Googles Geschenk an die Hacker-Community

Seit Anfang Mai vermarktet Google acht neue Top Level Domains (TLD), also Endungen für die höchste Ebene einer Webseite. Der Renner sind dabei Webseiten mit der neuen Domain-Endung „.zip“. Seit dem 3. Mai, so eine Analyse der Sicherheitsexperten von Cisco-Talos, wurden mehr als 10.000 .zip-URLs registriert – das sind fünfmal so viele wie die zweitstärkste TLD „.mov“.

Die Talos-Forscher haben diese .zip-Domänen daher genauer unter die Lupe genommen. Bei der Analyse von Telemetriedaten sind ihnen Muster aufgefallen, die wenig Gutes versprechen. Denn die neue Endung scheint auf breiter Front Hacker auf den Plan zu rufen. Das Problem liegt in der Namensgleichheit der neuen TLD zum bekannten Dateiformat „.zip“, die Cyberangreifer geschickt ausnutzen. Beispielsweise registrieren sie URLs, die den Anschein eines komprimierten Files erwecken. Dateimanager wie Windows Explorer oder bestimmte Messenger-Dienste identifizieren diesen Namen seit Mai jedoch korrekt als URL und leiten den Nutzer auf die bösartige Webseite dahinter. Der Anwender bekommt davon kaum etwas mit – es sei denn er zählt die Anzahl seiner Klicks auf einen Dateinamen. Das führte teilweise bereits zu ungewolltem Datenabfluss.

„Solange die neue TLD noch nicht weit verbreitet ist, lassen sich .zip-Domänen blockieren“, so Thorsten Rosendahl von Cisco Talos in Deutschland. „Führen allerdings  mehr Unternehmen .zip ein, ist die Sperrung einer ganzen TLD kaum noch praktikabel. In jedem Fall müssen SOC-Betreiber ihren Netzverkehr wesentlich intensiver überwachen und Mitarbeitende auf die Gefahren von .zip-Domänen hinweisen.“