηριότητα. Η έρευνα αποκάλυψε 5.000 καταχωρημένα domains που χρησιμοποιούν το .zip και ανακαλύφθηκαν επιθέσεις phishingσε πέντε από αυτά τα domains που υποδύονταν εμπορικά σήματα όπως η Google, η Microsoft και η Okta.
Το microsoft-office[.]zip εμφάνιζε αρχικά την ένδειξη "This is not a microsoft page" πριν τροποποιηθεί ώστε να μοιάζει με πραγματική σελίδα σύνδεσης της Microsoft μια ώρα αργότερα.
Πίνακες εγγραφής που εμφανίζονται στο microsoft-office[.]zip (Πηγή: Netcraft)
Υπάρχουν πολλοί καταχωρημένοι τομείς οι οποίοι είναι πιθανό να είναι κακόπιστες καταχωρήσεις, μεταξύ των οποίων:
ΗGoogle απάντησε στις ανησυχίες σχετικά με τον τομέα .zip με την ακόλουθη δήλωση.
"Ο κίνδυνος σύγχυσης μεταξύ ονομάτων τομέα και ονομάτων αρχείων δεν είναι καινούργιος. Για παράδειγμα, τα προϊόντα Command της 3M χρησιμοποιούν το όνομα τομέα command.com, το οποίο είναι επίσης ένα σημαντικό πρόγραμμα στο MS DOS και στις πρώτες εκδόσεις των Windows. Οι εφαρμογές έχουν μετριασμούς για αυτό (όπως το Google Safe Browsing), και αυτοί οι μετριασμοί θα ισχύουν και για TLD όπως το .zip.
Ταυτόχρονα, οι νέοι χώροι ονομάτων παρέχουν διευρυμένες δυνατότητες για την ονοματοδοσία, όπως το community.zip και το url.zip. Η Google λαμβάνει σοβαρά υπόψη της το phishing και το κακόβουλο λογισμικό και το Μητρώο Google διαθέτει υφιστάμενους μηχανισμούς για την αναστολή ή την αφαίρεση κακόβουλων τομέων σε όλους τους TLDs μας, συμπεριλαμβανομένου του .zip. Θα συνεχίσουμε να παρακολουθούμε τη χρήση του .zip και άλλων TLD και αν εμφανιστούν νέες απειλές θα λάβουμε τα κατάλληλα μέτρα για την προστασία των χρηστών".
Αν και υπήρξαν εκκλήσεις προς την Google για την ανάκληση αυτών των νέων TLDs λόγω πιθανής κατάχρησης, φαίνεται ότι ήρθαν για να μείνουν. Να ελέγχετε πάντα προσεκτικά τους συνδέσμους πριν τους κάνετε κλικ και να αποφεύγετε να κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου και γραπτά μηνύματα.
