Det börjar bli ont om lediga huvuddomäner under de klassiska toppdomänerna såsom com, net och org. För att råda bukt på problemet växer antalet generiska toppdomäner som organisationer och privatpersoner kan registrera huvuddomäner under. I början av maj utökade Googles registreringstjänst utbudet av sådana toppdomäner med ytterligare åtta toppdomäner:
- dad
- phd
- prof
- esq
- foo
- nexus
- mov
- zip.
De två sistnämnda toppdomänerna är kontroversiella eftersom de också är vanliga filnamnstillägg. Mov är filnamnstillägget för Apples Quicktime-format och zip är filnamnstillägget för det populäraste formatet för komprimerade filarkiv. Zip-filer används dessutom ofta i nätfiskeattacker och för att sprida skadeprogram.
Toppdomänen zip är på intet vis farligare än någon annan. Det är enbart förvirringen som dess domäner orsakar som kan underlätta vid spridning av nätfiskeattacker och skadeprogram. Frågan är också hur stor den legitima efterfrågan på zip-domäner är. I ansökningsdetaljerna för toppdomänen framgår det att ”zip” var tänkt att anspela på ”zip drives”. Zip drive är ett sedan länge utdött alternativ till klassiska disketter. Numera används termen ibland för att syfta på USB-minnen.
Exempel på attacker
Matt Holt på Twitter har redan kommit på ett smart sätt som angripare kan utnyttja kopplingen mellan toppdomän och filnamnstillägg (se inlägg på Twitter). Han registrerade huvuddomänen familyphotos[.]zip och lade ett ”infekterat” zip-arkiv med samma namn på den kopplade webbplatsen. Sedan skickade han ett mejl som innehöll både en länk till webbplatsen och ett ofarligt zip-arkiv med samma namn. I mottagarens Gmail-app indikerade Gmail att bilagan var säker, vilket den ju också var. Men om Gmail-mottagaren råkade klicka på länken med samma namn, i stället för på bilagan, laddade mottagaren det ”infekterade” zip-arkivet i tron om att Gmail hade virusskannat det. Eftersom Matt Holt bara gjorde detta i demonstrationssyfte var den ”infekterade” bilagan inte farlig på riktigt (den innehöll bara ett textmeddelande).
Vi har även sett nätfiskeattacker under zip-toppdomänen. I skrivande stund ligger exempelvis en klonad nätfiskekopia av Microsoft 365:s inloggningssida på domänen microsoft-office[.]zip. Både Microsofts surfskydd (används i Edge) och Googles surfskydd (används i Chrome, Safari och Firefox) har nu blockerat domänen.
Blockera Zip-domäner
Det återstår att se ifall zip-domäner blir populära bland angripare. Spamhaus webbplats listar vilka toppdomäner som är värst ur ett skräpposts- och skadeprogramsperspektiv. Där syns än så länge inga sådana tendenser för zip-domäner, men det är för tidigt att dra några slutsatser.
Organisationer som använder DNS-skydd (till exempel NextDNS eller Umbrella) kan i förebyggande syfte blockera alla zip-domäner tills vidare. Lyssna på avsnitt 195 av Bli säker-podden för mer information om NextDNS.
Tack till Ghacks för tipset om adressen till den klonade inloggningssidan.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.