提供網域註冊服務的 Google Domains 聯同多個合作夥伴,於 5 月初開始提供多個新的頂級域名(TLD)給一般公眾申請,不過當中有兩個 TLD 的開放就受到網絡安全專家關注,它們就是 .zip 和 .mov。專家擔心這兩個與常用檔案副檔名相同的 TLD 能被任何人士註冊,可能會引發新一波釣魚攻擊浪潮。
本月初開放給公眾申請的 TLD 包括:.dad、.phd、.prof、.esq、.foo、.zip、.mov 和 .nexus.當中 .zip 的年費為 $30 美元(約港幣 $235),而 .mov 就更便宜,每年只需 $15 美元(約港幣 $118),而且都是不需要轉移授權的。
開放 .zip 和 .mov 備受關注,是由於它們與現時通行的檔案格式副檔名完全相同,.zip 是壓縮檔案,常用於傳送文件;.mov 是常用的 Quicktime 影片檔案。惡意分子有機會將網址偽裝成檔案或下載網址,寄給對電腦缺乏知識的人,引誘他們點擊連結到釣魚網站,又或者倒過來引誘公眾下載惡意程式。
更令人擔心的是,現時很多電郵、即時通訊和文書處理軟件,都會自動將部分 TLD 的網址,自動轉換成連結,方便用戶點擊開啟。專家擔心如果程式盲目地將 .zip 和 .mov 域名自動轉換成連結,可能會自動將惡意網站網址轉成連結,有可能令用戶不小心觸動,更易墮入釣魚圈套。
事實上,像 xlsx.zip 和 update.zip 這些容易被惡意使用的域名,已經被人搶先註冊了。一個名為 microsoft-office.zip 的網站更已經被利用作釣魚攻擊。
.zip 和 .mov 的開放已經是不可逆轉的事情,大家今後應該格外小心這些看似 zip 壓縮檔或 mov 檔的連結,不明來源的話還是不要點擊為妙。