文前碎碎唸
相信在座的朋友們,大家對於『.zip』以及『.mov』這兩個結尾都不陌生吧?
這兩個結尾,都是我們在使用電腦的時候十分常見的副檔名,其中『.zip』應該不大需要解釋,是在檔案傳送、打包的時候,經常使用的壓縮檔代表。
而『.mov』則是在 Mac 或 IOS 等 Apple 生態系的系統上 Quicktime 使用的一種影片格式。
除了在電腦上使用之外,多虧了他們壓縮的便利性,讓這兩種格式在網路世界也十分的普遍,因此也常可以看到人們以這些格式來做檔案的分享。
不過且慢,在你看到他們後,千萬不要手癢點下去了。
我的老估狗啊
其實關於下載來路不明壓縮檔後就中毒的事件並不少,對於資安稍有注重的朋友們,應該也會在下載之前再三確認,以避免自己中標。
不過就在不久前 Google 宣布開始提供
『.dad、.phd、.prof、.esq、.foo、.nexus、.zip、.mov』
等 8 種新的網域名的申請,而其中正好包括了前面所提到的
『.mov』及『.zip』
兩個極為常見的結尾名稱。
也就是說,如果有人以這兩個網域來註冊的話,我們確實有機會看到這些常見檔名,在未來的某一天,會直接變成可以在瀏覽器中對應網站,或是實際檔案的網址連結。
這對於一般使用者來說,或許不是一件會讓人多注意的事,畢竟有多少人真的會去注意瀏覽器網址列的內容,也不大會有人直接把檔名貼到網址列中吧?
但對於有心的駭客來說,可能就不是那麼一回事了,甚至可以說這是天上掉下來的大好禮物。
認知與信任災難
不過,這些網域究竟會帶來什麼樣的風險呢?
首先,在某些軟體或是網頁服務中,當使用者輸入了一串長得像網址的文字時,編輯器會自動的將這串文字轉換成可點擊的超連結,讓使用者在點擊時可以直接進到對應的網站中。
然而,以大部分的使用者對於這兩個結尾的認知,大多數使用者都會直接將他們視為普通的電腦檔案,因此在看到網頁或是郵件中,若是看到像是
- download.zip
- sharedphoto.zip
這種文字,並帶有超連結的話,通常也會自然地認定為檔案下載的捷徑。
當然如果那個網址還沒被使用的話,那自然也不會有真正的影響,但萬一有人刻意將一些常見名稱註冊下來,並直接連結到一個包含病毒的對應壓縮檔下載的話,那使用者很可能就因此中鏢了。
尤其是如果這個「網址」是來自於一個信任的對象,那不論對方是否真的有意要陷害,接收者也都可能因此放下戒心而點下連結。
相對的,如果是以發送者的角度來看的話,可能今天只是單純想要提到附件中有某個要給對方的檔案,或單純只是在發文中提到某個個定名稱的話,就有可能意外觸發連結,進而讓接受方意外陷入風險中。
另外,部分瀏覽器或防毒軟體具有回報連結的功能,雖然可以快速的更新或封鎖相關的惡意網址,但萬一這些網址,就這麼剛好的跟發送時提到的名稱相同,那麼接收者也可能會因為點進去後所跳出的惡意網址警告,進而失去對發送方的信任。
方便的面具
看到這裡,或許有人會覺得,既然這麼危險,那我就不去點任何 XXX.zip 的連結不就好了嗎,但駭客們也不會是省油的燈,明處無法戰鬥的話,那麼就來點陰的,既然這樣連結上不了當,那就套上一層皮來騙吧。
這裡我們先來看看下面這個網址
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
直接解讀的話,就是從前面的路徑中去下載 v1.27.1.zip 這個檔案,而如果真的將網址貼到瀏覽器中的話,也確實是如此,很直接明瞭對吧?
那麼,我們再來看看下一個
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
看出差別了嗎?
如果你將這個網址貼到瀏覽器中的話,就會發現網頁自動被帶到 v1.27.1.zip 這個網址去,究竟是怎麼回事呢?
這種寫法,其實是過去將登入資料傳給「@」之後的網址來瀏覽受保護資料的常見方法,一般是以
「http://user:pass@trget.com」
的格式來輸入。
如果我們以這種格式來解析第二段網址的話,其實就是將前面那串都當成登入的資料,所以最後使用者實際連到的其實是「@」後面的那個路徑。
另外如果仔細觀察兩個網址,會發現後者為了避免瀏覽器對前面那串偽裝網址的正確解析,刻意的將網址中分隔的「/」符號,置換成看起來相似的「∕」以混淆視聽。
這時若駭客故意將這個網址指向實際檔案的話,就可以輕易在不讓使用者起疑心的情況下,散佈惡意程式了。
結語
現代科技變化快速,只要一有新的資源出現,接踵而來的就是新的風險。
雖然我本身並非資訊安全專業,但還是想藉此機會提醒在座的讀者,面對資安威脅逐漸險峻的網路時代,要多多了解現行的趨勢,並且對於不明確的東西保持一定戒心,並多方查證,才能免於受「駭」。
順帶一提,我先前因為好奇,而實際去查了一下後發現,在 Google Domain 上面以『.zip』結尾的網域,居然入門價只要每年 15 美元,難怪會被說是未來駭客的新寵之一。
另外,應該也有人會好奇,真的會有人用『download.zip』或『sharedphoto.zip』這種奇怪的網址嗎?
嗯⋯我只能說,還真的有 download.zip 這個網站的存在,至於 sharedphoto.zip 目前就還是空的了。
參考資料
《全文。終了》