Cẩn thận với các miền .zip và .mov

Chúng ta đã quen với các tên trang web kết thúc bằng “.com”, “.org”, “.net”,... Những năm gần đây, các phần mở rộng tên miền mới đã xuất hiện, chẳng hạn như “.aero”, “.club” và các phần mở rộng khác. Chúng được gọi là tên miền cấp cao nhất (TLDs) và danh sách này thỉnh thoảng lại được bổ sung mới.

Vào tháng 5, Google đã thông báo rằng có thêm tám miền nữa, hai trong số này không thể phân biệt được với các phần mở rộng tệp phổ biến: “.zip” và “.mov”. Động thái này đã vấp phải sự chỉ trích từ các chuyên gia CNTT và bảo mật thông tin, vì nó gây ra sự nhầm lẫn, xử lý liên kết lộn xộn và các kiểu lừa đảo mới.

Sự nhầm lẫn giữa lưu trữ “.zip” và tên miền “.zip”

Các tệp ZIP và MOV đã tồn tại trong nhiều thập kỷ:

“.zip” là tiêu chuẩn lưu trữ trên thực tế
“.mov” là một trong những vùng chứa video phổ biến nhất

Google đang nhắm đến các miền MOV và ZIP mới này cho giới công nghệ, nhưng trên thực tế, cả hai đều có sẵn cho mọi người và cho bất kỳ mục đích nào.

Giờ đây, chỉ có ngữ cảnh mới có thể giúp bạn biết liệu một ZIP hoặc MOV là một trang web hay một tệp khi bạn bắt gặp, chẳng hạn như update.zip.

Tuy nhiên, ngữ cảnh là thứ mà con người có thể nắm bắt được chứ không phải máy tính, vì vậy một tham chiếu như vậy có thể gây ra sự cố trong tất cả các loại ứng dụng, chẳng hạn như:

Kaspersky-zip-mov-domain-extension-confusion-twitt-EN

Dòng tweet rõ ràng đề cập đến các tệp, nhưng Twitter biến tên tệp thành liên kết web. Nếu ai đó đăng ký tên miền test.zip và movie.mov, những người nhấp vào liên kết tệp có thể trở thành nạn nhân của một số kiểu lừa đảo cụ thể:

Kaspersky-zip-mov-domain-extension-confusion-URL

Security researcher mr.d0x đã tìm ra một cách khác để khai thác miền .zip để lừa đảo. Kỹ thuật ấy được đặt tên là trình lưu trữ tệp trong trình duyệt, liên quan đến việc sử dụng các trang web bắt chước giao diện của tiện ích trình lưu trữ. Người dùng, tin rằng mình đang mở tệp .zip, thực tế được chuyển hướng đến trang web cùng tên và thay vì danh sách tệp, anh ta thấy các URL có thể dẫn đến bất kỳ đâu.

Ví dụ: họ có thể ẩn liên kết để tải xuống phần mềm độc hại có thể thực thi hoặc dẫn đến yêu cầu cung cấp thông tin xác thực đang hoạt động để truy cập một số tài liệu. Tài liệu tương tự cũng mô tả một cơ chế phân phối thú vị bằng Windows File Explorer. Nếu kẻ tấn công thuyết phục được nạn nhân của mình tìm kiếm tệp .zip không tồn tại, File Explorer sẽ tự động mở một trang web trên miền cùng tên.

Mối đe dọa lừa đảo đã có thật, với một số trang web lừa đảo .zip khai thá c chủ đề cập nhật Windows đã được phát hiện.

Không phải đây là lần đầu tiên chúng ta thấy sự nhầm lẫn tương tự như thế này. Một trong những miền ban đầu - “.com’, cũng là một phần mở rộng hợp pháp cho các tệp thực thi được sử dụng tích cực trong MS-DOS (và các phiên bản Windows cũ hơn), trong khi phần mở rộng “.sh” được sử dụng cho các tập lệnh Unix giống với TLD cho British Overseas Territory of Saint Helena, Ascension và Tristan da Cunha.

Tuy nhiên, ZIP và MOV, phổ biến đối với những người không rành về kỹ thuật, có khả năng gây ra sự cố cho cả người dùng và quản trị viên hệ thống. Do đó, bất kỳ lúc nào, bất kỳ văn bản nào chứa tên tệp đều có thể biến thành văn bản chứa siêu liên kết đến một trang web bên ngoài.

Lời khuyên cho người dùng

Sự ra đời của các miền ZIP và MOV sẽ không dẫn đến sự thay đổi mạnh mẽ trong hệ sinh thái lừa đảo trực tuyến và lừa đảo trực tuyến, nó sẽ chỉ thêm một vũ khí nữa vào kho vũ khí vốn đã rất lớn của tin tặc. Do đó, hãy nghiên cứu kỹ bất kỳ liên kết nào trước khi nhấp vào; cẩn thận với các tệp đính kèm và URL trong e-mail không mong muốn; không nhấp vào các liên kết đáng ngờ; và đảm bảo sử dụng bảo mật thích hợp trên tất cả các thiết bị của bạn ngay cả điện thoại thông minh và máy Mac.

Lời khuyên cho quản trị viên

Một số người dùng có thể bỏ qua lời khuyên ở trên, vì vậy, tùy thuộc vào cách tổ chức của bạn hoạt động, bạn có thể cần thiết lập các quy tắc bảo mật riêng cho tên miền “.zip” và “.mov”. Các biện pháp khả thi bao gồm quét liên kết nghiêm ngặt hơn hoặc thậm chí chặn hoàn toàn người dùng truy cập các trang web trong các miền này trên máy tính của công ty. Đây không phải là chưa có tiền lệ: miền .bit đã bị chặn trên diện rộng và dần dần biến mất do vô số liên kết độc hại trong năm 2018–2019.

Sự xuất hiện của các miền ZIP và MOV là một cơ hội tuyệt vời để tiến hành hoặc lặp lại đào tạo infosec cho nhân viên (tập trung vào phát hiện lừa đảo).

Các quản trị viên CNTT nên kiểm tra bất kỳ hệ thống kinh doanh chính nào xử lý các liên kết để xem cách chúng xử lý các trang web “.zip”, “.mov” và liệu việc sử dụng các tệp ZIP có kèm theo bất kỳ tác dụng không mong muốn nào không. Hệ thống thư, ứng dụng nhắn tin tức thời của công ty và dịch vụ chia sẻ tệp của nhân viên phải được giám sát đặc biệt chặt chẽ, vì đây là những nơi dễ xảy ra nhầm lẫn nhất. Các tính năng không mong muốn, chẳng hạn như tự động tạo liên kết dựa trên các mẫu tên nhất định, có thể bị tắt cho ZIP và MOV hoặc trên toàn bộ.

Nguồn: Kaspersky

Liên hệ mua bản quyền Kaspersky

PACISOFT hiện kinh doanh hàng chục ngàn mặt hàng công nghệ phục vụ doanh nghiệp trong hơn 12 năm qua bao gồm máy tính PC/ Laptop/ máy chủ/ máy trạm/ thiết bị lưu trữ/ màn hình/ thiết bị mạng cùng hơn 10,000 loại phần mềm có bản quyền chính hãng đến từ 250 nhãn hiệu quốc tế hàng đầu. Ngoài ra, dịch vụ CNTT tại PACISOFT chuyên nghiệp cũng được nhiều khách hàng quan tâm và lựa chọn. Truy cập PACISOFT.com.vn hoặc PACISOFT.vn để tìm hiểu thêm!

» Xem lý do chọn PACISOFT
» Tại sao nên mua hàng tại PACISOFT

Để nhận báo giá hoặc mua License Kaspersky bản quyền, khách hàng có thể liên hệ với chuyên viên PACISOFT tại HN & TP.HCM để được tư vấn hoặc gửi yêu cầu về email sales@pacisoft.com. Khám phá thêm sản phẩm Kaspersky danh mục Phần mềm bảo mật đầu cuối của chúng tôi trong Bảo mật & an toàn thông tin.

Cẩn thận với các miền .zip và .mov