Google hat kürzlich die Top-Level-Domain .zip für Registrierungen geöffnet und damit auch Unmut auf sich gezogen, vor allem von Sicherheitsforschern und sicherheitsbewussten Systemadministratoren. Auf der anderen Seite freut sich die Malware-Industrie, die mit den .zip-Domains neue Möglichkeiten zur Täuschung unerfahrener Nutzer erhält. Ein Sicherheitsforscher demonstriert ein mögliches Angriffsszenario.
Wir hatten schon vor einigen Tagen darüber berichtet, dass Googles neue .zip-Domains gefährlich sein können und jetzt zeigt ein Sicherheitsforscher in einem Beispiel, warum das so ist. Denn .zip ist bekanntlich ein sehr populäres Dateiformat für Archive, das auch vielen unerfahrenen Nutzern ein Begriff ist. Durch diese TLD kann es daher schnell zu (gewollten) Verwechslungen kommen. Selbst Domain-Parser, wie etwa der im Twitter-Messenger integrierte, lassen sich verwirren und machen daraus einen klickbaren Link.
Ein solcher Link mit der Endung „.zip“ sollte auf den ersten Blick zu einem Download führen. Tatsächlich hingegen führt es auf eine vom Sicherheitsforscher gebastelte Webseite, auf der ein Extractor für das ZIP-Archiv nachgebaut wird. Man kann daher den Eindruck bekommen, dass sich ein Windows-Fenster geöffnet hat, in dem das Archiv bereits geöffnet wurde. Erfahrene Nutzer schlagen natürlich die Hände über dem Kopf zusammen, aber wir alle wissen, wie gut so eine Täuschung bei vielen Nutzern funktionieren kann. Und in diesem Dateiarchiv kann der Angreifer wunderbar Dateien und weitere Downloads verstecken, denen der Nutzer dann vielleicht mehr traut als anderen Downloads.
Eigentlich ein normales Angriffsszenario, aber Googles TLD macht es den Betrügern leichter, die Nutzer zu täuschen. Bleibt zu hoffen, dass Google nicht auch TLDs wie .exe, etwas ganz harmloses wie „.txt“, „.jpg“ oder ähnliches ins Auge fasst.
» Google bietet ZIP-Domains: Irreführende neue TLD wird schon jetzt von Cyberkriminellen genutzt
» So könnte Googles Zip-TLD missbraucht werden