2023 年 5 月,Google 推出了 8 个新的顶级域名 (TLD, top-level domains),其中包括 .zip 和 .mov。尽管乍一看似乎无害,但它引发了整个互联网的讨论和辩论,因为这些域可能因网络犯罪分子利用它们进行恶意目的而带来安全风险。
有哪些风险呢?那就是将恶意 URL 隐藏在合法网站后面,进行钓鱼。
比如下面,是bing.com而不是谷歌的
1 | https://google.com/search@bing.com |
译者注: 但是实际用浏览器访问这个地址,现在的浏览器都会访问google.com,而不是bing
除非你是https://google@bing.com
网络钓鱼活动
比如电子邮件中的 Dropbox 链接,实际的链接为bankstatement.zip。
你以为你在下载Dropbox 的文件,实际是访问bankstatement.zip
下一个例子说microsoft-office.zip 模拟虚假 Microsoft Office 登录页,这个我觉得钓鱼的欺骗性不大,没有上面说过的@和超链接隐藏的欺骗性强
但对于网络安全从业者,这些伎俩相对来说还是比较容易识别,普通还是比较容易上当的。
