首页>云计算 > 正文
谷歌整了几个新域名,让我们距离网络诈骗更近了一步-世界热议
来源: 虎嗅网 发布于:2023-06-12 16:06:52

本文来自微信公众号:差评 (ID:chaping321),作者:托尼,撰文:小陈,编辑:面线,美术:焕妍、阳光,头图来自:unsplash


(资料图片仅供参考)

随手注册一个域名放到网上,就可以得到极客们的夸夸?

这么个简单的事,就能让大家交口称赞,其实是因为这哥们用自己的实际行动,抵制了谷歌最近这个犯浑的操作。

它开放了一个类似于 .com、.cn 的顶级域名:

.zip。

这波操作,搞得咱们以后在网上下东西,聊天得更加小心了。

虽然我相信大家现在不太会去网页端里下载东西,但谷歌这通操作完,指不定回头你就要吃瘪了。

在聊这个全新的顶级域名前,托尼先来告诉大家,这玩意到底可以动什么手脚。

看看这两个链接有什么区别:

看起来是不是差不多?

但其实,前一个是指向 Github 上一个项目里的某个软件压缩包。

而后者前面那一大串都是障眼法,它真正指向的是一个叫做 v1271.zip 的网站。

至于这网站里藏了啥玩意,那我们可就不清楚了,指不定就是个古早味钓鱼网站。

总之就是一整个风险拉满。

等等,这玩意看起来不是个 github 上的文件链接吗,怎么成了另一个人的钓鱼网址呢?

其实这就和电脑如何识别网址有关了:

在访问网络的时候,服务器会把“https://”和“@”之间的内容当作用户的信息,而不是真实的网址。

被当作网址的,是“@”后面的一连串信息。

所以 https://google.com@bing.com 这个网址其实访问的是 bing.com ,中间的 google.com 因为被“@”夹在中间所无视。

但是如果我们在“@”前面再加个“/”正斜杠,电脑就会把正斜杠后面的内容当作网址路径的一部分。

简单来说,有“/”的话,“@”就没用了。

举个例子,https://google.com/search@bing.com 这个网址就不会落在 Bing ,而是访问到 Google 上。

这下问题就来了。

刚才那个网站是怎么做到,绕过这个限制的?明明它也有正斜杠啊。

其实仔细看能发现,这个正斜杠长得不太一样。因为在咱们常用的字符列表里,有另外两个和 / 非常像的字符:

U+2215 (∕ )和 U+2044 (∕ 

它们在 Chrome 浏览器中不被认为是真正的正斜杠,也不像正斜杠那样,能让“@”变没用。

所以才能实现一整个偷梁换柱,让假网址变得很像真网址。

虽然说多看几眼咱们可以发现这个假斜杠的宽度不太一样,而且仔细看的话,会发现 Chrome 也对真实访问的网址用颜色做出了标识。

但是呢,在电子邮件里,“@”的字号可以被设置到最小,来实现一个瞒天过海

你品品下面这张图。

来自海外安全人员的测试:

这就是它实现恶意攻击的方式。通过假的正斜杠 +  @ 字符的方式,将虚假的.zip 域名给伪装成一个正规下载文件。

所以啊,对于谷歌这波操作,我是真没整明白……

这事得追溯到 2023 年 5 月 15 号,谷歌开放出了一批新的顶级域名(TLD)给大家注册。

这些顶级域名就像是各个网站页面们的“小区号”,比如 .com、.org 、.cn 、.edu 这些都是。

互联网发展了这么多年,大家对网址的需求也贼多。为了能让大家都有足够能用的网址,互联网运营商会提供各种各样的顶级域名来让大家购买。

而在这回被放出来的顶级域名里,就有.zip 的身影(同时开放的还有.dad.phd.prof.esq.foo.mov 这些)。

之后,咱们就可以注册各种以 zip 结尾的网址,比如说什么 setup.zip 啊,前面提到的 v1271.zip 都是如此。

本来到这一步事情其实也还好,大家伙都是擅长网络冲浪的高手,也不至于看到个网站就打开了。

但坏就坏在,这玩意放网址里,长得太像一个可以下载的压缩文件了,谁还没下过几个 zip 安装包啊。

而且危害还不止如此。

这年头的软件们都喜欢给咱们输的文字版网址,自动生成一个可以点击的超链接,所以它的危害性能再上一层。

比如微信就可以把.com 结尾的、长得像网址的东西转换成链接,虽然目前还没识别.zip 这个顶级域名,但是可能也就是时间问题。

这就意味着,未来我们在聊天、发邮件、找攻略的时候,遇到的所有 XXX.zip 都可能变成一个可以点击的链接。

咱们就举个例子吧。想象一下咱们在找资源的时候,可能会看到好心人这样介绍: 

这种时候如果有人恶意注册了 download.zip 这个域名的话,就会导致这段话里的 download.zip 变成一个可以立刻点击的链接。

那万一路过的群众如果点击一下这个链接,打开的东西可能就不是咱们想要的资源,而是一个恶意文件或者是网页。

风险一整个拉满。

所以,在这些本意方便大家的技术叠加之下,.zip 这个域名的危险性被再一次放大

不过呢,这事其实也不是那么容易碰到的,而且网上也有不少大佬用这个域名做了很多有意思的事情,自愿当起了“白衣骑士”。

比如文章开头里提到的夸夸,就是在感谢一位叫 Alex 的大佬,他注册下来了 setup.zip 这个域名,用来宣传.zip 的危害性。

也有老哥为了让大家更直观地认识到 .zip 可能带来的危害,在自己的 zip 域名上设计了一个模仿 WinRAR 的界面。

你还别说,我觉得这有鼻子有眼的页面还真的能骗到人。

甚至还有人为了一劳永逸,做了一个 Chrome 插件,用来禁止浏览器访问.zip 和.mov 域名。

虽然说对咱们这样的互联网用户来说,去论坛上找资料的情况已经不多了。

但无论如何,网上冲浪还是要注意安全,不该点的链接不要瞎点。

也祝愿大家别和我一样,被黑客一秒盗走了账号密码……

资料来源:

https://www.freedidi.com/9481.html

https://mrd0x.zip/index.html

File Manager

https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5

https://www.reddit.com/r/programming/comments/13fsvl5/the_zip_tld_sucks_and_it_needs_to_be_immediately/?onetap_auto=true

https://www.wangan.com/p/11v75df801ff3176

https://www.alexanderjaeger.de/setup-zip/

本文来自微信公众号:差评 (ID:chaping321),作者:托尼,撰文:小陈,编辑:面线

关键词:

猜你喜欢

  • 谷歌整了几个新域名,让我们距离网络诈骗更近了一步-世界热议
  • 6月12日工业金属行业十大牛股一览
  • 当前快看:今日全国碳市场收盘价收盘价较前一日下跌2.56%金十期货6月12日讯,今日全国碳市场碳排放配额(CEA)挂牌协议交易成交量291000吨,成交额16587000.00元,开盘价57.00元/吨,最高价57.00元/吨,最低价57.00元/吨,收盘价57.00元/吨,收盘价较前一日下跌2.56%
  • 每日热议!DFINITY创始人:SBF在ICP推出时严重操纵价格,以保护SOL
  • 天天热讯:五月份DEX市场份额创历史新高,占比超20%
  • 全球观速讯丨陈浩濂:香港政府目标明年底前推出稳定币监管框架
  • dForce创始人:Curve创始人抵押大量CRV借款稳定币有极大风险|环球热头条
  • 过去一周ETH2.0净质押量新增33万枚,Coinbase提取6.2万枚ETH-全球通讯
  • 隆基机械(002363)6月12日主力资金净买入21.46万元
  • 奥特曼没有阴谋-最资讯
  • 即时看!宝马新一代5系国内实拍!尺寸加长 提供纯电版
  • 广州国际照明展收官 逾三千品牌企业觅商机
  • 企业争相布局新一代显示技术 Micro OLED与Micro LED谁是最优选
  • 抬头远望向未来
  • 视频版Midjourney免费开放,一句话拍大片 今日视点
  • “垃圾”路由器先别扔,看完这篇再说
  • 安徽省宣城市绩溪县公共法律服务中心
  • 世界球精选!人民币对欧元汇率(2023年6月12日)
  • 教育部推出第二批国家级一流本科课程
  • 外媒关注:这个省份高考人数居全国第一 焦点热文