Google verkauft seit Kurzem Domain-Namen mit der Endung .zip. Jetzt warnen Sicherheitsexperten, dass einige dieser Domains bereits aktiv von Cyberkriminellen genutzt werden. Denn weil es sich bei .zip auch um eine Dateiendung handelt, bieten entsprechende Domains enormes Potenzial, um potenzielle Opfer in die Irre zu führen.

Potenziellen Angreifer:innen spielt in die Hände, dass Web-Dienste und Apps heutzutage Domain-Namen automatisch in klickbare Links umwandeln. Die Erwähnung einer ZIP-Datei könnte daher automatisch in einen Link zu einer Malware-Seite umgewandelt werden.

Ebenfalls möglich sind gezieltere Angriffe. Ein gutes Beispiel dafür liefert dieser Blogbeitrag. Der Autor nimmt als Beispiel für ein Angriffsszenario diesen legitimen Link zur Kubernetes-Version 1.27.1:

https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

Durch den Einsatz des @-Operators in der URL könnten Angreifer:innen diesen sehr ähnlichen Link erstellen. Der wiederum führt allerdings nicht zu GitHub, sondern zu der Domain v1271.zip, die von Kriminellen als Phishing-Seite genutzt werden könnte:

https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip

Tatsächlich finden sich im Netz bereits erste Beispiele für .zip-Domains, die von Kriminellen für Täuschungsmanöver genutzt werden. Einige davon dürften von den Filterlisten der Browser-Hersteller zwar als betrügerische Websites markiert werden, das grundsätzliche Problem löst sich dadurch allerdings nicht.

Für Cyberkriminelle gibt es damit einen weiteren Weg, ihre Opfer auf Phishing-Seiten zu führen oder zum Download von Schadsoftware zu bewegen. Für Internet-Nutzer:innen bleibt es daher nach wie vor wichtig, jeden Link sorgfältig zu prüfen.

Firmen könnten zwar das Risiko für ihre Infrastruktur minimieren, indem sie die Top-Level-Domain .zip vollständig sperren. Damit wären aber auch alle legitimen Web-Angebote mit der Endung nicht mehr aufrufbar.