Google je početkom ovoga meseca postao ovlašćeni registar nekoliko novih glavnih internet domena. Među njima su se našli novi domeni naziva .dad, .prof, .phd ili .foo, ali i dva nesšzo privlačnija: .zip i .mov.
Budući da ovi domeni dele naziv s nastavcima popularnih formata datoteka, odmah je postalo jasno da bi takva nomenklatura mogla korisnike da dovede u zabunu – a prvi su tu priliku za konfuziju i zavaravanje iskoristili razni akteri sumnjivih namera.
Ovaj potez, u kojem su odjednom glavni domeni .mov i .zip dostupni svima za kupovinu, bez ikakve kontrole, već u početku kritikovali su stručnjaci za IT bezbednost, a njihova zabrinutost se pokazala opravdanom. Nakon samo nekoliko nedelja zabeleženi su prvi pokušaji različitih phishing napada, koji iskorišćavaju činjenicu da postoji .zip domen i .zip format datoteke, pa isto tako i .mov domen i .mov format datoteke.
Dokument ili domen?
Bezbednosna kompanija Kaspersky tako navodi i primer prevare: žrtva napada, ništa ne sluteći, dobija poruku na društvenoj mreži, u kojoj joj se savetuje preuzimanje određenog .zip dokumenta (na primer test.zip). Aplikacije za dopisivanje u pravilu ovakvu sintaksu reči odmah pretvaraju u aktivni link, pa ako se neko dosetio i registrovao domen istog naziva (test.zip), korisnik može na nju da klikne u uverenju da će dobiti određeni dokument – a zapravo je preusmeren na potencijalno malicioznu stranicu.
Napad je još perfidniji ako se šalje duži i komplikovaniji link, u kojem je veoma teško razlikovati koji od njih vodi do određenog .zip dokumenta na serveru, a koji do njegove “kopije”, tj. do web stranice na .zip domenu.
Potom je primećena još jedna vrsta napada, nešto sofisticiranije prirode. U njoj se pred korisnikom simulira otvaranje .zip datoteke, koju on misli da preuzima, a zapravo ga odvodi na namerno prerađenu .zip stranicu, koja pak sadrži maliciozni sadržaj. Napad je nazvan file-archiver-in-the-browser, a detalji su obavljeni na ovom mestu.
Šta možete da učinite?
Stručnjaci kažu da ova promena neće doneti drastične izmene u način rada prevaranata i hakera, ali daće im jedan dodatni alat za phising, socijalni inženjering i druge tehnike koje koriste. Korisnicima se i dalje preporučuje krajnji oprez pri otvaranju linkova, pogotovo onih nepoznatih, kao i u slučaju dodataka (attachmenta) u imejlovima nepoznatih pošiljalaca.
Kad su u pitanju administratori, njima se preporučuje da uvedu posebne mere zaštite za .mov i .zip domene, kao što su nešto detaljnija provera linkova. Onima najopreznijima može se preporučiti čak i potpuno blokiranje pristupa ovim domenama – oni za sada, naime, nisu previše popularni i upotrebljavani, osim, kao što vidimo, za razne vrste sajber napada. I za kraj, s obzirom na to da je čovek uvek najslabija karika u lancu, preporuka stručnjaka je da se dodaju i informacije o ovim novim domenama u kurikulum bezbednosnog treninga za zaposlene.
Za sada nije zabeležen nijedan ozbiljan napad, koji bi koristio ove domene na opisani način. Međutim, desetine korisnika su registrovale domene s ovim nastavcima, a potom, kako bi pokušali da se zabave popularnom internet razonodom, rickrollingom, preusmerili su ih znate već gde.