Ciência e Tecnologia

Riscos de segurança dos domínios .zip e .mov

Estamos acostumados com nomes de sites terminados em .com, .org, .net e assim por diante. Nos últimos anos, surgiram novas extensões de domínio, como .aero, .club e outras. Estes são conhecidos como domínios de primeiro nível (TLDs), e a lista, já longa, recebe novos acréscimos de vez em quando. O Google anunciou em maio que mais oito domínios estavam disponíveis, dois deles indistinguíveis das extensões de arquivo populares: .zip e .mov. A mudança foi recebida com críticas de especialistas em TI e segurança da informação, já que praticamente garante confusão, confusão no manuseio de links e novos padrões de phishing.

Como confundir .zip e .zip

Arquivos ZIP e MOV existem há décadas: .zip é o padrão de arquivamento de fato e .mov é um dos contêineres de vídeo mais populares. O Google está mirando esses novos domínios MOV e ZIP em técnicos, mas na verdade ambos estão disponíveis para qualquer pessoa e para qualquer finalidade.

Agora, apenas o contexto pode ajudá-lo a descobrir se um ZIP ou MOV é um site ou um arquivo quando você encontra, digamos, update.zip. No entanto, o contexto é algo que os humanos podem entender, mas não os computadores, portanto, uma referência como essa pode causar problemas em todos os tipos de aplicativos, como o Twitter:

O tweet se refere claramente a arquivos, mas o Twitter transforma os nomes dos arquivos em links da web. Se alguém registrar os domínios test.zip e movie.mov, quem clicar nos links dos arquivos poderá ser vítima de algum tipo específico de esquema de phishing.

O pesquisador de segurança mr.d0x encontrou outra maneira de explorar o domínio .zip para phishing. A técnica que ele descreveu, apelidada de arquivador de arquivos no navegador, envolve o uso de sites que imitam a interface do utilitário de arquivamento. O usuário, acreditando estar abrindo um arquivo .zip, na verdade é redirecionado para o site de mesmo nome e em vez de uma lista de arquivos ele vê URLs que podem levar a qualquer lugar. Por exemplo, eles podem ocultar um link para baixar um malware executável ou levar a uma solicitação de credenciais de trabalho para acessar algum documento. O mesmo documento também descreve um mecanismo de entrega interessante usando o Windows File Explorer. Se o invasor conseguir convencer sua vítima a procurar um arquivo .zip inexistente, o File Explorer abrirá automaticamente um site no domínio de mesmo nome.

A ameaça de phishing já está real, com alguns sites de .zip phishing que exploram o tema de atualização do Windows sendo detectados.

Não que esta seja a primeira vez que vimos uma confusão semelhante a esta. Um dos domínios originais, .com, também é uma extensão legítima para executáveis ​​usados ​​ativamente no MS-DOS (e versões mais antigas do Windows), enquanto a extensão .sh usada para scripts Unix é idêntica ao TLD para o Território Ultramarino Britânico de Santa Helena, Ascensão e Tristão da Cunha. Ainda assim, é ZIP e MOV, que são populares entre o público não tão técnico, que têm o potencial de causar problemas para usuários e administradores de sistema. Mesmo que você esqueça o phishing por um momento, situações como a descrita no tweet acima podem ocorrer em dezenas de aplicativos que processam texto e links de destaque automaticamente. Portanto, a qualquer momento, qualquer texto que contenha um nome de arquivo pode se transformar em um texto que contenha um hiperlink para um site externo. Um esquema de phishing ou não, isso poderia, no mínimo, causar inconveniência, se não confusão. Visite Financialstatement.zip para ver por si mesmo.

Dicas para usuários

O advento dos domínios ZIP e MOV não Isso não levará a mudanças drásticas no ecossistema de phishing e golpes on-line — apenas adicionará mais uma arma ao já vasto arsenal dos hackers. Portanto, nossas dicas anti-phishing habituais permanecem inalteradas: estude cuidadosamente todos os links antes de clicar; cuidado com anexos e URLs em e-mails não solicitados; não clique em links suspeitos; e certifique-se de usar a segurança adequada em todos os seus dispositivos — até mesmo smartphones e Macs.

Dicas para administradores

Alguns usuários provavelmente ignorarão o conselho acima, portanto, dependendo de como sua organização opera, pode ser necessário configurar regras de segurança separadas para nomes de domínio .zip e .mov. Possíveis medidas incluem verificação de links mais rigorosa ou até mesmo bloquear completamente os usuários de visitar sites nesses domínios em computadores corporativos. Isso não seria sem precedentes: o domínio .bit foi amplamente bloqueado e gradualmente extinto devido a um dilúvio de links maliciosos em 2018–2019.

A aparência dos domínios ZIP e MOV é uma excelente ocasião para reger – ou repetir! — treinamento de infosec para funcionários (com foco na detecção de phishing).

Recomendamos que os administradores de TI testem quaisquer sistemas de negócios importantes que processam links para ver como eles lidam com sites .zip e .mov, e se o uso de arquivos ZIP for acompanhado por quaisquer efeitos indesejáveis. Sistemas de correio, aplicativos corporativos de mensagens instantâneas e serviços de compartilhamento de arquivos de funcionários devem ser monitorados especialmente de perto, pois é onde a confusão provavelmente reinará. Recursos indesejáveis, como a criação automática de links com base em determinados padrões de nome, podem ser desabilitados para ZIP e MOV ou em geral.

Mostrar mais

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo