Как стать автором
Обновить

Почему новые домены .zip и .mov — подарок «Гугла» мошенникам

Время на прочтение7 мин
Количество просмотров36K
Всего голосов 77: ↑77 и ↓0+77
Комментарии107

Комментарии 107

Довольно таки заметно, что слэш не тот. Или у кого-то не отличается от обычного?

Да, заметно, но всё же очень похоже на обычную ссылку. Просто шрифт криво мог подгрузиться:)

Зависит сильно от шрифта. Где-то менее сильно выделяется. Как пример Source Serif Pro.

Те, кому заметно, и так не ЦА такого фишинга.

Никогда бы не обратил внимание, если бы не прочитал эту статью.

заметно, если знать что искать, иметь хороший монитор и зрение. А если это человек с неидеальным зрением видит на экране телефона, то не заметно

Я с первого взгляда не заметил. не у всех идеальное зрение, знаете ли

Только если есть рядом пример правильного слэша

После "https:" их аж два.

не стоит забывать, что отнюдь не все такие технически подкованые юзеры. Среднестатистический пользователь ничего и не поймет.

Бросается в глаза если виден сам протокол с его слешами https://
потому в письмах будут скорее всего варианты без приставки https://
браузер сам подставить если юзер кликнет

ну или в письмах будет подобран шрифт где сложнее отличить

Блин даже гугл хром идентифицирует этот сайт как архив(см иконку).

Уже нет:

:
:

Как навести указатель мыши на андроиде?

Для начала придётся найти мышь и переходник! :)

А если серьёзно, пару раз ловил фишинговые ссылки методом длинного тапа и копирования адреса в текстовый редактор. Было бы хорошо если бы Хром давал изучить ссылки во всплывающем окне, но там всё обрезается.

Проблема в том чтобы случайно не отпустить палец, а то я ещё так пару раз всё таки сходил по ссылкам из-за фантомного тапа.

Если тапнуть по обрезанной ссылке, то она разворачивается

Hidden text

И правда! Спасибо!

Мне почему-то казалось что это не работает. Видимо я один раз не смог это сделать по какой-то причине и подумал, что там и должно быть.

Буду знать.

Ох, я что-то вспомнил про гуртовщиков мыши. 😏

А как же .com?

.com - исполняемый файл

И туда же до кучи .pl, .py, .java, .so и много других интересных доменов.

Ещё примеры доменов верхнего уровня, совпадающих с расширениями файлов:
.CAB - Cabinet File (формат архивов, применяющийся в основном в установочных пакетах).
.VIDEO - Video File (редко используемое расширение для видеороликов неопознанного формата).

В статье про .com и несколько других как раз упоминается 🙂

Вы когда .com-то в последний раз видели?

А .mov?

Каждый день вижу - макось в нем запись экрана сохраняет

Некоторые популярные камеры пишут в этот контейнер.

Технически, современные вёнды спокойно запускают PE-файлы с расширением .com.

А это что то меняет?

Конечно. Если никто не знает о .com, то и никакой уверенности в том что скачивается файл, как с zip, не будет.

НЛО прилетело и опубликовало эту надпись здесь

Есть такое. Но там тааакооооееее... :(

А толку? Человек не заинтересованный всё равно всё мимо ушей пропустит.

То есть вы серьезно считаете что это аргумент ???

Аргумент.
"Отключите антивирус, чтобы он не ругался на наш кряк".

Проблема в том что реально бывает ж когда ругается на кряк. Который только кряк и ничего больше.
Другое дело что некоторые кряки защищают например VMProtect'ом пиратским. А у автора VMProtect'а (и подозреваю что и других пакеров) насколько помню была официально заявлена политика что если копия проданная конкретному юзеру ушла к пиратам — к антивирусникам уходит информация как запакованное эти экземпляром детектить.
Ну и любовь некоторых антивирусов детектить кейгены как кейгены… и удалять.
Причем проблем особо раньше не было из-за этого не было. Если соблюдать минимальные меры предосторожности. Раньше.
А сейчас вот считается нормальным не в кряк а в официально заявленный как бесплатный продукт — ставить майнер (история с uTorrent). Типа это такая монетизация и все хорошо.

Нет, это полушуточное сообщение. Вы хотите серьезной аргументации против? Ну давайте.
Задача школы давать фундаментальные знания и навыки, которые будут актуальны на протяжении всей жизни.
Мне 35. Когда я учился в школе, уже существовал интернет. Предположим ввели бы урок "безопасности в интернете". Как считаете, был бы сейчас толк от тех знаний мне?
Давайте я напомню как выглядели аферы 20 лет назад: предложения о работе, в которых надо был оплатить "материалы" для начала работы, знакомства в интернете с ссылкой на внешней сайт, на котором нужно заплатить чтобы получить доступ к мессенджеру, волшебные кошельки(вы отправляете WM на кошелек, вам возвращается x2) и т.п.
Я неплохо это помню, потому что в 18 лет пытался делать сайт посвященный аферам. Актуальны из них с натяжкой остались единицы. Сейчас новые способы развода, новые способы обмана.
Меня бы не научили никому не отправлять смс, потому что смс как двухфакторки тогда не было. Меня бы не научили игнорировать звонки от "оперативников", потому что такого тогда не было. А чему бы меня научили? Что осталось бы актуальным и сейчас?

Тоже самое и сейчас. То, чему могут "обучить" на таком уроке - устареет раньше чем школьник перейдет в следующий класс. Учить надо базовой гигиене в интернете, но опять же: вы пока курс учебный создавать и утверждать будете всё изменится пять раз. Это нужный навык и знания, но в качестве предмета для школы это просто нереализуемо.

Очевидно, что приемы и схемы обмана постоянно меняются. Но чем больше примеров намахалова видиш, тем больше будеш на чеку в целом. Учить быть собакой-подозревакой не так-то и плохо, как по мне.

Возможно… общие принципы построения как то учить? В том числе и с заданиями вида "придумать новый способ мошенничества, в классе оценят оригинальность"? Но это скорее частью чего то вроде ОБЖ должно быть и касаться совсем не только компьютеров.

Это отличный аргумент.

Потому что заставить выучить какие-то правила можно почти любого, под страхом плохих оценок и т.п. А вот как сделать так, чтобы люди действительно соблюдали правила в обычной жизни, а не забивали на них покинув класс - вопрос с совершенно не очевидным ответом. У вас этого ответа нет, например.

Компартментализация знаний и поведения, то есть явление, когда человек может на "отлично" проходить обучение и выполнять тестовые задания, в реальной ситуации поступать совершенно иначе, а потом, в процессе расследования этой ситуации, демонстрировать все то же идеальное знание правил и требований вместе с отсутствием воли им следовать - более чем реально. И это одна из причин, почему административные меры (т.е. все эти тренинги и прочее), в общем случае - никчемное дерьмо (за редчайшим исключением для людей, которые реально думают перед тем как делать), а единственный надежный способ решения проблем - инженерные меры, которые постоянно совершенствуются.

Чел ты ...

Не так давно было исследование, показавшее, что дети достаточно неплохо знают основные принципы безопасного поведения в сети, но полностью их игнорируют, потому что не считают возможные последствия этого достаточно серьезными. Что ведет к выводу, что "традиционное" обучение безопасности не работает.

а юникод символы в урл разрешены? тогда вообще можно много чего интересного сделать, напимер, rtl или backspace символами

да, конечно. Есть Emoji домены https://🐮.ws/

Это домен https://xn--2o8h.ws/ и никаких эмоджиков там нет. Отображение эмоджика это костыль под названием punycode.

Но это не отменяет того, что эмодзи в URL разрешены на тех же правах что и буквы кириллицы.

Скорее "xn..." - это костыль под названием punycode для символов Юникод.

Там, видимо, про управляющие символы задавались вопросом.

Да, но при открытии в строке адреса они отобразятся особенными кракозябрами. У меня в Brave и при наведении на такой адрес отображаются кракозябры во всплывающей подсказке. Наверное у всех так.

Нет кракозябр. Есть punycode

Это зависит от настройки браузера.
Браузер может показывать punycode и в строке адреса

Тогда нужно вообще запретить A тег в HTML, а то можно же и так сделать: https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

Кроме того, в Google Chrome и Firefox, если навестись на такую ссылку, то он отобразит только https://v1271.zip без страшной левой части.

Так что, мне кажется, что проблема тут вовсе не в TLD

Google Chrome Version 113.0.5672.126
Google Chrome Version 113.0.5672.126

Вы совершенно правильно поняли мою мысль

Выводы:

  1. Сидеть в интернете с компа

  2. С мобильных ссылки открывать длительным нажатием и обращать внимание на символы после "домена"

  3. Отключить автоматическую загрузку (опционально, но рекомендуемо)

домен острова Монтсеррат .ms совпадает с расширением исполняемых файлов Windows,

Ну это Вы лишку дали.
While Autodesk 3ds Max Script File is a popular type of MS-file, we know of 2 different uses of the .MS file extension. Different software may use files with the same extension for different types of data. 2 known uses of the MS file extension:
1. Autodesk 3ds Max Script File
2. MegaStation Module
(найдено здесь)

Не надо с больной головы валить на здоровую. Надо бороться с идиотской практикой превращения строка_точка_строка в ссылку.

В первую очередь все эти новые доменные зоны возникают от одной ключевой причины: от слишком высокой цены на старые домены.


Поэтому и решение представляется очевидным: следует существенно понизить цену доменов в старых зонах.

Скорее другое: вынуждают владельцев торговых марок платить снова и снова за их столбление во все новых и новых доменных зонах. Обратите внимание, кто регистрировал домены в бессмысленной и беспощадной .РФ (и кто их реально использует).

Заинтересовал, кто же те люди. Полез смотреть и нашёл статью. А там говорят, что зона .ru на втором месте по количеству после .com удивился и не стал даже выкачивать торрент с сайтами

Так речь про .рф, а не про .ru

Я знаю, но если мы настолько интенсивны в .ru, то почему бы части не быть так же в .рф

Для некоторых, домен в зоне РФ основной и не имеет зеркал в зоне RU. Знаю не по наслышке.

А когда начинается "широкое распространение" расширения файла? Я к тому, что запретив домен .zip, придется запрещать и другие - они-то чем хуже? Тот же домен/расширение .md существуют уже кучу лет и вроде бы никакого большого скандала не было.

странно, что еще никто не зарегистрировал pkunzip.zip

Эмм

Creation Date: 2023-05-10T16:00:05Z
Registry Expiry Date: 2024-05-10T16:00:05Z

Как и pkun.zip

Creation Date: 2023-05-12T13:53:49Z

command.com всё ещё принадлежит какому-то производителю канцелярских товаров.. чем мы вообще тут занимается?

То есть проблема в том что разрешён юникод и что порядок частей урлов беспорядочный (вместо последовательного protocol://tld.second-level-domain.subdomain@auth/path` почему-то protocol://auth@subdomain.second-level-domain.tld/path`), но винят во всём введение новых tld

юникод, да. А про порядок не очень понятно. Почему первый более последовательный, чем второй?

Хотябы потому, что не потребуется вычитывать всю ссылку в поисках соб@ки, чтобы определить не является ли начальная часть авторизацией.

Текущий порядок напоминает мне мемы про американский формат даты. Почему авторизация идёт перед доменом, а порт после него?

 Почему авторизация идёт перед доменом

Потому что читается "<имя пользователя> at <имя системы>".

Если порядок поменять, можно будет далеко справа подсунуть левого пользователя. Или, просто подсунуть пользователя там, где он не ожидается. Если это вызывает такие проблемы, может её стоит отключить по умолчанию.

Текущий порядок напоминает мне мемы про американский формат даты

ИСО к слову рекомендует аналогичный подход в стандарте 8601: yyyy-mm-dd<T>HH:MM:ss

Что аналогичного между yyyy-mm-dd и mm-dd-yyyy? Претензия к американским датам не в mm-dd vs dd-mm, а в неотсортированном положении компоненты yyyy.

О! Опять для разрешения проблемы предлагают что-то ограничить или запретить!

Увы, но это никогда не работало. Только усложняло жизнь и множило бюрократические уловки для обхода.

Вот это комментарий, словно чатбот либертарианский кто-то настроил — настолько реакция оторвана от текста и реальности. Разделегировать обратно — это не «ограничить и запретить». И как вы будете обходить разделегированный домен первого уровня? =) И кто это будет делать, и зачем? Никто доменов .zip и .mov не просил, не мечтал о них, ничей бизнес от них, кроме бизнеса скамеров от них не улучшился.

Вы предлагаете запрещать людям регистрировать новые доменные зоны потому, что это создаёт дополнительный вектор атаки. И даже не новый, как и показываете в статье.

Если не zip, так завтра будет pdf. Популярных расширений много.

Основная проблема то в том что скачанный evil.exe имеет безграничные права.

Если и будет, то тот же вопрос: зачем? Какой смысл в дублировании популярных расширений? Вижу тут только голый коммерческий интерес: паразитировать на популярности этих расширений для привлечения покупателей, без оглядки на раздолье мошенникам от этой путаницы. Это не такое уж сложное правило: придумывайте и продвигайте новые домены, только избегайте пересечений с популярными расширениями файлов.

Занят 9 числа, под конец предрегистрации. Там цена была выше регулярной. Да и сейчас они бы за такой трехбуквенный явно больше 14$ просили бы

видимо перекупы тут как тут

Риск, как я понимаю в том, что может скачаться файл вместо сайта? Чем это отличается от скачивания файла по обычной ссылке, например, «мне повезёт»?

Риск в том что на многих сайтах действует автоконверция текста в ссылку. Таким образом куча сообщений со всякими "послал тебе отчет.зип" внезапно начинает обрабатываться как содержащие ссылки (кое-где даже ретроактивно), и отправитель не контролирует куда эти ссылки будут вести. Все что остается мошеннику это зарегистрировать сайт с популярным названием архива, положить на него автозагрузку вирусни или фишера - и лохи сами начнут к тебе идти табунами со всего Интернета.

А что это за браузеры, которые при входе на сайт автоматом исполняют оттуда код?

Я просто не вижу, в чем опасность именно зип и мов

  • Прислал тебе коллега файл file.zip

  • Кликаешь ты на него

  • переходишь на сайт file.zip

  • И сразу бразузер предлагает скачать файл с именем file.zip

Ты скачиваешь ииииии..... запускааешь

Но ведь он просто откроется винраром? А если это вредонос, то он и при скачивании из письма от знакомого может заразить

Знакомый на внутреннем сайте написал , что все инструкции лежат в файле file.zip во вложении. Вложения где-то в отдельной вкладке вложений, доступна после авторизации. А слово file.zip движком форума уже сконвертировано в ссылку ведущую на сайт https://file.zip . Который может выдать тебе что угодно - хоть .zip архив , хоть .exe. Даже если это будет архив, то с высокой долей вероятности, пользователь потеряет бдительность , и он может не заметить, что архив внутри вредоносный, ведь он скачал его по ссылке, которую там оставит уважаемый и давно работающий внутри сотрудник, и 100500 коллег уже следовали этим инструкциям и все получалось.

Здесь вообще ничего общего с "вредонос в письме от коллеги".

При скачивании может быть любое расширение на усмотрение автора сайта, необязательно zip.

опасность именно зип и мов в том что они превращают в ссылки часто используемые сочетания символов которые не подразумевались быть ссылками.

А в чем проблема скачанного по ссылке файла в архиве? Если его не распаковать и не запустить, то и вреда он не принесет. Разве нет?

по умолчанию "проводник" показывает иконки с подписями без суффиксов (расширений)
Сделайте исполняемый файл с иконкой "zip archive" и подсуньте его для скачивания
Если smartscreen в windows 10 - 11 отключен (а его часто отключают из-за кряков), браузер спокойно скачает подготовленный exe и юзер ничтоже сумняшеся его запустит, ведь иконка совпадает.
Более того, это может быть самораспаковывающийся архив со скриптом, исполняющимся при распаковке. То есть юзер даже не поймёт после запуска архива на исполнение, что его слегка обманули.

Проблемы пошли, когда разрешили юникод в урлах. Сами новые TLD не несут опасности. Их и так было 300 штук.

Первое, о чём подумалось — ну дык .com это же батники в винде! И живём же, чоуж.

Второе — к черту зип. 7z есть. rar есть. tar.gz есть.

Зип удобен простотой и поддержкой практически везде из коробки, его вполне достаточно для большинства задач. 7z хорош степенью сжатия, но если это не надо то избыточен, rar проприеритарный и мало чем поддерживается, tar.gz вообще неудобен и не умеет random access.

"ну дык .com это же батники в винде!" - Вы несколько ошиблись. "батники в винде" - это *.cmd

Не так много людей посылают другу другу .com файлы, к тому же сейчас Винда обычно использует расширение .cmd вместо предыдущего .com.

com — вообще не про cmd. Над вашим комментарием как раз про это

всё чаще в дополнение к обычным доменам .com, .org, .ru, .net стали встречаться домены .aero
...

Для условного поисковика авиабилетов возможность запустить сайт в зоне .aero 

Зона .aero заработала 21 год назад и зарегистрировать домен в ней могут не только лишь все. Насколько я помню, первые сервисы поиска авиабилетов были запущены на несколько лет позже.

В .aero без проблем регистрируются домены даже из России. Пример

попробуйте зарегистрировать - вам предложат доказать вашу принадлежность к авиации

Зарегистрируйтесь на Хабре, чтобы оставить комментарий