Advarer mot nye .zip-domener: - En diger feil!

Men eksperter er uenige om hvorvidt de nye toppnivådomenene betyr økt fare for phishing-angrep eller ikke.

Er .zip-toppdomener skumle eller ikke? Ekspertene er uenige. 📸: Kurt Lekanger
Er .zip-toppdomener skumle eller ikke? Ekspertene er uenige. 📸: Kurt Lekanger Vis mer

Google lanserte nylig åtte nye toppnivå-domener (TLD): .dad, .phd, .prof, .esq, .foo, .zip, .mov og .nexus.

Introduksjonen av .zip- og .mov-domenene har imidlertid fått enkelte sikkerhetseksperter til å advare om at domenene kan misbrukes, ettersom de også kan være filendelser, skriver Ars Technica.

Vanskelig å skille

Sikkerhetseksperten Bobby Rauch jobber hos Amazon, og i et blogginnlegg bruker han dette eksempelet:

– Kan du raskt se hvilken av disse to URL-ene som er legitim, og hvilken som er et ondsinnet phishing-angrep?

1: https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip

2: https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

Mange av oss er vant til å sjekke det som tilsynelatende er domenenavnet, altså det som kommer rett etter https://. Men i eksempel 1) over er det en @ foran v1271.zip. Det betyr at alt mellom https:// og @ behandles som et brukernavn, mens alt etter @ er adressen til nettsiden.

Moderne nettlesere ønsker imidlertid ikke at brukere autentiserer seg mot nettsider med ett enkelt klikk, og vil ignorere alt som kommer foran @-tegnet. For eksempel vil URL-en https://google.com@bing.com ta brukeren til bing.com.

For at nettleseren skal la seg lure, kan imidlertid ikke det som kommer før @-tegnet inneholde vanlige skråstreker /. Hvis du ser nøye etter i eksempel-URL #1 over, så er skråstreken litt annerledes enn i #2 – den er nemlig erstattet av Unicode-tegn U+2215, som ligner en vanlig skråstrek.

I dette tilfellet havner du altså på nettsiden 1271.zip, som kan være en ondsinnet phishingside – kanskje laget for å ligne den ekte github-siden. Eller starte nedlasting av en fil som inneholder skadevare.

– Ingen praktisk betydning

Den kjente sikkerhetseksperten Troy Hunt i Microsoft står bak nettsiden Have I been Pwned, og mener folk bør slutte å bekymre seg.

Hunt viser til artikkelen fra Bobby Rauch, og mener at selv om den er interessant å lese, så vil de nye toppdomenene få så godt som ingen konsekvenser når det gjelder phishing-angrep.

Han mener at folk uansett ikke finleser URL-ene tegn for tegn, eller har noe bevisst forhold til om URL-en man klikker på har et domene som er legitimt eller bare ligner.

I bloggposten fra Rauch anbefales det at man undersøker URL-er og ser om de inneholder suspekte Unicode-tegn eller @-tegn etterfulgt av .zip.

– De første to anbefalingene er tydelig for infosec-profesjonelle. "Hei, mamma – sjekk alltid for U+2044 og U+2215 i URL-er" kommer åpenbart ikke til å fungere, skriver Hunt på Twitter.

Også Ólafur Waage i norske TurtleSec har engasjert seg, og kaller ZIP-domenene en "diger feil":

Google: – Ingen ny risiko

Google har svart på kritikken, og mener risikoen for å bli lurt av domenenavn som ligner filnavn ikke er ny.

– For eksempel bruker 3Ms Command-produkter domenenavnet command.com, som også er et viktig program i MS-DOS og tidlige versjoner av Windows, skriver Google i et tilsvar til blant andre Bleeping Computer.

Google mener det finnes mange teknikker for å beskytte seg mot å klikke på ondsinnede lenker, som Google Safe Browsing.

«Mennesker er dårlige på URL-er og TLD-er har ingen betydning.»

– Google tar phishing og skadevare seriøst, og Google Registry har eksisterende mekanismer for å suspendere eller fjerne ondsinnede domener på tvers av alle våre TLD-er, inkludert .zip. Vi vil fortsette å overvåke bruken av .zip og andre TLD-er, og hvis nye trusler oppstår vil vi gjøre det som er nødvendig for å beskytte brukerne våre, skriver Google.

Troy Hunt oppsummerer:

– Mennesker er dårlige på URL-er og TLD-er har ingen betydning.

Det beste tipset er som alltid: Ikke klikk på lenker du mottar fra folk du ikke stoler på.