روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما به نام وبسایت‌هایی که با  .com، .org، .net و غیره تمام می‌شوند عادت کرده‌ایم. سال‌های اخیر اما شاهد ظهور افزونه‌های جدید دامنه‌ها بودیم؛ برای مثال .aero، .club و غیره. اینها به دامنه‌های درجه بالا (TLDها) معروفند و این فهرست –که همین الانش هم بلند بالاست- هر از گاهی پذیرای موارد جدید نیز می‌شود. گوگل اعلام کرد در ماه می هشت دامنه جدید موجود می‌شود که دو دامنه از پسوندهای محبوب فایل .zip و .mov قابل‌تشخیص نیستند. این حرکت، نقد متخصصین حوزه آی‌تی و امنیت اطلاعات را در پی داشت زیرا سردرگمی تضمین‌شده خواهد بود، مدیریت لینک سخت خواهد شد و الگوهای جدید فیشینگ بوجود خواهند آمد.

این سردرگمی چطور بوجود می‌آید؟

فایل‌های ZIP و MOV چندین دهه است که وجود دارند: .zip استاندارد بایگانی واقعی و .mov یکی از محبوب‌ترین کانتینرهای ویدیویی است. هدف گوگل  از MOV و ZIP متخصصین فناوری بوده است اما در واقع هر دو دامنه برای هر کسی و هر هدفی در دسترس هستند.

اکنون، تنها زمینه یا کانتکست می‌تواند به شما کمک کند  بفهمید که ZIP یا MOV یک وب‌سایت است یا یک فایل؛ مثلاً با update.zip. . با این حال، زمینه چیزی است که انسان‌ها می‌توانند درک کنند، اما رایانه‌ها نه، بنابراین مرجعی مانند آن می‌تواند در همه انواع برنامه‌ها مانند توییتر مشکلاتی ایجاد کند.

مستر داکس، محقق امنیتی راه دیگری برای اکسپلویت دامنه .zip با هدف فیشینگ پیدا کرده است. این تکنیک که او شرح داده «آرشیوکننده‌ی فایل در مرورگر[1]» نام دارد که شامل استفاده از سایت‌هایی می‌شود که کارشان تقلید از رابط ابزار بایگانی است. کاربر با باور بر اینکه دارد فایل زیپ باز می‌کند در واقع به سایتی با همان نام هدایت می‌شود و عوض لیست فایل یک سری یوآرال که او را هرجایی می‌تواند ببرد می‌بیند. برای مثال این‌ها می‌توانند لینک دانلود بدافزار قابل‌اجرا را پنهان کنند یا به درخواستی منتهی شوند که روی اطلاعات محرمانه برای دسترسی به داکیومنت خاصی کار می‌کند. همین داکیومنت همچنین با استفاده از ویندوز فایل اکسپلورر ماکنیزم جذاب ارسال را شرح می‌دهد. اگر مهاجم تصمیم بگیرد قربانی خود را مجاب به سرچ فایل زیپ ناموجود بکند، فایل اکسپلورر خودکار سایتی را روی دامنه همان نام باز می‌کند. تهدید فیشینگ واقعی است؛ سایت‌های فیشینگ زیپ که تم آپدیت ویندوز را اکسپلویت کرده بودند شناسایی شدند. نه که بگوییم این اولین باری بوده چنین سردرگمی‌ای را شاهد بودیم. یکی از اورجینال‌ترین دامنه‌ها که .com باشد همچنین افزونه قانونی‌ای است برای قابل‌اجراهایی که فعالانه در  MS-DOS (نسخه‌های قدیمی‌تر ویندوز) استفاده می شوند و این درحالیست که افزونه .sh استفاده‌شده برای اسکریپت‌های Unix با TLD یکسان است. همچنان، ZIP و MOV که میان مخاطبین نه خیلی فنی باب هستند این پتانسیل را دارند که هم برای کاربران و هم برای ادمین سیستم‌ها مشکل بوجود آورند. حتی اگر لحظه‌ای از فیشینگ غافل شوید هر متنی حاوی نام فایل می‌تواند به متنی تبدیل شود شامل هایپرلینک به وبسایتی خارجی. نقشه فیشینگ باشد و باشد، به هر حال این دست کم اگر گیجتان نکند معذب‌تان خواهد کرد.

توصیه‌هایی برای کاربران

ظهور دامنه‌های ZIP و MOV منجر به تغییر شدید در اکوسیستم فیشینگ و کلاهبرداری آنلاین نمی‌شود - فقط یک سلاح دیگر به زرادخانه گسترده هکرها اضافه می‌کند. بنابراین، نکات رایج ضد فیشینگ ما بدون تغییر باقی می‌مانند: قبل از کلیک کردن، لینک‌ها را از نزدیک بررسی کنید. مراقب پیوست‌ها و آدرس های اینترنتی در ایمیل‌های ناخواسته باشید. روی لینک‌های مشکوک کلیک نکنید؛ و مطمئن شوید که از امنیت مناسب در همه دستگاه‌های خود - حتی گوشی‌های هوشمند و مک‌ها استفاده می‌کنید.

توصیه‌هایی برای ادمین‌ها

برخی از کاربران احتمالاً توصیه‌های بالا را نادیده می‌گیرند، بنابراین، بسته به نحوه عملکرد سازمان شما، ممکن است لازم باشد قوانین امنیتی جداگانه ای برای نام‌های دامنه .zip و .mov تنظیم کنید. اقدامات ممکن شامل اسکن لینک‌های دقیق تر یا حتی مسدود کردن کامل کاربران از بازدید از وب سایت‌های این دامنه‌ها در کامپیوترهای سازمانی است. نمونه‌اش را داشتیم: دامنه .bit به طور گسترده مسدود شد و به تدریج به دلیل سیل لینک‌های مخرب در سال های 2018-2019 از بین رفت.

ظهور دامنه‌های ZIP و MOV یک موقعیت عالی برای انجام - یا تکرار است! - آموزش infosec برای کارمندان (با تمرکز بر تشخیص فیشینگ).

توصیه می‌کنیم مدیران فناوری اطلاعات سیستم‌های تجاری کلیدی را که لینک‌ها را پردازش می‌کنند، آزمایش کنند تا ببینند چگونه وب‌سایت‌های .zip و .mov را مدیریت می‌کنند و آیا استفاده از فایل‌های ZIP با اثرات نامطلوب همراه است یا خیر. سیستم‌های ایمیل، برنامه‌های پیام‌رسانی فوری شرکت‌ها و سرویس‌های اشتراک‌گذاری فایل کارکنان باید به‌ویژه به دقت نظارت شوند، زیرا سردرگمی‌ها از همینجا شروع می‌شود. قابلیت‌های نامطلوب، مانند ایجاد خودکار لینک‌ها بر اساس الگوهای نامی خاص، می‌توانند برای ZIP و MOV یا در سراسر صفحه غیرفعال شوند.

[1] file-archiver-in-the-browser

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.