A inizio maggio 2023, Google ha annunciato l’introduzione di otto nuove estensioni di dominio, tra cui .zip e .mov. Il fatto ha destato perplessità e preoccupazioni in tema di sicurezza, questo perché possono rientrare tra le estensioni che più fanno gola ai cyber criminali intenti a tessere le loro trappole sul web.
Indice dei contenuti:
Perché alcuni nuovi domini destano preoccupazione
L’introduzione di alcuni nuovi domini da parte di Google ha sollevato più di qualche perplessità. Infatti, in termini di sicurezza questi domini di primo livello possono nascondere delle ambiguità.
Il motivo per spiegare tale affermazione è molto semplice. I domini .zip e .mov rappresentano anche l’estensione di, rispettivamente, archivi ZIP e file video. La preoccupazione è che queste estensioni, a causa della loro somiglianza ai nomi di file comuni, spalancheranno ancor più le porte a truffe come il phishing. Gli utenti potrebbero non cogliere il pericolo e cadere facilmente in una trappola, effettuando il download di file che contengono codice malevolo.
Le principali minacce che derivano dai nuovi domini .mov e .zip
I cyber criminali hanno già tastato l’opportunità di registrare domini .mov e .zip con l’obiettivo di sfruttarli come vettore di attacchi, specialmente phishing, così da poter trarre in inganno gli utenti e riuscire a carpire dati personali e sensibili. Infatti, per l’utente può non essere semplice comprendere se si abbia a che fare con un file o un sito web dal momento che le nuove TLD sono stati introdotti come una sorta di indicatori del tipo di sito che si sta visitando.
La strategia utilizzata dai criminali informatici è quella di registrare dei nomi di dominio che utilizzino termini molto noti e legati a servizi o software conosciuti dagli utenti. Questo tipo di tecnica serve a indurre gli utenti a inserire le proprie credenziali e altre informazioni personali, facendo credere che si tratti di un canale affidabile e legittimo.
Prendiamo come esempio quello fornito da Bobby Rauch, esperto di cyber sicurezza. Rauch ha invitato i lettori a individuare quale dei seguenti due URL sia “un phishing dannoso che rilascia evil.exe”:
- https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
- https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
Il primo URL è quello innesca il download del file malevolo. Infatti, vi sono due aspetti da considerare:
- include il carattere unicode “∕” (U+2215) anziché lo slash “/”;
- presenta il carattere “@” che, in combinazione con “∕”, genera un dominio fittizio. L’utente raggiungerà il dominio che segue “@”, in questo caso “v1271.zip“.
Il secondo URL, al contrario, avvia il download di un file zip Kubernetes legittimo dal repository GitHub ufficiale.
Come prevenire gli attacchi effettuati attraverso alcuni domini gestiti da cyber criminali?
Abbiamo visto come gli attacchi spesso puntano sul fenomeno del social engineering per spingere gli utenti a fornire informazioni personali come credenziali o dati bancari. In questo senso, presta sempre attenzione quando scarichi file da URL provenienti da fonti sconosciute e che includano “@”.
Tuttavia, è bene sottolineare che tale carattere sia legittimo in alcuni contesti: se hai dubbi in merito, non esitare a verificare l’URL. Per farlo, come consiglia il CERT–AGID , puoi utilizzare Cyberchef e ottenere informazioni sugli elementi base che compongono l’URL, tra cui l’hostname, ossia il nome del dominio di un sito web.
