Nieuwe phishing & malware dreiging: de duistere kant van het .zip-domein

Elwin Hodžić
2

Het generieke hoofddomein .zip van Google is onlangs live gegaan. Op het moment van rapporteren waren er al meer dan 1000 domeinen geregistreerd, de meeste rond afgelopen weekend. Het domein lijkt vooral populair bij cybercriminelen, aangezien er tal van (potentiële) phishing-domeinen tussen zitten.

Nieuwe phishing & malware dreiging: de duistere kant van het .zip-domein

Risico’s van generieke domeinen voor cybercriminelen

Het besef dat sommige generieke topleveldomeinen boeven in de kaart kunnen spelen is niet nieuw. Hierbij valt vooral de .zip TLD van Google op. Aangezien het ook een populaire bestandsextensie is, kunnen cybercriminelen het gebruiken om links te creëren die er legitiem uitzien, maar die uiteindelijk leiden naar phishing-sites of malware verspreiden.

Toename van .zip-domeinregistraties

Afgelopen weekend werden veel domeinen met de .zip-extensie geregistreerd. Volgens het Internet Storm Center (ISC) bevat het zonebestand voor .zip momenteel ongeveer 1200 vermeldingen.

Blijkbaar was er midden vorige week een enorme prijsdaling voor .zip-domeinen, waardoor de interesse toenam. Sommige geregistreerde domeinen lijken geloofwaardig, zoals 7.zip. Maar een domein genaamd microsoft-office.zip lijkt niet veel goeds te beloven.

Phishing-gevaren en waakzaamheid

Er bevindt zich zelfs een phishing-site achter. Deze vraagt om inloggegevens van een Microsoft-account, die vervolgens in handen komen van de criminele exploitant van de site.

Bezoekers mogen daar nooit geldige gegevens invoeren! Sommige van de getroffen domeinen komen echter al voor op de filterlijsten van webbrowsers, zoals de Google Safe Browsing-lijst. Dit biedt echter geen garantie dat elke kwaadwillige pagina met een .zip TLD wordt gedetecteerd.

Verspreiding van malware via automatische links

Het probleem kan verergerd worden door automatische gegenereerde links voor domeinnamen in een tekst. Zo kan een tekstverwerker of e-mailprogramma bijvoorbeeld automatisch een link toevoegen aan de tekst ‘install.zip’ in instructies voor het archiveren van een map naar het bestand install.zip. Dit betekent dat niet alleen phishing, maar ook de verspreiding van malware mogelijk is.

Blokkeer toegang tot .zip-domeinen

Veel van de geregistreerde domeinen verwijzen voorlopig nog niet naar reagerende webservers, maar dit zal waarschijnlijk slechts een kwestie van tijd zijn. Met links naar .zip-bestanden en domeinen moeten internetgebruikers nu beter oppassen voor mogelijke valstrikken.

De aanbeveling van het ISC klinkt misschien drastisch, maar gezien het risico lijkt het een goed idee: IT-managers zouden over het algemeen de toegang tot .zip-domeinen moeten blokkeren totdat duidelijk wordt of de domeinen daadwerkelijk nuttig zijn.

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Laatste kans: pak jouw magazine moment met c’t

Ben je geïnteresseerd in de nieuwste trends en ontwikkelingen in de IT-wereld? Zoek je betrouwbare, onafhankelijke informatie? Dan is c’t magazine hét...

Ajax – FC Utrecht live kijken doe je met deze gratis livestream

Vanavond om 20:00 uur is het zover: Ajax en FC Utrecht staan tegenover elkaar in een spannende strijd om de tweede plek in de Eredivisie. De nummers t...

2 Praat mee
avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
fred
Lezer
fred

Hoe kan ik dan zélf een ZIP site blokkeren?

Marco den Teuling
Admin
Marco den Teuling

Als je browser die optie biedt kun je een domein blokkeren via de instellingen. Een makkelijk alternatief is een extensie, bijvoorbeeld voor Chrome de Blocksite-extensie.