Redian新闻
>
谷歌整了几个新域名,让我们距离网络诈骗更近了一步

谷歌整了几个新域名,让我们距离网络诈骗更近了一步

公众号新闻


本文来自公众号差评(ID:chaping321)


随手注册一个域名放到网上,就可以得到极客们的夸夸?



这么个简单的事,就能让大家交口称赞,其实是因为这哥们用自己的实际行动,抵制了谷歌最近这个犯浑的操作。。。


它开放了一个类似于 .com、.cn 的顶级域名:


.zip。


这波操作,搞得咱们以后在网上下东西,聊天得更加小心了。


虽然我相信大家现在不太会去网页端里下载东西,但谷歌这通操作完,指不定回头你就要吃瘪了。


在聊这个全新的顶级域名前,托尼先来告诉大家,这玩意到底可以动什么手脚。


看看这两个链接有什么区别:


 

看起来是不是差不多?


但其实,前一个是指向 Github 上一个项目里的某个软件压缩包。



而后者前面那一大串都是障眼法,它真正指向的是一个叫做 v1271.zip 的网站。


至于这网站里藏了啥玩意,那我们可就不清楚了,指不定就是个古早味钓鱼网站。



总之就是一整个风险拉满。


等等,这玩意看起来不是个 github 上的文件链接吗,怎么成了另一个人的钓鱼网址呢?


其实这就和电脑如何识别网址有关了:



在访问网络的时候,服务器会把 “https://” 和 “@” 之间的内容给当作用户的信息,而不是真实的网址。


被当作网址的,是 “@” 后面的一连串信息。


所以 https://[email protected] 这个网址其实访问的是 bing.com ,中间的 google.com 因为被‘ @ ’夹在中间所无视。


但是如果我们在 “@” 前面再加个 ‘ / ’ 正斜杠,电脑就会把正斜杠后面的内容当做网址路径的一部分。


简单来说,有 ‘ / ’的话,‘ @ ’就没用了。


举个例子,https : //google.com/[email protected] 这个网址就不会落在 Bing ,而是访问到 Google 上。


这下问题就来了。


刚才那个网站是怎么做到,绕过这个限制的?明明它也有正斜杠啊。



其实仔细看能发现,这个正斜杠长的不太一样。因为在咱们常用的字符列表里,有另外两个和 / 非常像的字符:


U+2215 ( ∕ )和 U+2044 ( ∕ )


它们在 Chrome 浏览器中不被认为是真正的斜杠,也不像正斜杠那样,能让‘ @ ’变没用。


所以才能实现一整个偷梁换柱,让假网址变的很像真网址。



虽然说多看几眼咱们可以发现这个假斜杠的宽度不太一样,而且仔细看的话,会发现 Chrome 也对真实访问的网址用颜色做出了标识。


但是呢!在电子邮件里, @ ’的字号可以被设置到最小来实现一个瞒天过海。


你品品下面这张图。


来自海外安全人员的测试


这就是它实现恶意攻击的方式通过假的斜杠 +  @ 字符的方式,将虚假的. zip 域名给伪装成一个正规下载文件。


所以啊,对于谷歌这波操作,我是真没整明白。。。


这事得追溯到 2023 年 5 月 15 号,谷歌开放出了一批新的顶级域名( TLD )给大家注册。



这些顶级域名就像是各个网站页面们的 “ 小区号 ” ,比如 .com、.org 、.cn 、.edu 这些都是。


互联网发展了这么多年,大家对网址的需求也贼多。为了能让大家都有足够能用的网址,互联网运营商会提供各种各样的顶级域名来让大家购买。


而在这回被放出来的顶级域名里,就有. zip 的身影(同时开放的还有. dad.phd.prof.esq.foo.mov 这些 )。



之后,咱们就可以注册各种以 zip 结尾的网址,比如说什么 setup.zip 啊,前面提到的 v1271.zip 都是如此。


本来到这一步其实事情其实也还好,大家伙都是擅长网络冲浪的高手,也不至于看到个网站就打开了。


但坏就坏在,这玩意放网址里,长得太像一个可以下载的压缩文件了,谁还没下过几个 zip 安装包啊。



而且危害还不止如此。


这年头的软件们都喜欢给咱们输的文字版网址,自动生成一个可以点击的超链接,所以它的危害性能再上一层。


比如微信就可以把. com 结尾的、长得像网址的东西转换成链接,虽然目前还没识别. zip 这个顶级域名,但是可能也就是时间问题。



这就意味着,未来我们在聊天、发邮件、找攻略的时候,遇到的所有 XXX.zip 都可能变成一个可以点击的链接。


咱们就举个例子吧。想象一下咱们在找资源的时候,可能会看到好心人这样介绍: 



这种时候如果有人恶意注册了 download.zip 这个域名的话,就会导致这段话里的 donwload.zip 变成一个可以立刻点击的链接。。。


那万一路过的群众如果点击一下这个链接,打开的东西可能就不是咱们想要的资源,而是一个恶意文件或者是网页。


风险一整个拉满。


所以,在这些本意方便大家的技术叠加之下,. zip 这个域名的危险性被再一次放大。


不过呢,这事其实也不是那么容易碰到的,而且网上也有不少大佬用这个域名做了很多有意思的事情,自愿当起了 “ 白衣骑士 ” 。


比如文章开头里提到的夸夸,就是在感谢一位叫 Alex 的大佬,他注册下来了 setup.zip 这个域名,用来宣传. zip 的危害性。



也有老哥为了让大家更直观的认识到 .zip 可能带来的危害,在自己的 zip 域名上设计了一个模仿 WinRAR 的界面。


你还别说,我觉得这有鼻子有眼的页面还真的能骗到人


甚至还有人为了一劳永逸,做了一个 Chrome 插件,用来禁止浏览器访问. zip 和. mov 域名。



虽然说对咱们这样的互联网用户来说,去论坛上找资料的情况已经不多了。


但无论如何,网上冲浪还是要注意安全,不该点的链接不要瞎点。


也祝愿大家别和我一样,被黑客一秒盗走了账号密码。。。



图片、资料来源

https://www.freedidi.com/9481.html
https://mrd0x.zip/index.html
File Manager
https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5
https://www.reddit.com/r/programming/comments/13fsvl5/the_zip_tld_sucks_and_it_needs_to_be_immediately/?onetap_auto=true
https://www.wangan.com/p/11v75df801ff3176

https://www.alexanderjaeger.de/setup-zip/


酷玩实验室经授权转载
如需转载,请联系原作者
分享给朋友或朋友圈请随意
涉密不上网!

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
谷歌整了几个新域名,让我们距离网络诈骗更近了一步。秦刚:希望缅方严厉打击网络诈骗SpaceX的星舰又炸烟花了,但每一次失败都离成功更近一步 |【经纬低调出品】Keep上市,王宁离“中国版耐克”更近了一步遥遥领先,HarmonyOS 4亮相,华为Mate 60发布更近了!妈宝狗化身小鳄鱼,冲破隔离网也非要跟妈妈贴贴…最近发现女会长越来越多了公检法为惩治网暴公开征求意见,我们距离施暴者只有一步之遥在迟到的春天里大模型落地的故事,离「千行百业」又近了一点金刚石半导体,又近了一步《三年》我的X档案 - 不可思议之事 3(无人察觉的老人尸体)(请勿上城头)防范电信网络诈骗丨这四类风险一定要注意【服务方案上新】锐捷网络规划设计服务,让您的网络领先“不止”一步我们距离一个能完成“从桌子上拿瓶水”任务的机器人还有多远?首辆FF 91量产车将正式下线,贾跃亭离梦想又近了一步感谢大卫·格雷伯,让我们进一步理解性骚扰 | 编辑部聊天室恰是那些不重要的时刻,让我们靠近了生活离移民庇护城更近一步,洛杉矶市议会投票通过SpaceX的星舰又炸烟花了,但每一次失败都离成功更近一步防范电信网络诈骗丨全面认识诈骗教育部、公安部发布预警:防范以校外培训退费名义实施电信网络诈骗警惕!SCI论文刚发表,就收到针对ChatGPT等LLM的“监管机构”通知,是“学术警察”还是“网络诈骗”?上天了,但也炸了:马斯克的「星舰」离火星又近了一步世界离核战更近一步,无视俄罗斯警告,英国贫铀弹运抵乌克兰【记者直击】网络诈骗杀猪盘华裔社区频发英伟达创办人黄仁勋:学会放弃让我们创造了一个新的市场暑假做对这些事,你离藤校就更近一步啦!能链智电充电机器人来了! 我们距“电动汽车自由”已经不远?更近“冥币”一步,美联航全系统大幅增加兑换机票所需里程(另加额外的动态调整)澳洲网络诈骗猖獗,税务诈骗死灰复燃!专家:凡是这类短信都是诈骗!重温《the newsroom》,看十年间三届总统把美国干沉了!【注意】使馆:电信网络诈骗典型案例新移民当心!在加拿大遭遇的网络诈骗分享
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。