内容摘要：网络安全研究人员和IT管理员对谷歌新的ZIP和MOV互联网域名提出了担忧，警告说攻击者可能利用它们进行网络钓鱼攻击和恶意软件传输。本月早些时候，谷歌推出了8个新的高级域名TLD），可以购买用于托管网站

网络安全研究人员和IT管理员对谷歌新的压缩域名ZIP和MOV互联网域名提出了担忧，警告说攻击者可能利用它们进行网络钓鱼攻击和恶意软件传输。包网

本月早些时候，址新专家中引谷歌推出了8个新的网络高级域名（TLD），可以购买用于托管网站或电子邮件地址。安全

这些新域名包括.dad、起激.esq 、烈讨论.prof 、压缩域名.phd
、包网.nexus 、址新专家中引.foo ，网络以及我们本篇提到的安全.zip和.mov域名 。

虽然ZIP和MOV高级域名自2014年以来一直可用 ，起激但直到本月才开始普遍可用，免费模板烈讨论允许任何人购买域名，压缩域名如bleepingcomputer.zip ，用于建立网站 。

然而，这些域名被认为是有风险的
，因为这些域名也是论坛帖子、信息和在线讨论中经常分享的文件扩展名 。

担忧

网上常见的两种文件类型分别是ZIP压缩文件和MPEG 4视频
，其文件名以.zip （压缩文件）或.mov（视频文件）结尾
。

因此
，云计算人们发布含有以.zip和.mov为扩展名的文件名是非常常见的。

然而，现在它们变成了域名，一些消息平台和社交媒体网站会自动将带有.zip和.mov扩展名的文件名转换成URL
。

例如，在Twitter上，如果你向某人发送zip文件和访问MOV文件的说明，这些无害的文件名会被自动转换成URL ，如下图所示 。

当人们看到指示中的服务器租用URL时，他们通常认为该URL可以用来下载相关文件，并可能点击该链接
。例如，在BleepingComputer的文章、教程和讨论区中，我们通常是将文件名与下载链接起来，提供说明 
。

但是 ，如果攻击者拥有一个与链接文件名相同的.zip域名，那么人们可能会错误地访问该网站，并上当受骗或下载恶意软件 。香港云服务器

虽然攻击者不太可能为了几个受害者而注册成千上万的域名，但只需要一个企业员工错误地安装恶意软件，整个网络都会受到影响。

滥用这些域名并不是理论上的 ，网络情报公司Silent Push Labs已经在microsoft-office[.zip上发现了一个类似钓鱼的页面，试图窃取微软账户的凭证。

网络安全研究人员也开始玩起了域名，Bobby Rauch发表了关于利用Unicode字符和URL中的userinfo分隔符（@）开发的钓鱼链接的研究 。亿华云

Rauch的研究表明，攻击者先制作钓鱼网址 ，该网址看起来像GitHub上的合法文件下载网址，但实际上点击后会把你跳转到v1.27.1[.]zip的网站 ，如下图所示 。

矛盾的观点

这些发现在开发者、安全研究人员和IT管理员中引发了一场争论，一些人认为这种担心是没有必要的，另一些人则认为ZIP和MOV域名给已经有风险的网络环境增加了不必要的源码库风险 。

人们已经开始注册与常见的ZIP压缩文件相关的.zip域名，如update.zip、financialstatement.zip 、setup.zip、attachment.zip、officeupdate.zip和backup.zip ，以显示有关ZIP域名风险的信息
。

开源开发者Matt Holt还要求将ZIP域名从Mozilla的公共后缀列表中删除。

然而 ，PSL社区很快解释说，虽然这些域名可能有一点风险，但它们仍然有效，不应该从PSL中删除 ，因为这将影响合法网站的运作。

与此同时，其他安全研究人员和开发人员，如微软Edge开发人员Eric ，也表示他们认为关于这些新域名的担心是过度的。

当BleepingComputer就这些问题联系谷歌时 ，他们表示，文件和域名之间的混淆风险是长期存在的，浏览器的保护措施已经部署 ，以保护用户免受干扰 。

域名和文件名之间的混淆风险并不是一个新问题
。 例如，3M公司的Command产品使用域名command.com ，这也是MS DOS和早期版本的Windows上的一个重要程序
。 应用程序对此有保护措施（如谷歌安全浏览），这些保护措施对.zip等域名也将适用 。

同时 ，新的命名空间为命名提供了更多机会
，如community.zip和url.zip。 谷歌非常重视网络钓鱼和恶意软件 ，谷歌注册处有一套机制来禁止或删除我们所有的恶意域名 ，包括.zip。 我们将继续监测.zip和其他域名的使用情况，如果出现新的威胁，我们将采取适当的行动来保护用户 。" -——谷歌。

如何避免

证所周知 ，点击别人的链接或从你不信任的网站下载文件永远是不安全的 。

像其他任何链接一样，如果你在信息中看到一个.zip或.mov链接，在点击它之前先研究一下。如果你仍然不确定该链接是否安全，请不要点击它。通过遵循这些简单的步骤，将新域名的影响降至最小。

然而 ，随着越来越多的应用程序自动将ZIP和MOV文件名变成链接 ，因此在上网时要时刻保持警惕 。

参考链接：https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/