W 2014 roku Google dołączył do grona operatorów domenowych i stworzył serwis Google Domains. Od maja można za jego pomocą zakupić domeny z nowymi końcówkami, tj. oparte na nowych domenach najwyższego poziomu. Dwie spośród nich „.mov” i „.zip” są szczególnie niebezpieczne, ponieważ ich nazwy są tożsame z rozszerzeniami plików. Cyberprzestępcy już postanowili to wykorzystać.
NOWE DOMENY OD GOOGLE
Na rynku jest dostępnych około 300 domen globalnych najwyższego poziomu (zwanych inaczej sufiksem domeny). Google postanowiło jeszcze bardziej poszerzyć ten katalog i od maja można kupić domeny z nowymi ośmioma końcówkami takimi jak: „.dad”, „.esq”, „.prof”, „.phd”, „.nexus”, „.foo”, „.mov”, .”zip”.
Dzielą się one na domeny profesjonalne, które dedykowane są poszczególnym zawodom. Przykładowo domeny z końcówką „.esq” dedykowane są prawnikom, a „.phd” i „.prof” osobom posiadającym tytuły naukowe. Natomiast domeny „.zip” miały w zamyśle służyć osobom związanym z technologią IT. W rzeczywistości cieszą się szczególną popularnością wśród cyberprzestępców.
DLACZEGO DOMENA „.ZIP” JEST NIEBEZPIECZNA?
ZIP to jeden z najczęściej używanych formatów stosowanych do kompresji plików do jednego archiwum. Za pomocą programów go obsługujących można zmniejszyć ogólny rozmiar plików oraz zamieniać foldery w archiwa i dzięki temu np. szybciej wysyłać ich większą ilość. Pliki skompresowane mają po nazwie rozszerzenia o treści „.ZIP” lub „.zip”.
Jedna z nowych domen najwyższego poziomu, czyli „.zip” jest niebezpieczna z powodu tej samej nazwy, jaką ma popularny format pliku. Za pomocą tej domeny można tworzyć adresy URL do złudzenia przypominające nazwy plików. Przykładowo otrzymując w mailu od oszusta link „skany.zip” można pomyśleć, że po kliknięciu, na urządzenie zostanie pobrany plik w formacie ZIP. W rzeczywistości użytkownik może zostać przeniesiony na spreparowaną stronę internetową, z której zostanie pobrane złośliwe oprogramowanie. Przestępcy chcąc dodatkowo uwiarygodnić adres URL (czyli adres strony) podszywają się pod znane marki i adresy. Aby nie wzbudzać podejrzenia potencjalnych ofiar, podmieniają tylko niektóre znaki w adresie. Przykładem może być zamiana „m” na „rn” lub „l” na „I”.
Co ciekawe, wszystkie ciągi znaków z końcówką „.zip” są w Internecie automatycznie zamieniane na linki. Przykładowo, jeżeli kiedyś zamieściłeś na LinkedIn post, w którym wspomniałeś o pliku „umowa.zip”, to aktualnie wyświetla się on jako link do strony internetowej. Natomiast w sytuacji szukania konkretnego pliku na komputerze (przy pomocy „lupki”) najpierw przeszukiwane są zasoby urządzenia, a następnie proponowane są linki do stron internetowych. Warto przekonać się, jak to działa – można nawet kliknąć link do strony umowa.zip, która jest bezpieczna i zawiera przekierowanie do filmu prezentującego te zagrożenia.
Według informacji podanych przez Instytut SANS wykupiono już 1200 domen z rozszerzeniem „.zip”, spośród których wiele zostało wykorzystanych przez cyberprzestępców.
DLACZEGO DOMENA „.MOV” JEST NIEBEZPIECZNA?
Nie tylko domena „.zip” jest niebezpieczna. Należy zwrócić też uwagę na sufiks „.mov”. Pliki multimedialne zaprojektowane przez Apple, których domyślnymi odtwarzaczami są urządzenia tej marki, również mają rozszerzenie „.mov”. Chociaż ten format pliku nie jest tak popularny jak „.zip” to domeny z końcówką „.mov” również są niebezpieczne, szczególnie dla użytkowników sprzętu od firmy Apple.
CZY NIEBEZPIECZNE DOMENY ZOSTANĄ ZABLOKOWANE?
Na razie Google nie planuje zablokować wszystkich domen z rozszerzeniami „.zip” oraz „.mov”. Zgodnie z komentarzem rzecznika prasowego „Google poważnie traktuje phishing i złośliwe oprogramowanie, a rejestr Google ma istniejące mechanizmy zawieszania lub usuwania złośliwych domen. (…) Będziemy nadal monitorować użycie ZIP i innych nazw domen, a jeśli pojawią się nowe zagrożenia, podejmiemy odpowiednie działania w celu ochrony użytkowników”.
JAK UCHRONIĆ SIĘ PRZED NIEBEZPIECZEŃSTWEM?
Nowe domeny stanowią ogromne niebezpieczeństwo, ponieważ cyberprzestępcy wykorzystują brak świadomości użytkowników Internetu. Próbują w różny sposób zwabiać ofiary na spreparowane przez siebie strony internetowe. Niestety Google (zapewne przypadkowo) dał im do tego nowe narzędzie. W celu uchronienia się przed zagrożeniem można zablokować te nowe domeny. Taka możliwość istnieje w systemie Windows, a instrukcja znajduje się w tym artykule.