Sashkin - stock.adobe.com
Die potenziellen Risiken der neuen Top-Level-Domain .zip
Die neuen Top-Level-Domänen .zip und .mov werden von Security-Experten durchaus mit Sorge betrachtet. Zumindest sollte man sich mit den potenziellen Gefahren auseinandersetzen.
Die Freigabe von zwei neuen Top-Level-Domains hat eine Kontroverse unter Mitgliedern der Security-Community ausgelöst, die sich Sorgen darüber machen, wie die TLDs von böswilligen Akteuren verwendet werden könnten.
Am 3. Mai 2023 kündigte Google Registry die allgemeine Verfügbarkeit mehrerer neuer TLDs an, darunter .dad, .nexus, .zip und .mov. Die beiden letztgenannten TLDs wurden von Sicherheitsfachleuten sofort als potenzielle Probleme für die Cybersicherheit bezeichnet, da es sich um gängige Dateierweiterungen handelt.
Grund genug, die Ankündigung und die Auswirkungen auf Anwender einmal näher zu betrachten.
Warum .zip keine gute Idee ist
Die Internet Corporation for Assigned Names and Numbers (ICANN) verwaltet die TLDs, überträgt aber einige Befugnisse an bestimmte Organisationen, darunter auch Google. Das ICANN-Programm ermöglicht es Marken, ihre eigene Marke als generische TLD (gTLD) zu registrieren, zum Beispiel .google. Google beantragte 2014 Dutzende von gTLDs, darunter auch .zip. Bis zum 17. Mai 2023 waren bereits 5.000 .zip-Domains registriert worden. Einige Sicherheitsforscher haben diese Domains gekauft, um Endnutzer aufzuklären oder um auf potenziell beliebte URLs zu setzen.
Seit der Ankündigung von Google haben viele Sicherheitsexperten ihre Besorgnis darüber geäußert, dass die TLDs dazu verwendet werden könnten, Endnutzer zum Besuch bösartiger Websites zu verleiten. Websites, Messaging-Plattformen und andere Anwendungen können jetzt automatisch Dateinamen mit .zip in URLs umwandeln, was dazu führen könnte, dass Nutzer darauf klicken und Phishing-Seiten besuchen, die sie mit Malware infizieren.
So könnten böswillige Akteure beispielsweise Phishing-E-Mails mit einem Anhang versenden, in dem es heißt: „Ich habe Bilder[.]zip angehängt“. Die Empfänger könnten auf den automatisch erstellten Link klicken und denken, dass sie die Datei über den Link herunterladen und nicht auf eine Website weitergeleitet werden. Da die Empfänger glauben, dass der Link von einer vertrauenswürdigen Person gesendet wurde, können sie auch auf die URL gehen und mit Malware infiziert werden - vorausgesetzt, ein Angreifer besetzt die Domain.
Es gibt bereits verdächtige .zip-Websites im Internet. Der Anbieter von Bedrohungsdaten Silent Push Labs entdeckte zwei potenzielle Phishing-.zip-TLDs, die wie Microsoft Office-Anmeldeseiten aussehen sollen.
Phishing nach Zugangsdaten ist ein großes Problem, aber Ines Vestia, Senior Threat Analyst bei Silent Push Labs, sagt, dass die größere Sorge Malware ist.
„Ich würde das Phishing von Zugangsdaten nicht als Hauptbedrohung ansehen“, so Vestia. „Ich würde die größte Bedrohung definitiv im Herunterladen von Malware sehen. Deshalb ist .zip auch so problematisch. Es wird mit großen Dateien assoziiert, die komprimiert wurden. Wenn der Bedrohungsakteur dies mit den gängigen Namenskonventionen für Software-Downloads kombiniert, können die Folgen ziemlich verheerend sein.“
Aber nicht jeder ist besorgt, dass Endbenutzer auf .zip-URLs klicken. In Anbetracht der Tatsache, dass .zip im Allgemeinen für Datei-Downloads verwendet wird, die bereits bisher ein Malware-Problem darstellen, werden kluge Endbenutzer nicht auf diese URLs klicken, ohne zu recherchieren. Außerdem ist es nicht das erste Mal, dass eine Dateierweiterung als TLD freigegeben wurde - denken Sie daran, dass .com eine ausführbare Datei ist, die unter MS-DOS und Windows verwendet wird.
Eric Lawrence, leitender Software-Ingenieur bei Microsoft, hat in seinem Blog erklärt, dass das Platzieren von URLs wie VacationPhotos[.]zip und die Hoffnung, dass jemand E-Mails schickt, in denen die Dateierweiterung erwähnt wird, als Angriffsvektor nicht sehr spannend ist.
Google hat sich zur Einführung von .zip und den anderen neuen TLDs geäußert:
„Die Gefahr der Verwechslung von Domänennamen und Dateinamen ist nicht neu. So verwenden beispielsweise die Command-Produkte von 3M den Domänennamen command.com, der auch ein wichtiges Programm unter MS-DOS und frühen Versionen von Windows ist. Für Anwendungen gibt es Abhilfemaßnahmen, wie zum Beispiel Google Safe Browsing, und diese Abhilfemaßnahmen werden auch für TLDs wie .zip gelten. Gleichzeitig bieten neue Namensräume erweiterte Möglichkeiten für die Namensgebung, wie community.zip und url.zip. Google nimmt Phishing und Malware ernst, und Google Registry verfügt über bestehende Mechanismen zur Sperrung oder Entfernung bösartiger Domains in allen unseren TLDs, einschließlich .zip. Wir werden die Nutzung von .zip und anderen TLDs weiterhin überwachen und bei Auftreten neuer Bedrohungen geeignete Maßnahmen zum Schutz der Nutzer ergreifen.“
Wie man böswillige TLD-Angriffe abwehrt
Da die TLDs .zip und .mov erst seit kurzem verfügbar sind, müssen Unternehmen und Sicherheitsteams jetzt entscheiden, wie sie mit ihnen und den von ihnen ausgehenden Bedrohungen umgehen wollen.
Wie bei jeder potenziell bösartigen TLD ist es am einfachsten, die Auflösung verdächtiger Domänen zu blockieren, um Probleme zu vermeiden. Dies kann auf verschiedene Weise geschehen. Sicherheitsteams können eine Windows-Firewall-Richtlinie erstellen, um .zip und alle anderen TLDs zu blockieren, die das Unternehmen nicht verwendet. Bestimmte TLDs können auch in Outlook über die Einstellung für blockierte Absender blockiert werden.
Die Sperrung von .zip- und .mov-Domänen wurde von vielen Sicherheitsfachleuten empfohlen - vorerst. Johannes Ullrich, Forschungsleiter am SANS Technology Institute, schrieb: "Angesichts der geringen Nutzung von .zip-Domains in der realen Welt ist es vielleicht am besten, den Zugang zu ihnen zu sperren, bis klar ist, ob sie wirklich sinnvoll sind."