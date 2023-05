Na początku tego miesiąca Google zaczął oferować możliwość rejestracji domen „.zip”, do hostowania stron internetowych czy adresów e-mail. Jak możecie się domyśleć, tego typu domena może spowodować wiele dziwnych sytuacji i problemów. Jakie konkretnie?

Google Domains to strona giganta z Mountain View, na której możemy dokonać zakupu jednej z ponad trzystu aliasów domen. Niedawno do swojej oferty wprowadziła domenę TLD (domenę najwyższego poziomu), która brzmi ZIP. Zapewne większość z Was od razu ma skojarzenie tego skrótu, z popularnym typem archiwum (o którym pisaliśmy chociażby w tym artykule). No i tutaj właśnie pojawia się problem...

Google Domains zachęca do zakupu domeny o aliasie .zip

Domena ZIP – nazwa wprowadza w błąd komputery i ludzi

Od czasu wydania tej domeny TLD, w branży toczy się spora debata na temat tego, czy mogą one stanowić zagrożenie dla bezpieczeństwa cybernetycznego użytkowników. Podczas gdy niektórzy eksperci uważają, że obawy są przesadzone, inni widzą wiele problemów. Pierwszym przytaczanym jest taki, że niektóre witryny automatycznie zamieniają ciąg znaków kończący się na „.zip” na adres strony.

Dla przykładu, jeżeli na platformie Twitter wyślesz komuś wiadomość dotyczącą pobierania pliku o nazwie „setup.zip”, to platforma automatycznie zamieni nazwę tego archiwum w łącze. Oczywiście może sprawić to, że niektórzy ludzie pomyślą, iż należy kliknąć w tę nazwę aby pobrać plik. W tym momencie przeglądarka otworzy stronę https://setup.zip, która może przekierować do innej witryny, wyświetlić stronę HTML lub poprosić o pobranie pliku.

Domena ZIP – w jaki sposób oszuści mogą ją wykorzystać?

Jednak, podobnie jak w przypadku wszystkich „kampanii” rozsyłania złośliwego oprogramowania lub phishingu, należy najpierw przekonać użytkownika do otwarcia pliku. W wielu przypadkach może okazać się to dość trudne. Wobec tego co mogą zrobić oszuści, by potencjalne ofiary spełniły niezbędne wymagania?

Badacz bezpieczeństwa - mr.d0x - opracował interesujący zestaw narzędzi do phishingu, który pozwala tworzyć fałszywe instancje WinRar oraz Eksploratora plików w przeglądarce. To wszystko oczywiście jest wyświetlane w domenach ZIP. Wszystko po to, aby oszukać użytkowników w taki sposób, aby myśleli, że otwierają plik ".zip". Jak tłumaczy sam specjalista:

Dzięki temu atakowi phishingowemu symulujesz oprogramowanie do archiwizacji plików (np. WinRar) w przeglądarce i używasz domeny .zip, aby wyglądała na bardziej wiarygodną.

Demonstracja zawiera zestaw narzędzi, który może być użyty do osadzenia fałszywego okna WinRar bezpośrednio w przeglądarce. Gdy otwierana jest domena .zip, efekt wygląda tak, jakby użytkownik otworzył archiwum ZIP i teraz widział zawarte w nim pliki.

Aby fałszywe okno WinRar było jeszcze bardziej przekonujące, naukowcy zaimplementowali fałszywy przycisk Skanuj, który po kliknięciu mówi, że pliki zostały przeskanowane i nie wykryto żadnych zagrożeń.

Oczywiście większość z Was już pewnie widzi pewne „nieścisłości” w tym oknie, ale istnieje sporo niedoświadczonych użytkowników, którzy mogą założyć, że to jakaś nowa funkcja systemu operacyjnego, czy przeglądarki internetowej.

mr.d0x stworzył również inny wariant, który wyświetla fałszywy Eksplorator plików Windows w przeglądarce udając, że otwiera plik ZIP. Szablon ten nadal jest w fazie projektowej, więc brakuje w nim niektórych elementów.

Domena ZIP – jak wyłudzić dane lub zainfekować komputer?

mr.d0x wyjaśnia, że taki zestaw narzędzi do phishingu, może być używany zarówno do kradzieży danych uwierzytelniających, jak i do dostarczania złośliwego oprogramowania. Dla przykładu, jeżeli użytkownik dwukrotnie kliknie w plik PDF w fałszywym oknie WinRar, to link może go przekierować na inną stronę, gdzie pojawi się prośba o chociażby podanie danych logowania (w celu autoryzacji wyświetlenia pliku).

Zestawu narzędzi można również używać do dostarczania złośliwego oprogramowania, wyświetlając plik PDF, który przy kliknięciu pobiera plik .exe o podobnej nazwie. Na przykład – fałszywe okno archiwum, może wyświetlać plik document.pdf, ale po kliknięciu przeglądarka pobiera document.pdf.exe. Ponieważ system Windows domyślnie nie wyświetla rozszerzeń plików, użytkownik po prostu zobaczy plik PDF w folderze pobierania i może kliknąć go dwukrotnie, nie zdając sobie sprawy, że jest to plik wykonywalny.

Domena ZIP – co będzie dalej?

W zagranicznych mediach zrobiło się naprawdę głośno w tej sprawie. Pytanie, czy Google wycofa się ze sprzedaży tej domeny, czy usilnie będzie jej bronił? Na razie pozostaje nam monitorować sprawę i powiadomić bliskich i znajomych, by unikali klikania w pliki .zip.

