La decisione di Google di rilasciare nuovi nomi di dominio .zip potrebbe offrire agli hacker una nuova opportunità per condurre campagne phishing.
Recentemente Google ha offerto la possibilità di registrare nuovi nomi di dominio per l’hosting di siti Web o indirizzi e-mail, tra cui .zip. Il nome risulta ovviamente familiare, dato che è simile all’omonima estensione che consente di comprimere file e cartelle sul computer. La decisione di Mountain View di rilasciare nuovi domini di primo livello (TLD) che possono essere scambiati per estensioni di file ha suscitato fin da subito la preoccupazione degli esperti di cybersicurezza. Una delle preoccupazioni principali è che alcuni siti possano trasformare automaticamente una stringa che termina con “.zip” in un collegamento cliccabile potenzialmente utilizzabile per attacchi di phishing e l’invio di malware.
In un recente post sul blog, mr.d0x spiega come gli hacker potrebbero organizzare un nuovo tipo di campagna di phishing utilizzando questo nuovo nome di dominio. Il metodo è abbastanza prevedibile: si tratta semplicemente di ingannare la vittima spacciando un sito web per un’applicazione che supporta i file zip.
Bastano alcune competenze di base nello sviluppo web per creare un sito abbastanza credibile da ingannare gli utenti, ad esempio spacciandolo per un’applicazione popolare come WinRAR o 7-ZIP per poter aprire un file .zip ed accedere al suo contenuto.
mr.d0x immagina che questo sito possa visualizzare un file falso, chiedendo all’obiettivo di inserire le proprie credenziali per accedere al contenuto e di fatto consegnando agli hacker i propri dati personali. In alternativa, gli hacker potrebbero suggerire che il file può essere scaricato, sostituendolo con un file eseguibile o un documento PDF contenente malware.
Secondo quanto riportato sul blog, esiste un’unica soluzione possibile per prevenire il rischio: Google deve bloccare i nomi di dominio .zip. Dato che pare che le campagne di phishing siano già in corso, è bene prestare particolare attenzione.
