Google je početkom ovoga mjeseca postao ovlašteni registar nekoliko novih vršnih internetskih domena. Među njima su se našle nove domene naziva .dad, .prof, .phd ili .foo, ali i dvije nešto privlačnije - .zip i .mov. Budući da ove domene dijele naziv s nastavcima popularnih datotečnih formata, odmah je postalo jasno da bi takva nomenklatura mogla korisnike dovesti u zabunu – a prvi su tu priliku za konfuziju i zavaravanje iskoristili razni akteri sumnjivih namjera.

Ovaj potez, u kojem su odjednom vršne domene .mov i .zip dostupne svima za kupnju, bez ikakve kontrole, već u početku kritizirali su stručnjaci za IT sigurnost, a njihova se zabrinutost pokazala opravdanom. Nakon samo koji tjedan zabilježeni su prvi pokušaji različitih phishing napada, koji iskorištavaju činjenicu da postoji .zip domena i .zip format datoteke, pa isto tako i .mov domena i .mov format datoteke.

Dokument ili domena?

Sigurnosna kompanija Kaspersky tako navodi i primjer prevare: žrtva napada, ništa ne sluteći, dobiva poruku na društvenoj mreži, u kojoj joj se savjetuje preuzimanje određenog .zip dokumenta (primjerice test.zip). Aplikacije za dopisivanje u pravilu ovakvu sintaksu riječi odmah pretvaraju u aktivni link, pa ako se netko domislio i registrirao domenu istog naziva (test.zip), korisnik može na nju kliknuti u uvjerenju da će dobiti određeni dokument – a zapravo je preusmjeren na potencijalno malicioznu stranicu.

Napad je još perfidniji ako se šalje duži i kompliciraniji link, u kojem je vrlo teško razlikovati koji od njih vodi do određenog .zip dokumenta na serveru, a koji do njegove "kopije", tj. do web stranice na .zip domeni.

Potom je primijećena još jedna vrsta napada, nešto sofisticiranije prirode. U njoj se pred korisnikom simulira otvaranje .zip datoteke, koju on misli da preuzima, a zapravo ga se odvodi na namjerno prerađenu .zip stranicu, koja pak sadrži maliciozni sadržaj. Napad je nazvan file-archiver-in-the-browser, a detalji su objavljeni na ovom mjestu.

Što učiniti?

Stručnjaci kažu kako ova promjena neće donijeti drastične promjene u način rada prevaranata i hakera, no dat će im jedan dodatni alat za phising, socijalni inženjering i druge tehnike kojima se bave. Korisnicima se i dalje preporuča krajnji oprez pri otvaranju linkova, pogotovo onih nepoznatih, kao i u slučaju privitaka u e-mailovima nepoznatih pošiljatelja.

Kad je riječ o administratorima, njima se preporuča uvesti posebne mjere zaštite za .mov i .zip domene, kao što su nešto detaljnija provjera linkova. Onima najopreznijima može se preporučiti čak i potpuno blokiranje pristupa ovim domenama – one za sada, naime, nisu odveć popularne i korištene, osim, kao što vidimo, za razne vrste kibernetičkih napada. I za kraj, budući da je čovjek uvijek najslabija karika u lancu, preporuka stručnjaka je dodati i informacije o ovim novim domenama u kurikulum sigurnosnog treninga za zaposlenike.

Za sada nije zabilježen niti jedan ozbiljan napad, koji bi koristio ove domene na opisani način. Međutim, deseci su korisnika registrirali domene s ovim nastavcima, a potom, kako bi se pokušali zabaviti popularnom internetskom razonodom, rickrollingom, preusmjerili ih znate već kamo.