Torek, 30. 5. 2023, 22.01
1 leto, 5 mesecev
Nov tip spletnih strani buri duhove: "Stoodstotno so med njimi nevarne"
V začetku maja je tehnološki velikan Google marsikaterega strokovnjaka za informacijsko varnost razburil z obvestilom, da uvaja osem novih vrhnjih internetnih domen, med njimi pa sta tudi .zip in .mov, uporabnikom sicer poznani tudi kot formata arhivskih oziroma večpredstavnostnih datotek, s katerimi se srečujemo zelo pogosto. Pojavile so se skrbi, da bi jih kiberkriminalci lahko izkoristili za krajo osebnih podatkov ali napade na naprave in omrežja uporabnikov svetovnega spleta. Zdaj je eden od znanih strokovnjakov za informacijsko varnost razkril enega od bolj zvitih načinov, kako je mogoče zlorabiti nove vrhnje domene.
Nove vrhnje internetne domene, torej končnice naslovov internetnih strani, kot sta vsem znani .com in .si, ki jih je 3. maja najavil Google, so .dad, .esq, .prof, .phd, .nexus, .foo ter že omenjeni .zip in .mov. Zadnji dve sicer nista novost, saj kot vrhnji domeni obstajata že skoraj desetletje, toda šele zdaj jih lahko registrira vsak, ki to želi.
Več strokovnjakov oziroma podjetij, ki se ukvarjajo s kibernetsko varnostjo, na primer Trend Micro in Malwarebytes, se je na Googlovo potezo odzvalo kritično. ZIP in MOV sta namreč zelo dobro poznani datotečni končnici, prva za arhivske datoteke, druga za videoposnetke.
Datoteke ZIP in MOV so med bolj pogostimi med vsemi, ki krožijo po svetovnem spletu.
Uvedba novih vrhnjih internetnih domen .zip in .mov kiberkriminalcem v teoriji tako odpira novo okno za potencialne zlorabe, kot sta okuževanje računalnikov in drugih naprav ter internetnih omrežij z zlonamernimi programi in kraja osebnih podatkov.
Poskusi goljufij so se pojavili tako rekoč takoj
Podjetje Silent Push Labs je manj kot deset dni po uvedbi novih vrhnjih internetnih domen razkrilo nevarno spletno stran, ki se izdaja za uradno Microsoftovo, uporabnike pa je nanjo preusmerjala lažna datoteka, v resnici spletna povezava .zip, ki je obljubljala dostop do paketa pisarniške programske opreme Microsoft Office:
Eden od mogočih vektorjev kibernetskega napada, na katerega so takoj opozorili številni strokovnjaki za kibernetsko varnost, izkorišča dejstvo, da bodo nekatere družbene spletne platforme v pogovorih z drugimi uporabniki omembe datotek, ki se končajo s .zip ali .mov, zdaj samodejno pretvorile v spletne povezave.
To zdaj, na primer, pomeni, da lahko nekdo registrira zlonamerno spletno stran z generičnim imenom namestitev.zip ali posodobitev.zip in jo uporablja za krajo osebnih podatkov (spletno ribarjenje z lažnim predstavljanjem) ali na njej gosti zlonamerne datoteke.
Goljuf, ki upravlja to spletno stran, bo računal na to, da bo na družbenih omrežjih kdo od milijonov uporabnikov drugemu poslal navodila, ki vključujejo uporabo datotek namestitev.zip ali posodobitev.zip.
Ker bo družbeno omrežje besedilo, ki omenja te datoteke (to zdaj že počne Twitter, na primer), samodejno pretvorilo v spletne povezave, obstaja možnost, da jih uporabnik klikne, pri tem pa bo preusmerjen na zlonamerno spletno stran.
Strokovnjak: Možnost, da bodo nove domene zlorabljene, je stoodstotna
John Scott-Railton, strokovnjak za področje internetnih groženj, predvsem vohunske programske opreme in lažnega predstavljanja (phishinga), je svojim skoraj 200 tisoč sledilcem na Twitterju predlagal, naj preprosto blokirajo vse spletne strani z domenama .zip in .mov, ker je verjetnost, da bosta zlorabljeni za kibernetske napade, po njegovem mnenju stoodstotna.
The chance that new .zip and .mov domains mostly get used for malware attacks is 100%
— John Scott-Railton (@jsrailton) May 12, 2023
Not sure who asked for this, but this is a bad move.
Block it all. https://t.co/O118Byk2d5
Medtem je znani raziskovalec s področja kibernetske varnosti mr.d0x prejšnji teden razkril tudi način, kako je novi problematični vrhnji domeni mogoče zlorabiti za lažno predstavljanje s simuliranjem programa za odpiranje arhivskih datotek neposredno v spletnem brskalniku.
To je spletna stran z zvitim imenom File Explorer - WinRAR, ki računalniško manj pismenemu uporabniku daje vtis, da ima v okolju Windows odprt program WinRAR. Strokovnjak mr.d0x opozarja tudi, da je mogoče, da nič na tej spletni strani ni tako, kot se zdi. Če žrtev poskusa prevare prejme navodilo, da naj na svoj računalnik prenese datoteko Račun.pdf, se lahko zgodi, da je goljuf zgolj zamenjal imena in da se bo na njen računalnik v resnici prenesla izvršilna datoteka .exe ali kaj drugega.
Kot je na svoji spletni strani pokazal mr.d0x, je z določenimi orodji mogoče doseči, da se ob kliku na povezavo do spletnega mesta na naslovu z vrhnjo domeno .zip naloži navidezna različica Winrara, znanega programa za odpiranje arhivskih datotek. Računalniško bolj podkovani uporabniki bodo verjetno takoj zaslutili, da nekaj smrdi, saj bo Winrar odprt v spletnem brskalniku, toda ti niso tarča tovrstnih prevar. Tarča so laiki oziroma računalniško manj pismeni uporabniki.
Ko bi potencialna žrtev prevare kliknila na eno od datotek v domnevnem "arhivu" .zip, bi lahko bila ali preusmerjena na zlonamerno spletno stran za krajo podatkov za prijavo v določena spletna mesta ali pa pretentana v prenos in odprtje datoteke, ki ne bi bila to, za kar se izdaja, s čimer bi se na žrtvin osebni računalnik lahko naložil virus ali trojanski konj.
Pri Googlu so v odzivu za več tehnoloških medijev, ki so podjetje prosili za komentar v zvezi s potencialnimi novimi metodami kibernetskih napadov ali zlorab, ki bi izkoriščale vrhnji domeni .zip in .mov, pojasnili, da lažno predstavljanje in druge spletne grožnje jemljejo zelo resno ter da bodo z uporabo že obstoječih varnostnih mehanizmov sproti odstranjevali zlonamerne internetne naslove. Po mnenju Googla nove vrhnje internetne domene sicer prinašajo več prednosti kot slabosti.