Нов вид на сајбер напад беше овозможен со потегот на компанијата Google, која објави домени со исти екстензии како популарните формати на датотеки.
На почетокот на мај Google стана овластен регистар на неколку нови главни интернет домени. Меѓу нив имаше и нови домени наречени .dad, .prof, .phd или .foo, но и два малку поатрактивни: .zip и .mov.
Бидејќи овие домени споделуваат име со екстензии на популарни формати на датотеки, веднаш стана јасно дека таквата номенклатура може да ги збуни корисниците – а различни актери со сомнителни намери први ја искористија оваа можност за забуна и измама.
Овој потег, во кој домените .mov и .zip top одеднаш се достапни за секој да ги купи, без никакви контроли, првично беше критикуван од експерти за ИТ безбедност, а нивната загриженост се покажа како оправдана. По само неколку недели, забележани се првите обиди за разни фишинг напади, кои го користат фактот што има .zip домен и .zip формат на датотека, како и .mov домен и формат на датотека .mov.
Документ или домен?
Безбедносната компанија Kaspersky наведува и пример за измама: жртвата на нападот, без да се посомнева во ништо, добива порака на социјална мрежа, во која и се советува да преземе одреден .zip документ (на пример, test.zip). Апликациите за кореспонденција, по правило, веднаш ја претвораат синтаксата на овој збор во активна врска, па доколку некој наиде и регистрираше домен со исто име (test.zip), корисникот може да кликне на него со уверување дека ќе добие одреден документ – но всушност тој е пренасочен на потенцијална злонамерна локација.
Нападот е уште поперфиден ако се испрати подолга и посложена врска, во која е многу тешко да се разликува кој од нив води до специфичен .zip документ на серверот, а кој до негова „копија“, т.е. на веб-локацијата на доменот .zip.
Потоа беше забележан друг тип на напад, од нешто пософистициран карактер. Симулира отворање на .zip датотека пред корисникот, која тој мисли дека ја презема, но всушност го носи на намерно обработена .zip страница, која пак содржи злонамерна содржина. Нападот се нарекува file-archiver-in-the-browser, а деталите се дадени овде.
Што можеш да направиш?
Експертите велат дека оваа промена нема да донесе драстични промени во начинот на работа на измамниците и хакерите, туку ќе им даде уште една дополнителна алатка за фишинг, социјален инженеринг и други техники што ги користат. Корисниците сè уште се советуваат да бидат исклучително внимателни при отворање на врски, особено непознати, како и во случај на прилози во е-пошта од непознати испраќачи.
Кога станува збор за администраторите, им се препорачува да воведат посебни мерки за заштита за .mov и .zip домените, како што е малку подетална проверка на линковите. На највнимателните дури може да им се препорача целосно да го блокираат пристапот до овие домени – засега, имено, тие не се многу популарни и користени, освен, како што можеме да видиме, за разни видови сајбер напади. И конечно, имајќи предвид дека човекот е секогаш најслабата алка во синџирот, препораката на експертот е да се додадат информации за овие нови домени во наставната програма за обука за безбедност на вработените.
Досега не е забележан сериозен напад, кој би ги користел овие домени на опишаниот начин. Сепак, десетици корисници регистрираа домени со овие екстензии, а потоа, за да се обидат да се забавуваат со популарната интернет забава, рикролинг, ги пренасочија до знаете каде.