Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Gefährliche Top-Level-Domain: Phishing von Googles .zip-TLD

Google hat die Top-Level-Domain .zip freigegeben, seit Kurzem lassen sich Domains registrieren. Cyberkriminelle nutzen die Domains bereits für Phishing.

In Pocket speichern vorlesen Druckansicht 102 Kommentare lesen

(Bild: asharkyu/Shutterstock.com)

Lesezeit: 3 Min.
Security
Von

Die generische Top-Level-Domain .zip von Google ist seit Kurzem scharf geschaltet. Zum Meldungszeitpunkt sind bereits mehr als 1000 Domains registriert, der Großteil gegen vergangenes Wochenende. Insbesondere bei Cyberkriminellen scheint die Domain Anklang zu finden, sind doch zahlreiche (potenzielle) Phishing-Domains darunter.

Die Erkenntnis, dass einige generische Top-Level-Domains Ganoven in die Hände spielen können, ist nicht neu – bereits 2015 deutete sich das an. Googles .zip-TLD sticht aber besonders hervor. Da es sich zugleich um eine populäre Dateiendung handelt, können Cybergangster damit echt aussehende Links erstellen und als Download von begehrter Software tarnen, die jedoch etwa auf Phishing-Seiten führen oder Malware ausliefern.

Top-Level-Domain .zip: Phishers Liebling?

Zum vergangenen Wochenende wurden zahlreiche Domains mit .zip-Endung registriert. Dem Internet Storm Center (ISC) zufolge enthält das Zonefile für .zip derzeit rund 1200 Einträge. Offenbar gab es in der Mitte der vergangenen Woche einen massiven Preissturz für .zip-Domains – sie fangen jetzt bei 15 US-Dollar jährlich an –, der zu erhöhtem Interesse führte. Einige der registrierten Domains klingen plausibel, etwa 7[.]zip. Eine Domain mit dem Namen microsoft-office[.]zip verheißt hingegen nichts Gutes.

Tatsächlich verbirgt sich dahinter denn auch eine Phishing-Seite. Sie fragt die Log-in-Daten zu einem Microsoft-Konto ab, die nach dem Absenden in den Händen der kriminellen Seitenbetreiber landen. Besucher sollten dort keinesfalls gültige Daten eintragen!

Hinter der .zip-Top-Level-Domain können sich Phishing-Seiten leicht verbergen.

(Bild: Screenshot / dmk)

Derzeit landen einige der betroffenen Domains aber auch in den Filterlisten der Webbrowser, etwa auf der Google Safe Browsing-Liste. Das ist jedoch kein Garant, dass auch jede bösartige Seite mit .zip-TLD erfasst wird.

Bösartige .zip-Domains landen bereits auf der Google Safe Browsing-Liste. Nicht jede Phishing-Seite landet jedoch schnell dort.

(Bild: Screenshot / dmk)

Problem: automatische Link-Erstellung

Das Problem könnte noch verschärft werden durch die automatische Erstellung von Links aus erkannten Domains im Text. So könnte beispielsweise in Messengern oder Mail-Programmen in einer Anleitung zum Archivieren von einem Ordner in die Datei install[.]zip eine automatische Verlinkung auf https://install[.]zip erstellt werden. Damit ist nicht nur Phishing, sondern auch Malware-Verteilung denkbar.

Viele der registrierten Domains verweisen derzeit noch nicht auf antwortende Webserver. Das dürfte jedoch lediglich eine Frage der Zeit sein. Bei Links auf .zip-Dateien und -Domains müssen Internetnutzer jetzt noch mal genauer hinschauen, ob nicht eine Falle lauert. Die Empfehlung des ISC klingt zwar radikal, angesichts des Risikos scheint das jedoch eine gute Idee: IT-Verantwortliche sollten den Zugriff auf .zip-Domains generell blockieren – bis klar wird, ob sich die Domains nicht doch als nützlich erweisen.

(dmk)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Diverses

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten