Die erst im Mai 2023 gestartete Top Level Domain .zip zieht Cyberkriminelle magisch an: nach Einschätzung von Sicherheitsexperten bietet die Endung »kreative Möglichkeiten« zur Verbreitung von Malware.
Im März 2023 hatte die Google-Tochter Charleston Road Registry Inc. bekanntgeben, dass ein nTLD-Achterpack bestehend aus .esq, .foo, .dad, .nexus, .mov, .phd, .prof und .zip im Mai 2023 seinen Marktstart feiert. Für Registrierungen unter .zip warb Google wie folgt:
Das Web bewegt sich mit hoher Geschwindigkeit, also zeigen Sie es auch mit einer .zip-Domain. Wenn Sie Dienstleistungen anbieten, bei denen Geschwindigkeit von entscheidender Bedeutung ist, zeigt eine .zip-URL Ihrem Publikum, dass Sie schnell, effizient und einsatzbereit sind.
Doch trotz aller Geschwindigkeitsvorteile waren sowohl .zip als auch .mov kritisch beäugt worden, da beide nTLDs beliebten Datei-Endungen entsprechen; .zip steht schon seit vielen Jahren für ein Format für verlustfrei komprimierte Dateien. Da viele Programme Domain-Namen automatisch in klickbare Links umwandeln, lässt sich aber dem Link zu beispiel,zip daher nicht auf den ersten Blick ansehen, ob es sich um eine Internetadresse oder einen Dateinamen handelt. Ein unbedachter Klick, und schon könnten sich selbst erfahrene Nutzer Malware auf den eigenen Rechner laden.
Bestätigt haben sich die Bedenken bei einem Blick auf die ersten registrierten Domains. Darunter finden sich Adressen wie microsoft,zip, microsoft-windows-update,zip, microsoftteams,zip, microsoftedgesetup,zip, microsoftinstaller,zip, chromeupdatex64,zip, browser-update,zip, firefoxinstaller,zip, driver-update,zip, updatediscord,zip, urgent-update,zip, zoom-installer,zip und winrar-installer,zip. In einem Blog-Post bei medium.com weist ein Nutzer darauf hin, dass eine bekannte Schwachstelle im Chrome-Browser ebenfalls missbraucht werden könnte: dabei wird beispielhaft die Adresse »http://newsletter.domain-recht.de/gu/3/0-5EOASPII-5EOASPIC-CRK10UD.html.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip zu v1271,zip« genannt, weil der Teil vor dem @-Zeichen als Nutzerinformation behandelt wird. Der Aufruf des Links könnte dann dazu führen, dass eine bösartige .exe-Datei startet. Bei aktuell rund 12.500 registrierten .zip-Domains scheint das Risiko bisher gering, doch die Registrierung hat gerade erst begonnen.
In einer ersten Reaktion sind einige Nutzer dazu übergegangen, für Cyberkriminelle potentiell attraktive Domains wie zum Beispiel bank-statement,zip und financialstatement,zip selbst zu registrieren und dort Warnmeldungen zu schalten, teilweise in drastischen Worten:
There is only one correct solution to this. It’s to completely remove any and all of these egregious filename extension TLDs with no questions asked, and punish the people who pushed for this.
Zudem kursiert die Empfehlungen, die Endung .zip in Unternehmensnetzwerken pauschal zu blockieren, bis verlässliche Informationen zu den individuellen Risiken vorlegen. Google selbst teilt mit, dass man bereits Mechanismen implementiert habe, um verdächtige Domains zu suspendieren oder zu entfernen – und zwar über alle unternehmenseigenen Top Level Domains.