Die Gefahren von Google ZIP Top Level Domains
Seit Anfang Mai 2023 sind die Google ZIP Top Level Domains (TLD) verfügbar. Die Domains scheinen insbesondere bei Cyberkriminellen beliebt zu sein, da sich darunter zahlreiche (potenzielle) Phishing-Domains befinden.
Was dies für Sie bedeutet, und wie Sie sich dagegen schützen können, erfahren Sie in diesem Beitrag.
Google Zip Top Level Domains: Eine schlechte Idee, die niemand wollte
Wenn Sie am 3. Mai 2023 ein seltsames und ungewohntes Geräusch gehört haben, könnte es das gleichzeitige Rollen von Millionen Augäpfeln gewesen sein. Das synchrone Augenrollen war die nicht gerade herzliche Begrüßung, mit der Teile der IT- und Sicherheitsbranche die Entscheidung von Google begrüßten, .ZIP-Domains zum Verkauf anzubieten.
Google Registry kündigte an diesem Tag acht neue Top-Level-Domains (TLDs) an: .dad, .phd, .prof, .esq, .foo, .zip, .mov und .nexus, aber es waren .zip und .mov, die aufgrund ihrer offensichtlichen Ähnlichkeit mit den äußerst beliebten und langlebigen Dateierweiterungen .zip und .mov die Augen der Sicherheitsbranche nach oben gerichtet haben.
TLDs sind die Buchstaben, die nach dem Punkt am Ende des Domänennamens in einer Internetadresse stehen, wie example.com, example.org und jetzt eben auch example.zip.
Dateierweiterungen sind die drei Buchstaben, die nach dem Punkt am Ende eines Dateinamens stehen, z. B. example.docx, example.ppt und example.zip.
Erkennen Sie das Problem mit Google Zip Top Level Domains?
Domänennamen und Dateinamen sind nicht dasselbe, nicht einmal annähernd, aber beide spielen bei modernen Cyberangriffen eine wichtige Rolle, und ihre korrekte Identifizierung gehört seit langem zu den grundlegenden Sicherheitsempfehlungen.
Die TLD soll als eine Art Indikator für die Art der Website dienen, die Sie besuchen. .com sollte anzeigen, dass es sich um eine kommerzielle Website handelt, und .org war ursprünglich für gemeinnützige Organisationen gedacht. Obwohl es sowohl .com als auch .org seit 1985 gibt, haben wir die Erfahrung gemacht, dass die meisten Menschen diese Idee gar nicht kennen. Angesichts dieser Gleichgültigkeit scheint es lächerlich, dass .zip jemals für eine „schnelle“ Website stehen wird, wie Google es beabsichtigt.
Wenn Sie Dienstleistungen anbieten, bei denen es auf Schnelligkeit ankommt, lässt eine ZIP Top Level Domain Ihr Publikum wissen, dass Sie schnell und effizient sind und schnell handeln können.
Mittlerweile haben viele Benutzer bereits eine klare Vorstellung davon, dass .zip etwas ganz anderes bedeutet. Von Anfang an haben Dateien auf Windows-Computern ein Symbol und einen Dateinamen verwendet, der mit einem Punkt gefolgt von drei Buchstaben endet, um anzuzeigen, mit welcher Art von Datei Sie es zu tun haben. Wenn die drei Buchstaben nach dem Punkt für ZIP stehen, bedeutet dies, dass es sich um ein Archiv mit komprimierten Dateien handelt, die zusammengepackt wurden. Auf dem Symbol im Windows Explorer ist sogar ein Reißverschluss abgebildet.
Cyberkriminelle lieben ZIP-Dateien, und in den letzten Jahren hat ihre Verwendung als bösartige E-Mail-Anhänge explosionsartig zugenommen. In der Regel ist die Zip-Datei die erste in einer Reihe von Dateien, die als „Angriffskette“ bezeichnet wird. In einer kurzen Angriffskette kann die Zip-Datei einfach etwas Böses enthalten. In einem komplexeren Angriffsvektor kann sie etwas enthalten, das auf etwas Böses verweist, oder etwas, das etwas enthält, das auf etwas Böses verweist, oder etwas, das auf etwas verweist, das etwas enthält, das auf etwas Böses verweist.
Der Schlüssel zu allem ist die Irreführung. Moderne Angriffsvektoren sind darauf ausgerichtet, Benutzer und Sicherheitssoftware zu verwirren und in die Irre zu führen.
Kriminelle nutzen auch andere Formen der Irreführung bei Dateierweiterungen. Ein alter Favorit ist es, bösartigen Dateien zwei Dateierweiterungen zu geben, wie evil.zip.exe. Die erste, in diesem Fall .zip, soll Sie nur täuschen. Die zweite ist die echte: Ein gefährlicher ausführbarer Dateityp, in diesem Beispiel .exe. Vor die Wahl gestellt, müssen die Benutzer entscheiden, welcher sie glauben wollen. Die meisten werden jedoch nicht einmal vor diese Wahl gestellt. Lustigerweise hilft Windows bei dieser Täuschung, indem es die zweite Dateierweiterung, auf die man wirklich achten sollte, standardmäßig ausblendet.
Domänennamen werden genauso behandelt. Kriminelle nutzen zum Beispiel ausgiebig offene Weiterleitungen – Webseiten, die Sie dorthin weiterleiten, wohin Sie wollen, um es so aussehen zu lassen, als ob ihre bösartigen URLs in Wirklichkeit Links zu Google, Twitter oder anderen seriösen Websites sind. Weniger raffinierte Kriminelle fügen einfach Wörter wie „Paypal“ oder etwas anderes, das Sie vielleicht erkennen, in den Link ein und hoffen, dass Sie diesen Teil bemerken und den Rest ignorieren.
Vor diesem Hintergrund hat Google unerklärlicherweise beschlossen, etwas einzuführen, das keine nützlichen Einnahmen generiert, sondern Cyberkriminellen eine völlig neue Form der Umleitung von Dateien und Domänennamen bietet, die zu all den anderen hinzukommt, mit denen wir uns noch herumschlagen müssen.
Was könnten Kriminelle mit diesem neuen Werkzeug anfangen? Es gibt kein besseres Beispiel als das, das der Sicherheitsforscher Bobby Rauch in seinem hervorragenden Artikel The Dangers of Google’s .zip TLD liefert. Darin fordert Rauch die Leser auf, herauszufinden, welche der beiden folgenden URLs „ein bösartiger Phish ist, der evil.exe abwirft?“
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
Es ist die untere.
Die obere würde eine Zip-Datei namens v1.27.1.zip von der Domain github.com öffnen. Die zweite würde zur Domain v1.27.1.zip gehen, was in diesem hypothetischen Beispiel den Download der Datei evil.exe auslöst.
Wenn Sie es herausgefunden haben, gut gemacht, aber denken Sie daran, dass Sie wussten, dass eine der Dateien schlecht ist. Hätten Sie es bemerkt, wenn Sie nicht vorgewarnt worden wären? Und wenn Sie es nicht bemerkt haben, brauchen Sie sich nicht zu ärgern, darum geht es ja gerade. Es ist schwer, URLs zu lesen, selbst wenn man weiß, dass man nach etwas Unpassendem sucht.
Natürlich sind URLs nicht erst seit der Erfindung von .Zip-Domains schwer zu lesen, das waren sie schon vorher, aber das ist keine Entschuldigung.
Google leistet eine Menge wirklich guter Arbeit für die Computersicherheit, wofür es enorme Anerkennung verdient, und dies ist ein kleiner und untypischer Fehltritt. Der Suchgigant stand in keiner Weise unter Druck, eine .Zip-Domäne einzurichten, und sie scheint kaum dazu bestimmt zu sein, eine wichtige Einnahmequelle zu werden. Zum Zeitpunkt der Erstellung dieses Beitrags waren etwas weniger als 4.000 registriert, von denen einige mit ziemlicher Sicherheit von Sicherheitsforschern gekauft wurden, um zu zeigen, wie schlecht diese Idee ist, oder um Kriminellen einige der gefährlicheren Namen vorzuenthalten.
Um Sie vor den Gefahren von Google Zip Top Level Domains zu schützen, bieten wir unseren Service Managed Cloud Firewall an
Managed Cloud Firewall von ITcares
Mit dem ITcares Managed Cloud Firewall Service bieten wir jedem Benutzer ein sicheres und produktives Erlebnis – von jedem Gerät und von jedem Standort aus. Die Security-as-a-Service Cloud-Plattform bietet mehr als nur IT-Skalierbarkeit; sie ermöglicht es einer Organisation, ihre Geschäftsabläufe sicher zu skalieren, ohne dass Hardware, Geräte oder Software vor Ort benötigt werden.
Im Gegensatz zu Firewall-Appliances, die in der Regel im Rechenzentrum oder in einer Zweigstelle eines Unternehmens gehostet werden, sind Cloud Firewalls softwarebasiert und werden von einem spezialisierten Dienstleister gehostet. Der Zweck einer Cloud Firewall ist derselbe wie bei herkömmlichen Firewalls: Sie soll bösartigen Datenverkehr blockieren und unbefugten Zugriff auf private Netzwerke verhindern. Obwohl die Funktionalität ähnlich ist, eignen sich Cloud Firewalls aufgrund ihrer Skalierbarkeit und einfachen Bereitstellung möglicherweise besser für moderne Unternehmensanforderungen.
Ähnlich wie eine klassische Firewall zum Schutz des internen Netzwerks eines Unternehmens eingesetzt wird, kann man sich eine Cloud Firewall als virtuelle Schutzmauer vorstellen, die Anwendungen, Infrastruktur und Plattformen in der Cloud umgibt.
ITcares Managed Cloud Firewall bietet bestmöglichen Schutz vor den Attacken mittels der Google Zip Top Level Domains
Der ITcares Managed Cloud Firewall Service bietet eine sichere und produktive Erfahrung für jeden Benutzer, von jedem Gerät und von jedem Standort aus. Der Security-as-a-Service bietet mehr als nur IT-Skalierbarkeit; er ermöglicht es einem Unternehmen, seine Geschäftsabläufe sicher zu skalieren, ohne dass Hardware, Appliances oder Software vor Ort benötigt werden.
Die Vorteile unserer Managed Services auf einen Blick
Nutzen Sie die Vorteile der Managed Services von ITcares, welche mit mehreren aufeinander abgestimmten E-Mail-Virenscannern und den führenden Phishing-Datenquellen verbunden sind. Ergänzt durch eine Anti-Spam-Engine, Spoofing-Schutz und Sand Boxing. Geben Sie sich nicht mit weniger zufrieden, wenn es um E-Mail-Sicherheit geht. Vertrauen Sie einem Anbieter mit innovativen Lösungen, die über den Stand der Technik hinausgehen. Mit den ITcares Managed E-Mail Security Services profitieren Sie von innovativen Schutzfunktionen mit modernster Software. Ergänzt durch Klassifizierung und Bedrohungsabwehr von führenden Technologieanbietern nach unserem „Best of Breed“-Ansatz.
Fakt ist: Mit unseren Managed Services haben Sie mehr Zeit und Kapazität für Ihr eigentliches Kerngeschäft!
Autor: summ-it
Shutterstock #1662861913