Pokazalo se da vršne domene .zip i .mov nisu baš najbolja ideja
Nova vrsta kibernetičkih napada omogućena je Googleovim potezom, u kojem su u prodaju pustili domene istih nastavaka kao kod popularnih formata datoteka
Google je početkom ovoga mjeseca postao ovlašteni registar nekoliko novih vršnih internetskih domena. Među njima su se našle nove domene naziva .dad, .prof, .phd ili .foo, ali i dvije nešto privlačnije - .zip i .mov. Budući da ove domene dijele naziv s nastavcima popularnih datotečnih formata, odmah je postalo jasno da bi takva nomenklatura mogla korisnike dovesti u zabunu – a prvi su tu priliku za konfuziju i zavaravanje iskoristili razni akteri sumnjivih namjera.
Ovaj potez, u kojem su odjednom vršne domene .mov i .zip dostupne svima za kupnju, bez ikakve kontrole, već u početku kritizirali su stručnjaci za IT sigurnost, a njihova se zabrinutost pokazala opravdanom. Nakon samo koji tjedan zabilježeni su prvi pokušaji različitih phishing napada, koji iskorištavaju činjenicu da postoji .zip domena i .zip format datoteke, pa isto tako i .mov domena i .mov format datoteke.
Dokument ili domena?
Sigurnosna kompanija Kaspersky tako navodi i primjer prevare: žrtva napada, ništa ne sluteći, dobiva poruku na društvenoj mreži, u kojoj joj se savjetuje preuzimanje određenog .zip dokumenta (primjerice test.zip). Aplikacije za dopisivanje u pravilu ovakvu sintaksu riječi odmah pretvaraju u aktivni link, pa ako se netko domislio i registrirao domenu istog naziva (test.zip), korisnik može na nju kliknuti u uvjerenju da će dobiti određeni dokument – a zapravo je preusmjeren na potencijalno malicioznu stranicu.
Napad je još perfidniji ako se šalje duži i kompliciraniji link, u kojem je vrlo teško razlikovati koji od njih vodi do određenog .zip dokumenta na serveru, a koji do njegove "kopije", tj. do web stranice na .zip domeni.
Potom je primijećena još jedna vrsta napada, nešto sofisticiranije prirode. U njoj se pred korisnikom simulira otvaranje .zip datoteke, koju on misli da preuzima, a zapravo ga se odvodi na namjerno prerađenu .zip stranicu, koja pak sadrži maliciozni sadržaj. Napad je nazvan file-archiver-in-the-browser, a detalji su objavljeni na ovom mjestu.
Što učiniti?
Stručnjaci kažu kako ova promjena neće donijeti drastične promjene u način rada prevaranata i hakera, no dat će im jedan dodatni alat za phising, socijalni inženjering i druge tehnike kojima se bave. Korisnicima se i dalje preporuča krajnji oprez pri otvaranju linkova, pogotovo onih nepoznatih, kao i u slučaju privitaka u e-mailovima nepoznatih pošiljatelja.
Kad je riječ o administratorima, njima se preporuča uvesti posebne mjere zaštite za .mov i .zip domene, kao što su nešto detaljnija provjera linkova. Onima najopreznijima može se preporučiti čak i potpuno blokiranje pristupa ovim domenama – one za sada, naime, nisu odveć popularne i korištene, osim, kao što vidimo, za razne vrste kibernetičkih napada. I za kraj, budući da je čovjek uvijek najslabija karika u lancu, preporuka stručnjaka je dodati i informacije o ovim novim domenama u kurikulum sigurnosnog treninga za zaposlenike.
Za sada nije zabilježen niti jedan ozbiljan napad, koji bi koristio ove domene na opisani način. Međutim, deseci su korisnika registrirali domene s ovim nastavcima, a potom, kako bi se pokušali zabaviti popularnom internetskom razonodom, rickrollingom, preusmjerili ih znate već kamo.
