谷歌推出ZIP域名引发安全争议

本月初谷歌推出了八个新的顶级域名（TLD），用户可以购买这些域名来托管网站或电子邮件地址。

新域名分别是.dad、.esq、.prof、.phd、.nexus、.foo，其中.zip和.mov域名引起了很多安全专家的担忧，因为这些域名可能会被不法分子用于网络钓鱼攻击和恶意软件投放。

虽然.zip和.mov顶级域名自2014年以来一直可用，但直到本月它们才普遍可用，向所有人开放购买.zip或.mov域名。

安全专家认为，.zip和.mov域名与两种常见文件类型zip文档和MPEG4视频文件扩展名相同，这可能导致一些社交媒体和通讯工具自动将扩展名为.zip和.mov的文件名转换为URL链接。

例如，在Twitter上，如果您向某人发送有关打开zip文件和访问mov文件的说明，则无害的文件名将转换为URL，如下所示。

如果攻击者拥有（或有意识地注册）与文件名同名的.zip域名，则用户很可能会错误地访问钓鱼网站或下载恶意软件，因为该URL看上去是安全的，来自受信任的来源。

事实上，不法分子不需要注册数以千计的域名来“盲狙”受害者，只需要注册一些最常用的文件名域名就足以捕获受害者。对企业来说，只需要一名员工错误地安装恶意软件即可导致整个网络遭受攻击。

滥用.zip和.mov域名并非停留在纸面上的假设，威胁情报公司Silent Push Labs已经在Microsoft Office上发现了一个使用.zip域名的网络钓鱼页面，试图窃取微软帐户凭据（下图）。

在Reddit论坛中，安全人员和开发人员展开了激烈的辩论，一些专业人士认为对.zip和.mov安全性的担忧没有必要，另一些人则认为这两个域名给互联网带来了不必要的风险。

微软Edge浏览器开发人员Eric Lawrence表示新域名的风险被夸大了。谷歌则表示文件和域名之间混淆的风险并不新鲜，浏览器缓解措施已经到位，可以保护用户免受滥用。

对于企业安全管理者和最终用户来说，对网络钓鱼的防御能力主要取决于日常的安全意识和“卫生习惯”，但随着.zip和.mov域名的普及，此类链接应当引起额外的重视。

参考链接：

https://isc.sans.edu/diary/The+zip+gTLD+Risks+and+Opportunities/29838/