URLは常に脅威アクターにとって最適な隠れ家である
URLは常に脅威アクターにとって絶好の隠れ場所でした
By Jonathan Munshaw Thursday, June 15, 2023 14:06
Threat Source ニュースレター
今週のThreat Source ニュースレターへようこそ。
- Talosの最近のブログ投稿は、新しくリリースされた".zip"というトップレベルドメイン(TLD)がもたらす危険性について詳述しています。脅威アクターは実際のURLを作成してファイル名のように見せ、ユーザーがリンクをクリックするように仕向けることができます。
- .Zipやファイル名の拡張子と文字を共有する他のTLDは、偶発的な情報漏洩の可能性を拓きます。
- しかし、これらは初めてユーザーに問題を提起するTLDではありません、特にインターネットが意図した通りに機能するための用語について詳しく知らないユーザーにとっては。 同じ日に.zipが全てのユーザーが登録可能なTLDとしてリリースされたとき、インターネット割り当て名簿管理(ICANN)は.movもTLDとして利用可能にしました。
- 例えば、"WeddingVideo.mov"というファイルを見て、それが正当な家族から来たものだと仮定する人を考えてみてください。
- (余談ですが、.dadもこのバッチでリリースされたTLDなので、私は非常にjon.dadを所有したいと思っています。) しかし、攻撃者は長い間、狡猾なURLを使用して被害者を誘い込んできました。我々は、タイポスクワットドメインがサイバー攻撃でどのように使用されるかについて何度も書いてきました。
- これは、攻撃者が正当なURL(例えばtwitter.com)を取り、それをわずかに変更して本物に見えるようにする(例えば、tvitter[.]comやtwltter[.]com)ケースです。
- そして、URLをブラウザウィンドウに打ち込むだけを超えたDNSのわずかな誤設定が情報の漏洩やフィッシングの誘いにつながるさまざまな方法があります。 常に存在する.comも、アクターが正当に見える名前を作るのに利用されています。