Neue .zip-Domain wird bereits von Cyberkriminellen missbraucht

Das ZIP-Dateiformat zur Datenkompression dürfte praktisch allen bekannt sein. Dass .zip seit Mai 2023 ebenso eine Top-Level-Domain (TLD) ist, dürfte weniger bekannt sein. Es gibt also neu Websites, die www.prin.zip oder anders lauten können. Die .zip-TLD wurde bereits 2014 genehmigt, doch Google hat sie erst am 3. Mai 2023 für die öffentliche Registrierung freigeschaltet. Wie aus der Pressemitteilung zu vernehmen, sind an diesem Tag auch sieben weitere Domains dazugekommen. Beispielsweise die .dad-Domain.

Stand 12. Mai sind laut Internet Storm Center (ISC) bereits 1230 neue .zip-Domains registriert. Davon zeigen die meisten noch keinen Webinhalt. Neben der neuen .zip-TLD gibt es auch etliche andere, die seit rund zehn Jahren Einzug halten und speziell sind. Es handelt sich dabei um sogenannte generische Top-Level-Domains (gTLD), die es etwa verschiedenen Marken ermöglichen, ihren Namen als Domain zu nutzen. Beispielsweise die Verwendung von .google anstelle von google.com. Wer eine gTLD erstellen lassen möchte, muss schon vorab für die Bewerbung Geld springen lassen und erhält keine Garantie, dass diese auch umgesetzt wird. Trotzdem gibt es bereits Dutzende gTLD. Darunter neu auch die .zip-Domain, die pro Stück rund 15 US-Dollar im Jahr kostet.

Einige .zip-Domains werden schon jetzt aktiv ausgenutzt und enthalten Phishing-Inhalte – wie die oben zu sehende gefälschte, nachgebaute Login-Seite. Sie täuscht vor, von Microsoft zu sein und versucht, dir dein Passwort abzuluchsen. Neben microsoft-office (.) zip wurde unter anderem auch bereits die Domain officeupdate (.) zip registriert.

Natürlich sind Anbieter von Sicherheitslösungen nicht untätig und sperren die bereits bekannten Websites der Cyberkriminellen. Was sich daraus ergibt, ist ein Katz-und-Maus-Spiel zwischen neu aufpoppenden Gefahren und der Erkennung dieser als solche.

Dass es Phishing und andere Bosheiten auf die Internetgemeinde abgesehen haben, ist an sich die Normalität. Allerdings ergibt sich durch die Gaunerei in Kombination mit .zip ein höheres Potenzial, kriminell erfolgreich zu sein.

Wenn du einen tollen Office-Trick in einer Anleitung liest, und eine dazugehörige Datei Office-Patch.zip inline verlinkt wird, solltest du sowieso Vorsicht walten lassen. Die Datei könnte eine Schweinerei, einen Trojaner oder andere Malware enthalten. Also den Link mit der ZIP-Datei nur anklicken, wenn du dem Ersteller des Webinhaltes sowie dem File Hoster vertraust. Doch nun kommt dazu, dass eine verlinkte ZIP-Datei und der Link einer .zip-Domain ähnlich aussehen. Also www.office-trick (.) com/microsoft-office.zip und www.microsoft-office (.) zip.

Um gegen das neue Problem vorzugehen, weist Johannes B. Ullrich, Ph.D., Forschungsdekan des ISC, darauf hin, dass es «angesichts der geringen 'realen' Nutzung von .zip-Domains möglicherweise am besten ist, den Zugriff darauf zu blockieren, bis klar ist, ob diese nützlich sind». Die Lösung, dass Admins erstmal sämtliche Domains sperren, ist zwar radikal, aber angesichts der drohenden Gefahr bestimmt keine schlechte Idee. Abgesehen davon bleibt nur eines: Augen auf und Hirn an!