【轉數快】Google推出新頂級域名.zip 研究員示範詐騙手法
早前Google開放多個新的頂級域名(Top Level Domain,TLD)註冊,容許網站登記使用,當中新增的 .zip 最具爭議性,有網絡安全專家指出有可能引發安全漏洞。事隔多日,網絡安全研究員 mr.dox 就製作出攻擊示範,利用虛假網頁假扮成 Windows File Explorer 及 WinRar 的解壓縮檔案畫面,轉數之快值得一讚。
這次 Google 開放的新 TLD,除了 .zip 之外,還有 .dad 及與學術性有關的 .prof、phd 等合共 8 個新 domain。而受各界特別關注的 .zip 之所以具有爭議性,是因為某些網站或應用軟件在顯示採用 TLD 的 .zip 網址時,例如 setup .zip,會將它顯示為一條可點擊的連結,導致某些用家以為它只可用於直接下載檔案,但實際上它卻可用於引導用家進入另一個網頁,從而造成安全隱憂。
不過,業界卻認為不論是哪種釣魚攻擊,最終黑客都必須誤導用家打開惡意檔案,因此就算 .zip 會引起一些混亂想法,也不會構成嚴重的安全隱憂。
就在大家爭論期間,網絡安全研究員 mr.dox 便親身示範,開發出一套釣魚套件,利用上述的安全盲點,去誤導用家以為點擊連結後已直接下載了檔案,卻不知道只是黑客設下的陷阱,引誘用家打開頁面上的檔案。
mr.dox 首先在註冊了的 .zip 網址上設立一個模仿 WinRar 解壓縮工具的操作頁面,當有用家點擊連結,Windows 的瀏覽器就會顯示這個虛假的 WinRar 頁面,如果用家沒有留神細看,便會以為是電腦內的 WinRar 或 Windows File Explorer 對下載檔案的解壓縮預覽畫面,並有機會直接打開畫面上顯示的檔案,從而跌入黑客的陷阱,讓對方安裝惡意軟件。
mr.dox 在示範中指出,其實這個虛假畫面並不是一個 Windows 彈出式工作視窗,而是瀏覽器的操作介面,用家可以從網址列上清楚寫著他開設的網址位置,不過如果用家沒有注意,便會很容易中招。而為了增加可信性,mr.dox 不單將這個網頁製作得非常像真,還刻意加上一個 Scan 的安全掃描按鍵,當用家點擊後便會假裝已進行掃描。由於只是概念示範,因此研究員沒有百分百模仿所有頁面選項,不過他提醒黑客絕對可以更進一步優化畫面設計。
除了假裝成 .zip 檔案,mr.dox 又指黑客可利用虛假的 pdf 檔案,引誘用家打開後再指示對方填入公司帳戶及密碼,藉此盜取登入資料,或利用 Windows 不會完全顯示檔案延伸名字的做法,將惡意軟件執行檔假裝成 pdf 檔。由此可見,使用 .zip 的詐騙手法還有很多可能性,大家日後如要點解這類域名,就要加倍小心。
相關文章:【Google宣布】Chrome安全鎖圖示9月退役 Gmail新增寄件者藍剔認證
