谷歌整了幾個新域名,讓我們距離網(wǎng)絡(luò)詐騙更近了一步。互聯(lián)網(wǎng)+
導(dǎo)讀
隨手注冊一個域名放到網(wǎng)上,就可以得到極客們的夸夸?
隨手注冊一個域名放到網(wǎng)上,就可以得到極客們的夸夸?
隨手注冊一個域名放到網(wǎng)上,就可以得到極客們的夸夸?
這么個簡單的事,就能讓大家交口稱贊,其實是因為這哥們用自己的實際行動,抵制了谷歌最近這個犯渾的操作。。。
它開放了一個類似于 .com、.cn 的頂級域名:
.zip。
這波操作,搞得咱們以后在網(wǎng)上下東西,聊天得更加小心了。
雖然我相信大家現(xiàn)在不太會去網(wǎng)頁端里下載東西,但谷歌這通操作完,指不定回頭你就要吃癟了。
在聊這個全新的頂級域名前,托尼先來告訴大家,這玩意到底可以動什么手腳。
看看這兩個鏈接有什么區(qū)別:
看起來是不是差不多?
但其實,前一個是指向 Github 上一個項目里的某個軟件壓縮包。
而后者前面那一大串都是障眼法,它真正指向的是一個叫做 v1271.zip 的網(wǎng)站。
至于這網(wǎng)站里藏了啥玩意,那我們可就不清楚了,指不定就是個古早味釣魚網(wǎng)站。
總之就是一整個風(fēng)險拉滿。
等等,這玩意看起來不是個 github 上的文件鏈接嗎,怎么成了另一個人的釣魚網(wǎng)址呢?
在訪問網(wǎng)絡(luò)的時候,服務(wù)器會把 “https://” 和 “@” 之間的內(nèi)容給當(dāng)作 用戶的信息,而不是真實的網(wǎng)址。
被當(dāng)作網(wǎng)址的,是 “@” 后面的一連串信息。
所以 https://google.com@bing.com 這個網(wǎng)址其實訪問的是 bing.com ,中間的 google.com 因為被‘ @ ’夾在中間所無視。
但是如果我們在 “@” 前面再加個 ‘ / ’ 正斜杠,電腦就會把正斜杠后面的內(nèi)容當(dāng)做網(wǎng)址路徑的一部分。
簡單來說,有 ‘ / ’的話,‘ @ ’就沒用了。
舉個例子,https : //google.com/search@bing.com 這個網(wǎng)址就不會落在 Bing ,而是訪問到 Google 上。
這下問題就來了。
剛才那個網(wǎng)站是怎么做到,繞過這個限制的?明明它也有正斜杠啊。
其實仔細(xì)看能發(fā)現(xiàn),這個正斜杠長的不太一樣。因為在咱們常用的字符列表里,有另外兩個和 / 非常像的字符:
U+2215 ( ∕ )和 U+2044 ( ∕ )
它們在 Chrome 瀏覽器中不被認(rèn)為是真正的正斜杠,也不像正斜杠那樣,能讓‘@ ’變沒用。
所以才能實現(xiàn)一整個偷梁換柱,讓假網(wǎng)址變的很像真網(wǎng)址。
雖然說 多看幾眼咱們可以發(fā)現(xiàn)這個假斜杠的寬度不太一樣,而且仔細(xì)看的話,會發(fā)現(xiàn) Chrome 也對真實訪問的網(wǎng)址用顏色做出了標(biāo)識。
但是呢!在電子郵件里, ‘@ ’的字號可以被設(shè)置到最小,來實現(xiàn)一個瞞天過海。
你品品下面這張圖。
來自海外安全人員的測試
這就是它實現(xiàn)惡意攻擊的方式。通過假的正斜杠 + @ 字符的方式,將虛假的. zip 域名給偽裝成一個正規(guī)下載文件。
所以啊,對于谷歌這波操作,我是真沒整明白。。。
這事得追溯到 2023 年 5 月 15 號,谷歌開放出了一批新的頂級域名( TLD )給大家注冊。
這些頂級域名就像是各個網(wǎng)站頁面?zhèn)兊?“ 小區(qū)號 ” ,比如 .com、.org 、.cn 、.edu 這些都是。
互聯(lián)網(wǎng)發(fā)展了這么多年,大家對網(wǎng)址的需求也賊多。為了能讓大家都有足夠能用的網(wǎng)址,互聯(lián)網(wǎng)運營商會提供各種各樣的頂級域名來讓大家購買。
而在這回被放出來的頂級域名里,就有 . zip的身影(同時開放的還有. dad.phd.prof.esq.foo.mov 這些 )。
之后,咱們就可以注冊各種以 zip 結(jié)尾的網(wǎng)址,比如說什么 setup.zip 啊,前面提到的 v1271.zip 都是如此。
本來到這一步其實事情其實也還好,大家伙都是擅長網(wǎng)絡(luò)沖浪的高手,也不至于看到個網(wǎng)站就打開了。
但壞就壞在,這玩意放網(wǎng)址里,長得太像一個可以下載的壓縮文件了,誰還沒下過幾個 zip 安裝包啊。
而且危害還不止如此。
這年頭的軟件們都喜歡給咱們輸?shù)?nbsp;文字版網(wǎng)址,自動生成一個可以點擊的超鏈接,所以它的危害性能再上一層。
這就意味著,未來我們在聊天、發(fā)郵件、找攻略的時候, 遇到的所有 XXX.zip 都可能變成一個可以點擊的鏈接。
咱們就舉個例子吧。想象一下咱們在找資源的時候,可能會看到好心人這樣介紹:
這種時候如果有人惡意注冊了 download.zip這個域名的話,就會導(dǎo)致這段話里的 donwload.zip 變成一個可以立刻點擊的鏈接。。。
那萬一路過的群眾如果點擊一下這個鏈接, 打開的東西可能就不是咱們想要的資源,而是一個惡意文件或者是網(wǎng)頁。
風(fēng)險一整個拉滿。
所以,在這些本意方便大家的技術(shù)疊加之下,. zip 這個域名的危險性被再一次放大。
不過呢,這事其實也不是那么容易碰到的,而且網(wǎng)上也有不少大佬用這個域名做了很多有意思的事情,自愿當(dāng)起了 “ 白衣騎士 ” 。
比如文章開頭里提到的夸夸,就是在感謝一位叫 Alex 的大佬,他注冊下來了 setup.zip 這個域名,用來宣傳. zip 的危害性。
也有老哥為了讓大家更直觀的認(rèn)識到 .zip 可能帶來的危害,在自己的 zip 域名上設(shè)計了一個模仿 WinRAR 的界面。
你還別說,我覺得這有鼻子有眼的頁面還真的能騙到人
甚至還有人為了一勞永逸,做了一個 Chrome 插件,用來禁止瀏覽器訪問. zip 和. mov 域名。
雖然說對咱們這樣的互聯(lián)網(wǎng)用戶來說,去論壇上找資料的情況已經(jīng)不多了。
但無論如何,網(wǎng)上沖浪還是要注意安全,不該點的鏈接不要瞎點。
也祝愿大家別和我一樣,被黑客一秒盜走了賬號密碼。。。
撰文:小陳 編輯:面線 美術(shù):煥妍 & 陽光
這么個簡單的事,就能讓大家交口稱贊,其實是因為這哥們用自己的實際行動,抵制了谷歌最近這個犯渾的操作。。。
它開放了一個類似于 .com、.cn 的頂級域名:
.zip。
這波操作,搞得咱們以后在網(wǎng)上下東西,聊天得更加小心了。
雖然我相信大家現(xiàn)在不太會去網(wǎng)頁端里下載東西,但谷歌這通操作完,指不定回頭你就要吃癟了。
在聊這個全新的頂級域名前,托尼先來告訴大家,這玩意到底可以動什么手腳。
看看這兩個鏈接有什么區(qū)別:
看起來是不是差不多?
但其實,前一個是指向 Github 上一個項目里的某個軟件壓縮包。
而后者前面那一大串都是障眼法,它真正指向的是一個叫做 v1271.zip 的網(wǎng)站。
至于這網(wǎng)站里藏了啥玩意,那我們可就不清楚了,指不定就是個古早味釣魚網(wǎng)站。
總之就是一整個風(fēng)險拉滿。
等等,這玩意看起來不是個 github 上的文件鏈接嗎,怎么成了另一個人的釣魚網(wǎng)址呢?
在訪問網(wǎng)絡(luò)的時候,服務(wù)器會把 “https://” 和 “@” 之間的內(nèi)容給當(dāng)作 用戶的信息,而不是真實的網(wǎng)址。
被當(dāng)作網(wǎng)址的,是 “@” 后面的一連串信息。
所以 https://google.com@bing.com 這個網(wǎng)址其實訪問的是 bing.com ,中間的 google.com 因為被‘ @ ’夾在中間所無視。
但是如果我們在 “@” 前面再加個 ‘ / ’ 正斜杠,電腦就會把正斜杠后面的內(nèi)容當(dāng)做網(wǎng)址路徑的一部分。
簡單來說,有 ‘ / ’的話,‘ @ ’就沒用了。
舉個例子,https : //google.com/search@bing.com 這個網(wǎng)址就不會落在 Bing ,而是訪問到 Google 上。
這下問題就來了。
剛才那個網(wǎng)站是怎么做到,繞過這個限制的?明明它也有正斜杠啊。
其實仔細(xì)看能發(fā)現(xiàn),這個正斜杠長的不太一樣。因為在咱們常用的字符列表里,有另外兩個和 / 非常像的字符:
U+2215 ( ∕ )和 U+2044 ( ∕ )
它們在 Chrome 瀏覽器中不被認(rèn)為是真正的正斜杠,也不像正斜杠那樣,能讓‘@ ’變沒用。
所以才能實現(xiàn)一整個偷梁換柱,讓假網(wǎng)址變的很像真網(wǎng)址。
雖然說 多看幾眼咱們可以發(fā)現(xiàn)這個假斜杠的寬度不太一樣,而且仔細(xì)看的話,會發(fā)現(xiàn) Chrome 也對真實訪問的網(wǎng)址用顏色做出了標(biāo)識。
但是呢!在電子郵件里, ‘@ ’的字號可以被設(shè)置到最小,來實現(xiàn)一個瞞天過海。
你品品下面這張圖。
來自海外安全人員的測試
這就是它實現(xiàn)惡意攻擊的方式。通過假的正斜杠 + @ 字符的方式,將虛假的. zip 域名給偽裝成一個正規(guī)下載文件。
所以啊,對于谷歌這波操作,我是真沒整明白。。。
這事得追溯到 2023 年 5 月 15 號,谷歌開放出了一批新的頂級域名( TLD )給大家注冊。
這些頂級域名就像是各個網(wǎng)站頁面?zhèn)兊?“ 小區(qū)號 ” ,比如 .com、.org 、.cn 、.edu 這些都是。
互聯(lián)網(wǎng)發(fā)展了這么多年,大家對網(wǎng)址的需求也賊多。為了能讓大家都有足夠能用的網(wǎng)址,互聯(lián)網(wǎng)運營商會提供各種各樣的頂級域名來讓大家購買。
而在這回被放出來的頂級域名里,就有 . zip的身影(同時開放的還有. dad.phd.prof.esq.foo.mov 這些 )。
之后,咱們就可以注冊各種以 zip 結(jié)尾的網(wǎng)址,比如說什么 setup.zip 啊,前面提到的 v1271.zip 都是如此。
本來到這一步其實事情其實也還好,大家伙都是擅長網(wǎng)絡(luò)沖浪的高手,也不至于看到個網(wǎng)站就打開了。
但壞就壞在,這玩意放網(wǎng)址里,長得太像一個可以下載的壓縮文件了,誰還沒下過幾個 zip 安裝包啊。
而且危害還不止如此。
這年頭的軟件們都喜歡給咱們輸?shù)?nbsp;文字版網(wǎng)址,自動生成一個可以點擊的超鏈接,所以它的危害性能再上一層。
這就意味著,未來我們在聊天、發(fā)郵件、找攻略的時候, 遇到的所有 XXX.zip 都可能變成一個可以點擊的鏈接。
咱們就舉個例子吧。想象一下咱們在找資源的時候,可能會看到好心人這樣介紹:
這種時候如果有人惡意注冊了 download.zip這個域名的話,就會導(dǎo)致這段話里的 donwload.zip 變成一個可以立刻點擊的鏈接。。。
那萬一路過的群眾如果點擊一下這個鏈接, 打開的東西可能就不是咱們想要的資源,而是一個惡意文件或者是網(wǎng)頁。
風(fēng)險一整個拉滿。
所以,在這些本意方便大家的技術(shù)疊加之下,. zip 這個域名的危險性被再一次放大。
不過呢,這事其實也不是那么容易碰到的,而且網(wǎng)上也有不少大佬用這個域名做了很多有意思的事情,自愿當(dāng)起了 “ 白衣騎士 ” 。
比如文章開頭里提到的夸夸,就是在感謝一位叫 Alex 的大佬,他注冊下來了 setup.zip 這個域名,用來宣傳. zip 的危害性。
也有老哥為了讓大家更直觀的認(rèn)識到 .zip 可能帶來的危害,在自己的 zip 域名上設(shè)計了一個模仿 WinRAR 的界面。
你還別說,我覺得這有鼻子有眼的頁面還真的能騙到人
甚至還有人為了一勞永逸,做了一個 Chrome 插件,用來禁止瀏覽器訪問. zip 和. mov 域名。
雖然說對咱們這樣的互聯(lián)網(wǎng)用戶來說,去論壇上找資料的情況已經(jīng)不多了。
但無論如何,網(wǎng)上沖浪還是要注意安全,不該點的鏈接不要瞎點。
也祝愿大家別和我一樣,被黑客一秒盜走了賬號密碼。。。
撰文:小陳 編輯:面線 美術(shù):煥妍 & 陽光
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
