Google 推出新的域名,其中有兩個讓專家們為此爭論不休:.zip 以及 .mov。
不少網路安全人員以及 IT 管理員對 Google 打算推出的頂級域名「.zip」和「.mov」感到擔心,深怕駭客可能利用它們來進行網路釣魚或傳輸惡意軟體。
Google 在本(5)月稍早推出了 8 個新的頂級域名(top-level domain,簡稱 TDL),包括 .dad、.esq、.prof、.phd、.nexus、.foo 以及上述提及的 .zip 以及 .mov。在早期的 Internet 環境中,TDL 通常被用來分類網站用途,如網路使用者最熟悉的 .com 就對應有商業用途的網站、.org 則用於非營利組織、.edu 用於學校與大學、其他像是 .tw、.jp 等則用於國家。兩週前,在 Google 新增了 8 個新 TDL 之後,全球 TDL 數量達到了 1,480 個。
而 .zip 與 .mov 之所以會在資安界引起強烈的反彈聲浪,最主要原因在於這兩個名稱早已經被用來指稱完全不同的東西,.zip 是壓縮檔的檔名,.mov 則是影片文件的結尾,以 Apple 的 QuickTime 建立影檔時即是 .mov 作為結尾,不管是 .zip 或 .mov 現今仍被網路使用者大量使用。
資安專家指出,這些域名可以被任何人隨意註冊,到時駭客甚至不必發送郵件或簡訊引誘受害者點擊連結,只需要註冊域名、設置網站就能輕鬆提供惡意內容,然後再等待人們不小心下載到帶有惡意軟體的 zip 檔案就可以了。.mov 的道理亦然,即使是具備一定電腦經驗或網路知識的人也可能上當。
或者更讓人擔憂的是,有人可能在 email 或社交媒體平台(如 Twitter)中提到 setup.zip 或 vacation.mov 會被自動轉成可點擊的連結(駭客也會利用這種模糊性)。已經有資安人員註冊了像是 setup.zip 以及 steamstaller.zip 來示警並教育網路使用者,這類域名可能被駭客用來做些什麼。(例如點進去 steamstaller.zip 就寫著大大的「這不是 Steam」。)
但像是 microsoft-office[.]zip 這一網站就已經被用來作釣魚攻擊,惡意攻擊者在該網站中試圖竊取使用者微軟帳號的憑證。
Google 怎麼說?
Google 在一份聲明中為 .zip 和 .mov 進行了辯護,稱 Google 將會監控 .zip 和其他 TLD 的使用情況,以防止它們構成任何新威脅,並指出這些風險皆為可控。儘管資安人員認為 .zip 和 .mov 這兩個新網域一定會產生新的攻擊媒介與攻擊方式。
截至週四,已經有 2,753 個以 .zip 為結尾的域名,系統網路安全協會(SANS)網路安全研究所研究主任約翰內斯·烏爾里希(Johannes Ullrich)確定其中有 2 個很可疑,代表它們可能是惡意的。一個是 fermwartung[.]zip 這個網址,雖然它指向看起來合法的公司網站,卻會自動下載一個檔案,該檔案已被資安公司標記為惡意軟體。
研究人員還發現其中有 48 個網域是導向 Rick Astley 的歌曲 Never Gonna Give You Up,這也是網路常見的瑞克搖(rickrolling)惡作劇。其他的網域要不是 parked 狀態(意味著已經被保留但尚未設置網頁)不然就是產生錯誤。
有些人認為「事情沒那麼糟」
現在關於這兩個域名仍在資安專家與 IT 人員之間爭論不休,有些人認為這些擔心並沒有太大必要。例如微軟 Edge 開發者 Eric Lawrence 就認為這些擔心太過度,甚至形容其恐慌程度「簡直可笑」。
另外,也有人提出先前也有類似的 TLD,例如 .docs。或者也有人指出,許多 TLD 其實不會被程式自動轉換,通常需要將 https:// 新增到開頭才能點擊。(只是 Twitter 例外就是了)
只能說今後大家需要做的事情和過去不會有太多不同:不要點擊來路不明的連結,或者從不信任的網站下載檔案,今後看到 .zip、.mov 的連結時,如果不確定它是否安全,那就不要點擊它。
參考資料:arstechnica、theregister、techradar、XDA
核稿編輯:Chris
線