Domini .zip e .mov e i rischi per la sicurezza

Perché le nuove estensioni di primo livello .zip e .mov possono costituire un rischio per gli utenti?

Alcune estensioni utilizzate per domini di primo livello come .zip e .mov sono anche delle estensioni per delle tipologie di file comunemente utilizzati.

Gli utenti sono abituati a considerare questo tipo di estensioni come riferimenti ad uno specifico file, ad esempio un’estensione .zip lascia pensare al formato di un archivio compresso mentre un’estensione .mov ad un file con contenuto video.

Che c’entra questo con la sicurezza? Perché i domini .zip e .mov possono costituire un rischio per gli utenti?

Domini .zip e .mov, una nuova opportunità per diffondere malware

.zip e .mov sono anche estensioni di noti file, di conseguenza, laddove un utente ricevesse un link, ad esempio all’interno di un’email, che lo invita a cliccare su un link che sembra condurre ad un percorso per scaricare un file .zip o .mov potrebbe utilizzare tale link nella convinzione di scaricare un file archivio compresso o un file video e venire invece indirizzato su dei siti fraudolenti.

Quindi in sostanza questi nuovi TLD possono essere utilizzati per campagne di Phishing o per attività volte a diffondere malware, opportunamente costruite per confondere gli utenti e reindirizzarli su siti malevoli nella convinzione di scaricare o aprire i dei file con dei formati a loro noti.

Come fanno gli hacker a creare URL che sembrano legittime?

Rimane la domanda, “Come è possibile confondere una URL che sembra indirizzare ad un file con una che rimandi la navigazione ad una pagina web di un sito web fraudolento .zip o .mov?”.

Con un utilizzo combinato dei caratteri @ e dei caratteri Unicode U+2044 (⁄) e U+2215 (∕) che somigliano molto al carattere / questo è possibile.

L’operatore @ viene di solito utilizzato per indicare la fine della parte di stringa che contiene le informazioni relative all’utente, anche di autenticazione.

I browser, per questioni di sicurezza, considerano la porzione di stringa delle URL compresa tra https:// e il simbolo @ come informazioni utente e quindi non parte dell’indirizzo di destinazione e ignorano quella parte di stringa considerando tutto ciò che si trova dopo la @ come l’hostname di destinazione.

Tuttavia se nella URL viene inserito il carattere / prima dell’operatore @il browser considererà tutto ciò che / come path locale, considerando come host di destinazione la sola parte di stringa che precede il carattere /.

Utilizzando però i caratteri Unicode U+2044 (⁄) e U+2215 (∕) , che non vengono interpretati come operatori come il suddetto carattere / un attaccante può riuscire sia a mascherare all’utente il reale hostname di destinazione che a far sì che il browser torni a ignorare tutto ciò che è presente tra https:// e @.

Questo possibile path di attacco, già sfruttato da campagne di phishing, è stato scoperto e dimostrato da un ricercatore che ne ha provato il funzionamento portando come esempi i due link seguenti:

• Il link, lecito, ad un archivio compresso ad un repository su Github, cliccando sul quale effettivamente si scarica tale file, archivio compresso. https://github[.]com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271[.]zip

• Un link quasi identico a prima vista https://github[.]com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271[.]zip che, utilizzando la suddetta combinazione dei caratteri Unicode U+2044 (⁄) o U+2215 (∕) e @, apre invece un sito web su dominio .zip, v.1271[.]zip, che un potenziale  attaccante può aver registrato per effettuare phishing o diffondere malware.

Inoltre, nel forgiare le email di Phishing e renderle più convincenti, gli attaccanti tendono a ridurre al massimo le dimensioni del carattere per il simbolo @, rendendolo praticamente invisibile nel testo dell’email e individuabile solo al passaggio del mouse sul link.

Con questa ulteriore accortezza i due link nell’esempio risulterebbero praticamente indistinguibili a prima vista.

Come riconoscere tentativi di Phishing su dominio .zip e .mov

I domini .zip e .mov danno quindi agli hacker delle opportunità in più per architettare campagne di Phishing in grado di confondere gli utenti.

Occorre prestare davvero molta attenzione alla URL prima di cliccare su un link.

In particolare, si consiglia di:

• Fare attenzione alle URL contenenti caratteri Unicode U+2044 (⁄) e U+2215 (∕) che somigliano molto al carattere /
• Fare attenzione alle URL contenenti operatori @ seguiti da file .zip
• Passare il mouse sopra l’URL prima di fare clic per vedere il percorso dell’URL espanso
• Adottare sempre tutte le dovute accortezze nel valutare la legittimità dell’email.