新的 ZIP 域名引发了网络安全专家之间的争论-安全客

网络安全研究人员和 IT 管理员对谷歌新的 ZIP 和 MOV 互联网域提出了担忧，警告称威胁行为者可能会利用它们进行网络钓鱼攻击和恶意软件传播。

本月早些时候，谷歌推出了八个新的顶级域 (TLD)，可以购买这些域来托管网站、电子邮件。

虽然 ZIP 和 MOV TLD 自 2014 年以来一直可用，但直到本月它们才普遍可用，允许任何人为网站购买域，如 bleepingcomputer.zip。

但是，这些域可能被认为具有风险，因为 TLD 也是论坛帖子、消息和在线讨论中通常共享的文件的扩展名，现在某些在线平台或应用程序会自动将其转换为 URL。

在线看到的两种常见文件类型是 ZIP 存档和 MPEG 4 视频，其文件名以 .zip（ZIP 存档）或 .mov（视频文件）结尾。因此，人们发布包含扩展名为 .zip 和 .mov 文件名的链接是很常见的。

但是，既然它们是 TLD，一些消息传递平台和社交媒体网站会自动将扩展名为 .zip 和 .mov 的文件名转换为 URL。

例如，在 Twitter 上，如果您向某人发送有关打开 zip 文件和访问 MOV 文件的说明，无害的文件名将转换为 URL，如下所示。

Twitter 自动链接 .zip 和 .mov 文件名

当人们在说明中看到 URL 时，他们通常认为该 URL 可用于下载相关文件，并可能会点击该链接。例如，将文件名链接到下载是我们通常在文章、教程和论坛中提供有关 BleepingComputer 的说明的方式。

但是，如果威胁行为者拥有与链接文件名同名的 .zip 域，则有人可能会错误地访问该站点并落入网络钓鱼诈骗或下载恶意软件，并认为该 URL 是安全的，因为它来自受信任的来源。

虽然威胁行为者不太可能注册数千个域来捕获少数受害者，但您只需要一名公司员工错误地安装恶意软件就会影响整个网络。

滥用这些域不是理论上的，网络情报公司 Silent Push Labs 已经发现 microsoft-office[.]zip 中似乎是一个网络钓鱼页面，试图窃取 Microsoft 帐户凭据。

网络安全研究人员也开始研究域名，Bobby Rauch发表了关于使用 Unicode 字符和 URL 中的用户信息分隔符(@)开发令人信服的网络钓鱼链接的研究。

Rauch 的研究表明威胁行为者如何制作看起来像 GitHub 上合法文件下载 URL 的网络钓鱼 URL，但在单击时实际上会将您带到 v1.27.1[.]zip 的网站，如下图所示。

https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zip

新的 ZIP 域名引发了网络安全专家之间的争论