{"id":21361,"date":"2023-06-06T15:22:53","date_gmt":"2023-06-06T18:22:53","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21361"},"modified":"2023-06-06T15:22:53","modified_gmt":"2023-06-06T18:22:53","slug":"zip-mov-domain-extension-confusion","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/zip-mov-domain-extension-confusion\/21361\/","title":{"rendered":"Cuidado com dom\u00ednios .zip e .mov"},"content":{"rendered":"

Estamos acostumados com nomes de sites terminados em .com, .com.br, .org, .net e assim por diante. Nos \u00faltimos anos, surgiram novas extens\u00f5es de dom\u00ednio, como .aero, .club e outras. Esses s\u00e3o conhecidos como dom\u00ednios de primeiro n\u00edvel (em ingl\u00eas top-level domains ou TLDs), e a lista<\/a>,<\/a> j\u00e1 longa, recebe novos acr\u00e9scimos de vez em quando. O Google anunciou<\/a> em maio que mais oito dom\u00ednios estavam dispon\u00edveis, dois deles indistingu\u00edveis das extens\u00f5es de arquivo populares: .zip e .mov. A mudan\u00e7a foi recebida com cr\u00edticas de especialistas em TI e ciberseguran\u00e7a, pois garantem a confus\u00e3o, incentivam a bagun\u00e7a no manuseio de links e possibilitam novos padr\u00f5es de phishing.<\/p>\n

Como confundir .zip e .zip<\/h1>\n

Arquivos ZIP e MOV existem h\u00e1 d\u00e9cadas: .zip \u00e9 o padr\u00e3o de compacta\u00e7\u00e3o de documentos e .mov \u00e9 um dos formatos de v\u00eddeo mais populares. O Google est\u00e1 direcionando esses novos dom\u00ednios MOV e ZIP para t\u00e9cnicos, mas na verdade ambos est\u00e3o dispon\u00edveis para qualquer pessoa e para qualquer finalidade.<\/p>\n

Agora, apenas o contexto pode ajud\u00e1-lo a descobrir se um ZIP ou MOV \u00e9 um site ou um arquivo ao encontrar, digamos, update.zip<\/u>. No entanto, a aplica\u00e7\u00e3o em um cen\u00e1rio mais amplo \u00e9 algo que os humanos podem entender, mas n\u00e3o os computadores, ent\u00e3o uma refer\u00eancia como essa pode causar problemas em todos os tipos de aplicativos, como o Twitter:<\/p>\n

\"Um<\/a>

Um tu\u00edte que menciona os arquivos .zip and .mov.<\/p><\/div>\n

O tweet se refere claramente a arquivos, mas o Twitter transforma os nomes dos arquivos em links da web. Se algu\u00e9m registrar os dom\u00ednios test.zip e movie.mov, quem clicar nos links dos documentos pode ser v\u00edtima de algum tipo espec\u00edfico de esquema de phishing.<\/p>\n

Esta publica\u00e7\u00e3o<\/a> detalha como o uso do dom\u00ednio .zip, combinado com a substitui\u00e7\u00e3o de caracteres Unicode de apar\u00eancia semelhante pela barra (\/) no link, permite criar URLs de phishing excepcionalmente convincentes, dif\u00edceis de distinguir dos links leg\u00edtimos do GitHub.<\/p>\n

\"Jogo<\/a>

Jogo dos sete erros.<\/p><\/div>\n

O pesquisador de seguran\u00e7a mr.d0x encontrou outra maneira de explorar o dom\u00ednio .zip para phishing. A t\u00e9cnica que ele descreveu<\/a>,<\/a> apelidada de \u201carquivador de ficheiros no navegador\u201d, envolve o uso de sites que imitam a interface do utilit\u00e1rio de arquivamento. O usu\u00e1rio, acreditando estar abrindo um arquivo .zip, na verdade \u00e9 redirecionado para o site de mesmo nome e em vez de uma lista de arquivos ele v\u00ea URLs que podem levar a qualquer lugar. Por exemplo, eles podem ocultar um link para baixar um malware execut\u00e1vel ou levar a uma solicita\u00e7\u00e3o de credenciais de trabalho para acessar algum documento. O mesmo documento tamb\u00e9m descreve um mecanismo de entrega interessante usando o Windows File Explorer. Se o invasor conseguir convencer sua v\u00edtima a procurar um arquivo .zip inexistente, o File Explorer abrir\u00e1 automaticamente um site no dom\u00ednio de mesmo nome.<\/p>\n

A amea\u00e7a de phishing j\u00e1 \u00e9 real, com alguns sites de phishing .zip<\/a> que exploram o tema de atualiza\u00e7\u00e3o do Windows sendo detectados.<\/p>\n

N\u00e3o que esta seja a primeira vez que vimos confus\u00e3o semelhante a esta. Um dos dom\u00ednios originais, .com, tamb\u00e9m \u00e9 uma extens\u00e3o leg\u00edtima para execut\u00e1veis usados ativamente no MS-DOS (e vers\u00f5es mais antigas do Windows), enquanto a extens\u00e3o .sh usada para scripts Unix \u00e9 id\u00eantica ao TLD para o Territ\u00f3rio<\/a> Ultramarino Brit\u00e2nico de Santa Helena, Ascens\u00e3o e Trist\u00e3o da Cunha<\/a>.<\/a> Ainda assim, \u00e9 ZIP e MOV, que s\u00e3o populares entre o p\u00fablico n\u00e3o t\u00e3o segmentado, que t\u00eam o potencial de causar problemas para usu\u00e1rios e administradores de sistema. Mesmo que voc\u00ea esque\u00e7a o phishing por um momento, situa\u00e7\u00f5es como a descrita no tweet acima podem ocorrer em dezenas de aplicativos que processam texto e links de destaque automaticamente. Portanto, a qualquer momento, um texto que contenha um nome de arquivo pode se transformar em um texto que contenha um hiperlink para um site externo. Um esquema de phishing ou n\u00e3o, isso poderia, no m\u00ednimo, causar transtornos, se n\u00e3o confus\u00e3o. Visite financialstatement.zip<\/a> para entender mais.<\/p>\n

T Dicas para os usu\u00e1rios<\/h1>\n

O advento dos dom\u00ednios ZIP e MOV n\u00e3o levar\u00e1 a mudan\u00e7as dr\u00e1sticas no ecossistema de phishing e golpes online \u2014 apenas adicionar\u00e1 mais uma arma ao j\u00e1 vasto arsenal dos hackers. Portanto, nossas dicas anti<\/a>phishing habituais<\/a> p<\/a>ermanecem inalteradas: estude cuidadosamente todos os links antes de clicar; cuidado com anexos e URLs em e-mails n\u00e3o solicitados; n\u00e3o clique em links suspeitos; e certifique-se de usar a seguran\u00e7a adequada em todos os seus dispositivos<\/a>\u00a0\u2014 at\u00e9 mesmo em smartphones e Macs.<\/p>\n

Dicas para administradores<\/h1>\n

\u00c9 prov\u00e1vel que alguns usu\u00e1rios ignorem o conselho acima, portanto, dependendo de como sua organiza\u00e7\u00e3o opera, pode ser necess\u00e1rio configurar regras de seguran\u00e7a separadas para nomes de dom\u00ednio .zip e .mov. Poss\u00edveis medidas incluem verifica\u00e7\u00e3o de links mais rigorosa ou at\u00e9 mesmo bloquear completamente os usu\u00e1rios de visitar sites nesses dom\u00ednios em computadores corporativos. Isso n\u00e3o seria sem precedentes: o dom\u00ednio .bit<\/a> foi amplamente bloqueado e desapareceu gradualmente devido a uma enxurrada de links maliciosos em 2018\u20132019.<\/p>\n

A apar\u00eancia dos dom\u00ednios ZIP e MOV \u00e9 uma excelente ocasi\u00e3o para conduzir\u2014 ou repetir! \u2014<\/a>\u00a0<\/strong>treinamentos de seguran\u00e7a da informa\u00e7\u00e3o para colaboradores (com foco na detec\u00e7\u00e3o de phishing).<\/p>\n\n

Recomendamos que os administradores de TI testem todos os principais sistemas de neg\u00f3cios que processam links para ver como eles lidam com sites .zip e .mov e se o uso de arquivos ZIP \u00e9 acompanhado por quaisquer efeitos indesej\u00e1veis. Sistemas de correio, aplicativos corporativos de mensagens instant\u00e2neas e servi\u00e7os de compartilhamento de arquivos de funcion\u00e1rios devem ser monitorados especialmente de perto, pois \u00e9 onde a confus\u00e3o provavelmente reinar\u00e1. Recursos indesej\u00e1veis, como a cria\u00e7\u00e3o autom\u00e1tica de links com base em determinados padr\u00f5es de nome, podem ser desabilitados para ZIP e MOV ou de modo geral.<\/p>\n","protected":false},"excerpt":{"rendered":"

Os nomes de sites hospedados em dom\u00ednios ZIP e MOV s\u00e3o indistingu\u00edveis dos nomes de arquivos. Como isso afetar\u00e1 os sistemas de TI e o que os agentes de amea\u00e7as far\u00e3o?<\/p>\n","protected":false},"author":2722,"featured_media":21362,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[830,1810,1184,221,776,3009],"class_list":{"0":"post-21361","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-tips","11":"tag-dominios","12":"tag-hacks","13":"tag-phishing","14":"tag-riscos","15":"tag-treinamentos"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zip-mov-domain-extension-confusion\/21361\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zip-mov-domain-extension-confusion\/25696\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/21118\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/28351\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zip-mov-domain-extension-confusion\/25996\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/26378\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zip-mov-domain-extension-confusion\/28866\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zip-mov-domain-extension-confusion\/35343\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/48254\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zip-mov-domain-extension-confusion\/20657\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zip-mov-domain-extension-confusion\/26304\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zip-mov-domain-extension-confusion\/32008\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zip-mov-domain-extension-confusion\/31694\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21361"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21361\/revisions"}],"predecessor-version":[{"id":21366,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21361\/revisions\/21366"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21362"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}