Domeny ZIP

Od jakiegoś czasu możesz kupić domenę .zip. Dla przykładu adres umowa.zip. Gdy wpiszesz go w pasku przeglądarki przeniesie Cię do mojego filmu. Jaki wpływ te domeny mogą mieć na bezpieczeństwo?

Opublikowano 28.05.2023 17:20

Ten wpis jest też dostępny w formie filmu na YouTube pod adresem umowa.zip.

Wyobraź sobie, że otrzymujesz maila. Klikasz w link i otwiera Ci się program WinRar.

To znaczy - tak to może wyglądać na pierwszy rzut oka. Ale to nie jest prawdziwy program – ale strona internetowa, która go przypomina. Albo inny przykład. Popatrz na ten adres.

https://[email protected]

Możesz pomyśleć, że gdy na niego wejdziesz to pobierzesz plik backup.zip ze strony Google. Ale to nieprawda. Przeglądarka przeniesie Cię na stronę https://backup.zip, której właścicielem może być dowolna osoba.

Dawno temu wymyślono, że w adresie można przekazywać login i hasło. Obecnie praktycznie się tego nie używa – ale dalej wszystko co znajduje się przed znakiem małpy jest traktowane jako dane do logowania.

Przykład ten można uwiarygodnić dodając do adresu katalog. Aby całość zadziałała musimy zamiast ukośnika, użyć innego podobnego znaku, który wygląda jak slash – ale nim nie jest.

Dzięki temu możemy tworzyć adresy takie jak ten i próbować przekonać użytkownika, że pobiera coś z oficjalnej strony Google – chociaż tak naprawdę kontaktuje się z serwerem kontrolowanym przez atakujących.

https://google.com⁄pliki⁄@42.zip

Tym razem trafisz bowiem na domenę https://42.zip i jeżeli używasz uBlocka to otrzymasz ostrzeżenie przed potencjalnie niebezpieczną zawartością. Dlaczego? Bo autor umieścił tam specjalnie spreparowane archiwum. Jest ono małe – ale jeśli spróbujesz je wypakować to najprawdopodobniej zajmie Ci cały dysk twardy.

To wszystko stare sztuczki. Ale ponieważ kojarzymy nazwę ZIP z plikami a nie domenami – otwiera się sporo nowych możliwości. Od teraz na YouTube wszystkie wyrazy, które na końcu mają .zip są traktowane jako domeny i stały się klikalne. To samo na Twitterze. I mówimy tutaj również o starych wiadomościach.

Na forum napisałeś kiedyś, że próbujesz usunąć plik backup.zip ze swojego komputera? Od teraz to link, który może prowadzić do złośliwej strony.

Na moment tworzenia tego filmu Gmail nie zamieniał jeszcze tych wyrazów na hiperłącza. Ale może zmienią to w przyszłości. I to byłoby bardzo ciekawe.

Google skanuje załączniki w poszukiwaniu złośliwego oprogramowania. Ale treść strony może być dynamiczna. Przestępca może wyświetlać złośliwą zawartość na przykład tylko osobom, które wchodzą z polskich adresów IP. I teraz pytanie – ile osób wie, że załącznik i link mogą prowadzić do dwóch różnych plików? Przecież nazywają się tak samo.


Masz dość nudnych szkoleń z bezpieczeństwa?
Zaproś mnie na wykład Security Awareness do Twojej firmy.
Masz pytania? Napisz na [email protected]

Osobiście uważam, że domena ZIP jest niepotrzebna i wprowadza zamieszanie. Na GitHubie znajdziesz listę domen, które już zostały zarejestrowane. Są tam nawet generowane zrzuty ekranu aby uprościć poszukiwanie złośliwych adresów.

I szczerze wątpię, żeby poważne firmy zaczęły korzystać z tej domeny. Zwłaszcza, że w Internecie znajdziesz poradniki, które pokazują jak można zablokować ten adres na swoim komputerze.

Co robić?

Ale te domeny to nie koniec świata. Jednym z argumentów w dyskusji jest właśnie to, że ZIP to format pliku. Mamy więc kolizję nazw. Tylko, że historycznie takich kolizji jest sporo.
Istnieje taki język programowania jak Perl, który używa rozszerzenia .PL – czyli takiego samego jak Polskie domeny. A jednak możemy je rejestrować.

Poza tym istnieje o wiele większy problem z domenami. Na podstawie samej tylko nazwy nie bardzo jesteśmy w stanie stwierdzić kto jest właścicielem danej domeny i czy ma dobre zamiary.

Popatrz na ekran. Jest tu kilka kombinacji nazwy Poczta Polska.

Moglibyśmy oczekiwać, że wszystkie te adresy należą do Poczty. W rzeczywistości każdy jeden z nich był używany w phishingu i tylko podszywał się pod tą instytucję.

A na dodatek jest jeszcze cała masa problemów związanych z tym, że niektóre litery są do siebie podobne. Tak jak tutaj. Czy jesteś w stanie rozpoznać, która z tych domen należy do internetowego giganta?

U góry użyto małej litery L. Na dole dużej litery I. Obie wyglądają praktycznie identycznie. Gdy ustawimy je obok siebie – nieznacznie różnią się jedynie wielkością.

Albo domeny ze znakami spoza alfabetu łacińskiego. Bo nie, to nie jest domena Allegro:

Pierwsza literka L to nie jest L – tylko inny znak mający malutki ogonek na dole. I ten adres był wykorzystywany w atakach na Polaków.

I tak – domeny ZIP na pewno będą używane do phishingu. Tak jak używane są każde inne nazwy domen.

Dlatego moim zdaniem tak ważne jest używanie menadżera haseł. Wtedy to on za nas sprawdza domeny. I jeżeli przez przypadek trafisz na złośliwą stronę, która udaje tylko witrynę logowania popularnej platformy – menadżer nie podpowie Ci na niej Twojego hasła. Wiesz wtedy, że coś jest nie tak i możesz zareagować. Więcej opowiadam o tym w filmie: „przekonam Cię do menadżera haseł”.


Zaskocz znajomych w pracy lub kumpli na Discordzie i prześlij im adres umowa.zip. Zobacz jaka będzie ich reakcja i czy wiedzieli, że coś takiego jest możliwe ;)