Nov tip spletnih strani buri duhove: "Stoodstotno so med njimi nevarne"

Novice Odprl je aplikacijo, ki je ne bi smel, in doživel nočno moro

Nove vrhnje internetne domene, torej končnice naslovov internetnih strani, kot sta vsem znani .com in .si, ki jih je 3. maja najavil Google, so .dad, .esq, .prof, .phd, .nexus, .foo ter že omenjeni .zip in .mov. Zadnji dve sicer nista novost, saj kot vrhnji domeni obstajata že skoraj desetletje, toda šele zdaj jih lahko registrira vsak, ki to želi. 

Več strokovnjakov oziroma podjetij, ki se ukvarjajo s kibernetsko varnostjo, na primer Trend Micro in Malwarebytes, se je na Googlovo potezo odzvalo kritično. ZIP in MOV sta namreč zelo dobro poznani datotečni končnici, prva za arhivske datoteke, druga za videoposnetke. 

Datoteke ZIP in MOV so med bolj pogostimi med vsemi, ki krožijo po svetovnem spletu. Foto: Shutterstock

Uvedba novih vrhnjih internetnih domen .zip in .mov kiberkriminalcem v teoriji tako odpira novo okno za potencialne zlorabe, kot sta okuževanje računalnikov in drugih naprav ter internetnih omrežij z zlonamernimi programi in kraja osebnih podatkov.

Novice Nevarna skrivnost v ogromno pametnih telefonih

Poskusi goljufij so se pojavili tako rekoč takoj

Podjetje Silent Push Labs je manj kot deset dni po uvedbi novih vrhnjih internetnih domen razkrilo nevarno spletno stran, ki se izdaja za uradno Microsoftovo, uporabnike pa je nanjo preusmerjala lažna datoteka, v resnici spletna povezava .zip, ki je obljubljala dostop do paketa pisarniške programske opreme Microsoft Office:

Foto: Silent Push Labs

Eden od mogočih vektorjev kibernetskega napada, na katerega so takoj opozorili številni strokovnjaki za kibernetsko varnost, izkorišča dejstvo, da bodo nekatere družbene spletne platforme v pogovorih z drugimi uporabniki omembe datotek, ki se končajo s .zip ali .mov, zdaj samodejno pretvorile v spletne povezave. 

To zdaj, na primer, pomeni, da lahko nekdo registrira zlonamerno spletno stran z generičnim imenom namestitev.zip ali posodobitev.zip in jo uporablja za krajo osebnih podatkov (spletno ribarjenje z lažnim predstavljanjem) ali na njej gosti zlonamerne datoteke.

Goljuf, ki upravlja to spletno stran, bo računal na to, da bo na družbenih omrežjih kdo od milijonov uporabnikov drugemu poslal navodila, ki vključujejo uporabo datotek namestitev.zip ali posodobitev.zip.

Ker bo družbeno omrežje besedilo, ki omenja te datoteke (to zdaj že počne Twitter, na primer), samodejno pretvorilo v spletne povezave, obstaja možnost, da jih uporabnik klikne, pri tem pa bo preusmerjen na zlonamerno spletno stran. 

Novice Sporočilo, ki vam lahko uniči dan: ne odpirajte ga!

Strokovnjak: Možnost, da bodo nove domene zlorabljene, je stoodstotna

John Scott-Railton, strokovnjak za področje internetnih groženj, predvsem vohunske programske opreme in lažnega predstavljanja (phishinga), je svojim skoraj 200 tisoč sledilcem na Twitterju predlagal, naj preprosto blokirajo vse spletne strani z domenama .zip in .mov, ker je verjetnost, da bosta zlorabljeni za kibernetske napade, po njegovem mnenju stoodstotna.

The chance that new .zip and .mov domains mostly get used for malware attacks is 100%

Not sure who asked for this, but this is a bad move.

Block it all. https://t.co/O118Byk2d5

— John Scott-Railton (@jsrailton) May 12, 2023

Medtem je znani raziskovalec s področja kibernetske varnosti mr.d0x prejšnji teden razkril tudi način, kako je novi problematični vrhnji domeni mogoče zlorabiti za lažno predstavljanje s simuliranjem programa za odpiranje arhivskih datotek neposredno v spletnem brskalniku.

To je spletna stran z zvitim imenom File Explorer - WinRAR, ki računalniško manj pismenemu uporabniku daje vtis, da ima v okolju Windows odprt program WinRAR. Strokovnjak mr.d0x opozarja tudi, da je mogoče, da nič na tej spletni strani ni tako, kot se zdi. Če žrtev poskusa prevare prejme navodilo, da naj na svoj računalnik prenese datoteko Račun.pdf, se lahko zgodi, da je goljuf zgolj zamenjal imena in da se bo na njen računalnik v resnici prenesla izvršilna datoteka .exe ali kaj drugega. Foto: mr.d0x

Kot je na svoji spletni strani pokazal mr.d0x, je z določenimi orodji mogoče doseči, da se ob kliku na povezavo do spletnega mesta na naslovu z vrhnjo domeno .zip naloži navidezna različica Winrara, znanega programa za odpiranje arhivskih datotek. Računalniško bolj podkovani uporabniki bodo verjetno takoj zaslutili, da nekaj smrdi, saj bo Winrar odprt v spletnem brskalniku, toda ti niso tarča tovrstnih prevar. Tarča so laiki oziroma računalniško manj pismeni uporabniki.

Ko bi potencialna žrtev prevare kliknila na eno od datotek v domnevnem "arhivu" .zip, bi lahko bila ali preusmerjena na zlonamerno spletno stran za krajo podatkov za prijavo v določena spletna mesta ali pa pretentana v prenos in odprtje datoteke, ki ne bi bila to, za kar se izdaja, s čimer bi se na žrtvin osebni računalnik lahko naložil virus ali trojanski konj. 

Pri Googlu so v odzivu za več tehnoloških medijev, ki so podjetje prosili za komentar v zvezi s potencialnimi novimi metodami kibernetskih napadov ali zlorab, ki bi izkoriščale vrhnji domeni .zip in .mov, pojasnili, da lažno predstavljanje in druge spletne grožnje jemljejo zelo resno ter da bodo z uporabo že obstoječih varnostnih mehanizmov sproti odstranjevali zlonamerne internetne naslove. Po mnenju Googla nove vrhnje internetne domene sicer prinašajo več prednosti kot slabosti.