谷歌最近推出了八个新的顶级域名(TLD),旨在激励父亲(.dad)、毕业生(.prof、.phd和.esq)和技术爱好者(.foo、.zip、.mov和.nexus),但专家警告说,其中至少有两个存在重大网络安全风险。
所讨论的TLD(.zip和.mov)与存在于互联网四堵墙之外的常见文件格式(ZIP存档和视频文件)共享名称,许多网络安全专家认为这些文件格式具有误导性。
虽然过去已经推出了其他类似的易受攻击的TLD(例如.docs),但另外两个TLD的引入增加了诈骗或网络钓鱼攻击的机会,为威胁行为者提供了更多路线。
例如,具有任何TLD的合法网站(包括.zip等“危险”示例)可能包含帮助部分,描述打开压缩文件所需的过程。如果该文件被命名(在我们的例子中为example.zip),则用户的浏览器可能会自动添加一个超链接,因为它知道.zip是合法的TLD,即使在我们的例子中该页面引用的是本地文件而不是网站。
虽然文件本身是安全的,但威胁行为者可能已经在该域下注册了一个网站,希望毫无戒心的用户点击超链接,将他们引导至可能成为恶意软件、网络钓鱼攻击或其他诈骗宿主的恶意页面。
目前,一系列相关域名已在新的、有风险的TLD下注册,希望有人在某个地方引用网页上的文件名,然后将其转换为指向其恶意网站的超链接。
虽然用户可以采取一些措施来更明智地跟踪潜在的危险链接,但部分责任最终必须由谷歌承担。
谷歌发言人告诉TechRadarPro:“域名和文件名之间混淆的风险并不是什么新鲜事。”“例如,3M的Command产品使用域名command.com,这也是MSDOS和早期版本的Windows上的一个重要程序。应用程序对此有缓解措施(例如Google安全浏览),这些缓解措施也适用于.zip等TLD。同时,新的命名空间提供了扩展的命名机会,例如community.zip和url.zip。”
“Google严肃对待网络钓鱼和恶意软件,Google注册机构拥有暂停或删除我们所有TLD(包括.zip)中的恶意域名的现有机制。我们将继续监控.zip和其他TLD的使用情况,如果出现新的威胁,我们将采取适当的行动来保护用户。”