Het generieke hoofddomein .zip van Google is onlangs live gegaan. Op het moment van rapporteren waren er al meer dan 1000 domeinen geregistreerd, de meeste rond afgelopen weekend. Het domein lijkt vooral populair bij cybercriminelen, aangezien er tal van (potentiële) phishing-domeinen tussen zitten.
Risico’s van generieke domeinen voor cybercriminelen
Het besef dat sommige generieke topleveldomeinen boeven in de kaart kunnen spelen is niet nieuw. Hierbij valt vooral de .zip TLD van Google op. Aangezien het ook een populaire bestandsextensie is, kunnen cybercriminelen het gebruiken om links te creëren die er legitiem uitzien, maar die uiteindelijk leiden naar phishing-sites of malware verspreiden.
Toename van .zip-domeinregistraties
Afgelopen weekend werden veel domeinen met de .zip-extensie geregistreerd. Volgens het Internet Storm Center (ISC) bevat het zonebestand voor .zip momenteel ongeveer 1200 vermeldingen.
Blijkbaar was er midden vorige week een enorme prijsdaling voor .zip-domeinen, waardoor de interesse toenam. Sommige geregistreerde domeinen lijken geloofwaardig, zoals 7.zip. Maar een domein genaamd microsoft-office.zip lijkt niet veel goeds te beloven.
Phishing-gevaren en waakzaamheid
Er bevindt zich zelfs een phishing-site achter. Deze vraagt om inloggegevens van een Microsoft-account, die vervolgens in handen komen van de criminele exploitant van de site.
Bezoekers mogen daar nooit geldige gegevens invoeren! Sommige van de getroffen domeinen komen echter al voor op de filterlijsten van webbrowsers, zoals de Google Safe Browsing-lijst. Dit biedt echter geen garantie dat elke kwaadwillige pagina met een .zip TLD wordt gedetecteerd.
Verspreiding van malware via automatische links
Het probleem kan verergerd worden door automatische gegenereerde links voor domeinnamen in een tekst. Zo kan een tekstverwerker of e-mailprogramma bijvoorbeeld automatisch een link toevoegen aan de tekst ‘install.zip’ in instructies voor het archiveren van een map naar het bestand install.zip. Dit betekent dat niet alleen phishing, maar ook de verspreiding van malware mogelijk is.
Blokkeer toegang tot .zip-domeinen
Veel van de geregistreerde domeinen verwijzen voorlopig nog niet naar reagerende webservers, maar dit zal waarschijnlijk slechts een kwestie van tijd zijn. Met links naar .zip-bestanden en domeinen moeten internetgebruikers nu beter oppassen voor mogelijke valstrikken.
De aanbeveling van het ISC klinkt misschien drastisch, maar gezien het risico lijkt het een goed idee: IT-managers zouden over het algemeen de toegang tot .zip-domeinen moeten blokkeren totdat duidelijk wordt of de domeinen daadwerkelijk nuttig zijn.
Hoe kan ik dan zélf een ZIP site blokkeren?
Als je browser die optie biedt kun je een domein blokkeren via de instellingen. Een makkelijk alternatief is een extensie, bijvoorbeeld voor Chrome de Blocksite-extensie.