Začiatkom mája spustil Google nové domény prvej úrovne (TLD) .mov, .nexus, .dad, .phd, .prof, .esq, .foo a .zip. No a práve posledná spomínaná vzbudila zaujímavé debaty okolo bezpečnosti a možnosti potenciálnych phishingových útokov.
Súbor či doména
.zip teraz totiž reprezentuje ako doménu, tak aj populárny a všeobecne rozšírený súborový formát na kompresiu a archiváciu dát. Formát bol vytvorený Philom Katzom pre program PKZIP, ale v dnešnej dobe s ním pracuje mnoho ďalších programov.
A kde je teda problém?
Pozrime sa na adresu
https://google.com@database-backup.zip
a tipnite si, čo sa vám v prehliadači otvorí.
Skúsenejší používatelia asi tušia, že doména database-backup.zip a všetko pred znakom @ bude ignorované. Toto nie je žiadna novinka, ale pri rýchlom klikaní môžete zavináč prehliadnuť alebo jednoducho neviete, že je ignorovaný.
Pozrime sa ešte na dve ukážky. Adresa https://google.com@bing.com vás presmeruje na bing.com. No a ak by ste pridali lomky do adresy URL pred znak @ by sa to stalo naopak https://google.com/search@bing.com. Takto sa správa väčšina moderných prehliadačov.
Treba sa obávať?
Skeptici v diskusiách tvrdia, že tento problém je tu už dlhšie a bolo ho možné zneužiť aj pri iných doménach a k nim podobným názvom súborov. Ako napríklad .ai pre Adobe Illustrator, .pl pre Perl a pod. Čo sa tu ale mení, je rozšírenosť ZIP súborov a lepšie povedomie, že ide o archív aj medzi BFU.
Takéto phishingové útoky sa mohli diať už aj doteraz. Skôr ale používané bývajú veľmi dlhé URL, kde ako subdomená je použité niečo dôveryhodné a čo je skutočná doména, je tak na konci, že to prehliadač alebo mailový klient nezobrazí. Toto však rozširuje možnosti, ako je možné podvrhnúť škodlivý softvér, ktorý sa môže tváriť ako inštalátor nejakej aplikácie.
.zip domén už bolo zaregistrovaných viac ako 4500.
Aj v tomto prípade teda platí, že je dobré si skontrolovať, na čo klikáte a od koho.