Peneliti keamanan siber dan admin TI telah menyuarakan keprihatinan atas domain Internet ZIP dan MOV Google yang baru, memperingatkan bahwa pelaku ancaman dapat menggunakannya untuk serangan phishing dan pengiriman malware.
Awal bulan ini, Google memperkenalkan delapan domain tingkat atas (TLD) baru yang dapat dibeli untuk menghosting situs web atau alamat email.
Domain baru adalah .dad, .esq, .prof, .phd, .nexus, .foo, dan untuk topik artikel kami, TLD domain .zip dan .mov.
Selagi RITSLETING Dan MOV TLD telah tersedia sejak 2014, baru pada bulan ini TLD menjadi tersedia secara umum, memungkinkan siapa saja untuk membeli domain, seperti bleepingcomputer.zip, untuk situs web.
Namun, domain ini dapat dianggap berisiko karena TLD juga merupakan ekstensi file yang biasanya dibagikan di postingan forum, pesan, dan diskusi online, yang sekarang akan secara otomatis diubah menjadi URL oleh beberapa platform atau aplikasi online.
Kekhawatiran
Dua jenis file umum yang terlihat online adalah arsip ZIP dan video MPEG 4, yang nama filenya diakhiri dengan .zip (arsip ZIP) atau .mov (file video).
Oleh karena itu, sangat umum bagi orang untuk memposting instruksi yang berisi nama file dengan ekstensi .zip dan .mov.
Namun, sekarang mereka adalah TLD, beberapa platform perpesanan dan situs media sosial akan secara otomatis mengonversi nama file dengan ekstensi .zip dan .mov menjadi URL.
Misalnya, di Twitter, jika Anda mengirimkan petunjuk kepada seseorang untuk membuka file zip dan mengakses file MOV, nama file yang tidak berbahaya akan diubah menjadi URL, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Ketika orang melihat URL dalam instruksi, mereka umumnya berpikir bahwa URL dapat digunakan untuk mengunduh file terkait dan mungkin mengklik tautan tersebut. Misalnya, menautkan nama file ke unduhan adalah cara kami biasanya memberikan petunjuk tentang BleepingComputer di artikel, tutorial, dan forum diskusi kami.
Namun, jika pelaku ancaman memiliki domain .zip dengan nama yang sama dengan nama file yang ditautkan, seseorang dapat secara keliru mengunjungi situs tersebut dan tertipu penipuan phishing atau mengunduh perangkat lunak perusak, mengira URL tersebut aman karena berasal dari sumber tepercaya.
Meskipun sangat tidak mungkin pelaku ancaman akan mendaftarkan ribuan domain untuk menangkap beberapa korban, Anda hanya memerlukan satu karyawan perusahaan untuk menginstal malware secara keliru agar seluruh jaringan terpengaruh.
Penyalahgunaan domain ini tidak teoretis, dengan perusahaan cyber intel Lab Dorong Diam sudah menemukan apa yang tampak seperti halaman phishing di microsoft-office[.]zip mencoba mencuri kredensial Akun Microsoft.
Peneliti keamanan siber juga mulai bermain-main dengan domain, dengan Bobby Rauch penelitian penerbitan tentang mengembangkan tautan phishing yang meyakinkan menggunakan karakter Unicode dan pembatas info pengguna (@) di URL.
Penelitian Rauch menunjukkan bagaimana pelaku ancaman dapat membuat URL phishing yang terlihat seperti URL unduhan file yang sah di GitHub tetapi sebenarnya membawa Anda ke situs web di v1.27.1[.]zip saat diklik, seperti ilustrasi di bawah ini.
https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zipPendapat yang bertentangan
Perkembangan ini telah memicu perdebatan di antara developer, peneliti keamanan, dan admin TIdengan beberapa merasa ketakutan tidak dibenarkan dan yang lain merasa bahwa TLD ZIP dan MOV menambah risiko yang tidak perlu ke lingkungan online yang sudah berisiko.
Orang-orang mulai mendaftarkan domain .zip yang diasosiasikan dengan arsip ZIP umum, seperti perbarui.zip, laporan keuangan.zip, setup.zip, lampiran.zip, officeupdate.zipDan backup.zipuntuk menampilkan informasi tentang risiko domain ZIP, untuk RickRoll Anda, atau untuk berbagi informasi yang tidak berbahaya.
Pengembang open source Matt Holt juga diminta bahwa ZIP TLD dihapus dari Mozilla Daftar Akhiran Publikdaftar semua domain tingkat atas publik yang akan disertakan dalam aplikasi dan browser.
Namun, komunitas PSL dengan cepat menjelaskan bahwa meskipun mungkin ada sedikit risiko yang terkait dengan TLD ini, TLD tersebut masih valid dan tidak boleh dihapus dari PSL karena akan memengaruhi pengoperasian situs yang sah.
“Menghapus TLD yang ada dari PSL karena alasan ini akan salah. Daftar ini digunakan untuk banyak alasan yang berbeda, dan hanya karena entri ini buruk untuk satu kasus penggunaan yang sangat spesifik, mereka masih diperlukan untuk (hampir) semua lainnya,” jelas insinyur perangkat lunak Felix Fontein.
“Ini adalah TLD yang sah di root ICP3. Ini tidak akan dilanjutkan,” lanjut pengelola PSL Jothan Frakes.
“Sungguh, kekhawatiran yang diungkapkan lebih merupakan contoh mencolok dari keterputusan antara pengembang dan komunitas keamanan dan tata kelola nama domain, di mana mereka akan mendapat manfaat dari lebih banyak keterlibatan dalam ICANN.”
Pada saat yang sama, peneliti dan pengembang keamanan lainnya telah menyatakan bahwa mereka yakin ketakutan terkait domain baru ini terlalu berlebihan.
Ketika BleepingComputer menghubungi Google tentang masalah ini, mereka mengatakan bahwa risiko kebingungan antara file dan nama domain bukanlah hal baru, dan mitigasi browser dilakukan untuk melindungi pengguna dari penyalahgunaan.
“Risiko kebingungan antara nama domain dan nama file bukanlah hal baru. Misalnya, produk Command 3M menggunakan nama domain command.com, yang juga merupakan program penting di MS DOS dan Windows versi awal. Aplikasi memiliki mitigasi untuk ini (seperti Google Safe Browsing), dan mitigasi ini berlaku untuk TLD seperti .zip.
Pada saat yang sama, ruang nama baru memberikan peluang yang diperluas untuk penamaan seperti komunitas.zip Dan url.zip. Google menganggap serius phishing dan malware dan Google Registry memiliki mekanisme untuk menangguhkan atau menghapus domain jahat di semua TLD kami, termasuk .zip. Kami akan terus memantau penggunaan .zip dan TLD lainnya dan jika muncul ancaman baru, kami akan mengambil tindakan yang sesuai untuk melindungi pengguna.” – Google.
Apa yang harus Anda lakukan?
Kenyataannya adalah Anda tidak perlu melakukan apa pun selain yang sudah Anda lakukan untuk melindungi diri dari situs phishing.
Seperti yang sudah diketahui semua orang, tidak pernah aman untuk mengeklik tautan dari orang atau mengunduh file dari situs yang tidak Anda percayai.
Seperti tautan apa pun, jika Anda melihat tautan .zip atau .mov dalam pesan, teliti sebelum mengekliknya. Jika Anda masih tidak yakin apakah link tersebut aman, jangan mengkliknya.
Dengan mengikuti langkah-langkah sederhana ini, dampak TLD baru akan minimal dan tidak meningkatkan risiko Anda secara signifikan.
Namun, eksposur ke tautan ini kemungkinan akan meningkat karena lebih banyak aplikasi secara otomatis mengubah nama file ZIP dan MOV menjadi tautan, memberi Anda satu hal lagi yang harus diperhatikan saat online.
