Hoe .zip domeinnamen misbruikt worden in phishing mails

Begin mei 2023 introduceerde Google acht nieuwe top-level domeinen (TLD’s) die gebruikt kunnen worden voor het hosten van websites en e-mailadressen. Het gaat om .dad, .esq, .prof, .phd, .nexus, .foo, .mov en .zip. Die laatste twee top-level domeinen zul je ongetwijfeld herkennen; het zijn namelijk bekende bestandsextensies voor respectievelijk MPEG 4 video’s en ziparchieven. Maar het zijn juist deze TLD’s die cybersecurity experts en IT’ers zorgen baren. En terecht, want deze domeinnamen kunnen door kwaadwillenden gebruikt worden in phishing mails. In deze blogpost leggen we uit hoe .zip domeinnamen misbruikt kunnen worden, en wat je kunt doen om te voorkomen dat jij op deze manier het slachtoffer wordt van phishing.

Hoe .zip domeinnamen misbruikt kunnen worden voor phishing

Hoewel de .zip top-level domeinen al sinds 2014 bestaan, zijn ze met ingang van 3 mei 2023 algemeen beschikbaar geworden. Dat betekent dat iedereen nu een domeinnaam kan aanschaffen die eindigt op .zip. Zo’n domeinnaam kost doorgaans nog geen €15 euro per jaar. Wij zouden bijvoorbeeld zonder problemen www.veiligonline.zip kunnen registreren. Wanneer mensen online uitleg of instructies posten, vermelden ze vaak relevante bestandsnamen inclusief extensies. Omdat .zip extensies nu top-level domeinen zijn, zullen bestandsnamen die eindigen op .zip op veel sociale netwerken en platformen automatisch naar URL’s worden geconverteerd.

Phishing en .zip domeinnamen

Stel, een Reddit gebruiker publiceert een vraag in een subreddit over het uitpakken van een .zip bestand. Een andere behulpzame gebruiker geeft antwoord op de vraag en vermeldt in zijn uitleg “bestandsnaam.zip” – wat nu dus automatisch naar een URL wordt geconverteerd. De OP (de Reddit gebruiker die de vraag stelde) en andere gebruikers die de thread volgen, zien de URL in de instructies. Als ze denken dat ze op die manier een unzip-programma kunnen downloaden of dat het een link naar een website met meer informatie betreft, is de kans dat ze op de URL klikken vrij aannemelijk. Als de URL niet bestaat, is dat geen ramp; de browser zal dan een 404 foutmelding geven (site niet gevonden). Maar stel nu dat er een hacker is die toevallig een .zip domein heeft geregistreerd met dezelfde naam als de automatisch naar een link geconverteerde bestandsnaam. De nietsvermoedende Reddit gebruiker die op de link klikt komt dan op een malafide website terecht, waar hij voor een phishing scam valt of per ongeluk malware download – ondertussen in de veronderstelling dat de URL veilig is, omdat deze gepost werd door een betrouwbare bron. Cybersecurity onderzoeker Bobby Rauch schreef een blogpost waarin hij gedetailleerd uitlegt hoe phishing URL’s gecreëerd kunnen worden die eruitzien als legitieme downloadlinks op GitHub. Cybersecurity onderzoeker mr.d0x beschreef hoe een aanvaller een nieuw .zip domein kan registreren dat eruitziet als een ziparchief voor een installatiebestand, zoals www.setup[.]zip. Daar kan hij een site op zetten die vergelijkbaar is met die van WinRAR. Een bezoeker hoeft slechts één keer ergens op te klikken om malware te downloaden.

Phishing websites

Dat er misbruik van .zip domeinnamen kan worden gemaakt is helaas niet slechts theoretisch – het gebeurt al. Nog geen twee weken nadat de nieuwe TLD’s beschikbaar werden gemaakt, waren er al enkele duizenden .zip domeinnamen geregistreerd. Daar zitten ook een aantal verdachte registraties tussen, waaronder installer[.]zip, update[.]zip, anti-virus[.]zip, archiver[.]zip, attachment[.]zip en config[.]zip. Of degenen die deze domeinnamen registreerden daadwerkelijk kwade bedoelingen hebben kunnen we niet met zekerheid zeggen, maar het is wel aannemelijk. Op 13 mei waarschuwde cybersecurity bedrijf Silent Push Labs op Twitter voor een phishing website met de URL microsoft-office[.]zip, vermoedelijk opgezet met het doel om inloggegevens van Microsoft accounts te stelen.

Wat kun je doen om te voorkomen dat je slachtoffer wordt van phishing?

Nu je op de hoogte bent van de risico’s die .zip domeinnamen met zich meebrengen, vraag je je wellicht af wat je kunt doen om te voorkomen dat je zelf het slachtoffer wordt van phishing. Om te beginnen heeft Google aangegeven dat ze phishing en malware serieus nemen en dat www.registry.google reeds is uitgerust met mechanismes om malafide domeinnamen (inclusief die eindigen op .zip) te blokkeren of te verwijderen. Het bedrijf zegt het gebruik van .zip en andere TLD’s nauwlettend in de gaten te blijven houden en gepaste actie te ondernemen als er nieuwe bedreigingen opduiken. Daarnaast raden ze het gebruik van browser-based veiligheidsmaatregelen zoals Google Safe Browsing aan, welke ook zouden helpen om gebruikers tegen misbruik van .zip domeinnamen te beschermen. Johannes B. Ullrich van het SANS Technology Institute had wel een goed punt toen hij erop wees dat er in de ‘echte wereld’ nauwelijks gebruik wordt gemaakt van .zip domeinnamen. Met andere woorden: legitieme .zip domeinen zijn vooralsnog erg schaars. Om die reden is het misschien beter voor systeembeheerders om toegang tot .zip domeinen voor gebruikers te blokkeren. Dat lijkt misschien wat drastisch, maar er hoeft slechts één onoplettende werknemer binnen een bedrijf te zijn die per ongeluk op een malafide link klikt en je de chaos breekt uit. Voor individuele gebruikers geldt dat je gewoon moet blijven doen wat je al doet om jezelf tegen phishing te beschermen. Oftewel, je hoofd erbij houden, niet klikken op links in verdachte e-mails en geen bestanden downloaden van onbetrouwbare websites. En als je ergens een .zip linkje tegenkomt, neem dan het zekere voor het onzekere en klik er gewoon niet op.