في 3 أيار/ مايو الحالي، أعلنت “Google Registry” عن مشروع من شركة “جوجل” لإدارة وتوسيع مجال الإنترنت عن ثمانية نطاقات جديدة، وهي “.dad” و”.phd” و”.prof” و”.esq” و”.foo” و”.zip” و”.mov” و”.nexus”، لكن هذه النطاقات لم تلفت النظر بخلاف النطاقين”.zip” و”.mov” التي أحدثت جلبة كبيرة في الأوساط الأمنية؛ بسبب تشابهها الواضح مع امتدادات الملفات “.zip” و”.mov” المشهورة والمستخدمة منذ فترة طويلة.

نطاقات المستوى الأعلى (TLD)، هي الحروف التي تأتي بعد النقطة في نهاية اسم النطاق على شبكة الإنترنت، مثل “example.com” و”example.org” و”example.zip.”، وامتدادات الملفات هي الحروف التي تأتي بعد النقطة في نهاية اسم الملف، مثل “example.docx” و “example.ppt” و”example.zip”

أسماء النطاقات وأسماء الملفات ليست متشابهة على الإطلاق، ولكن كلاهما يلعب دورا مهمّا في الهجمات السيبرانية الحديثة، وتحديد هويّتهما بشكل صحيح كان جزءا من العديد من التقارير الأمنية الأساسية لفترة طويلة.

نطاقات المستوى الأعلى يفترض أن تكون علامة تشير إلى نوع الموقع الذي تزوره، على سبيل المثال النطاق “.com” يشير إلى موقع تجاري، والنطاق “.org” للمنظمات غير الربحية، وهما موجودان منذ عام 1985، أما النطاق “.zip” يشير إلى أن الموقع “سريع” أو “سريع التنفيذ” كما تعتزم “جوجل”.

إذا، ما هي أسباب التخوف والقلق من قبل شركات وباحثي الأمن السيبراني مع هذا النطاق، دعونا نكتشف ذلك معا.

أين تقع المشكلة في “Zip”؟

منذ إصدار النطاقات الجديدة، وهناك جدل كبير حول ما إذا كانت هذه الخطوة خاطئة وهل من الممكن أن تشكل خطرا أمنيا على المستخدمين.

بينما يعتقد بعض الخبراء أن المخاوف مبالغ فيها، فإن القلق الرئيسي يتمثل في أن بعض المواقع ستحوّل سلسلة تنتهي بـ “Zip” مثل “Setup.zip” إلى رابط يمكن النقر عليه، ويمكن استخدامه لتسليم البرامج الضارة أو هجمات التصيّد الاحتيالي.

على سبيل المثال، إذا أرسلت إلى شخص ما تعليمات حول تنزيل ملف يسمى “Setup.zip”، فإن “تويتر” مثلا سيحوّل تلقائيا “Setup.zip” إلى رابط، مما يجعل الأشخاص يعتقدون أنه يجب عليهم النقر عليه لتنزيل الملف، ولدى النقر على ذلك الرابط، سيحاول المتصفح الخاص بك فتح موقع (https://setup.zip)، والذي قد يعيد توجيهك إلى موقع آخر، أو يعرض صفحة “HTML”، أو يطلب منك تنزيل ملف.

أرشيف الملفات في المتصفح

الباحث الأمني السيد دوكس قام بتطوير مجموعة أدوات للتصيّد الاحتيالي التي تتيح إنشاء نسخ وهمية لبرنامج “WinRAR” داخل المتصفح ومستكشف الملفات تُعرض على نطاقات “.zip” لخداع المستخدمين وجعلهم يعتقدون أنهم يفتحون ملف “.Zip”.

وفقا لمقالة جديدة نشرها الباحث، “باستخدام هجوم التصيّد الاحتيالي هذا، تحاكي برنامجًا لضغط الملفات (مثل WinRAR) في المتصفح وتستخدم نطاق(.zip) لجعلها تبدو أكثر مصداقية”.

خلال عرض توضيحي تم مشاركته مع موقع “BleepingComputer”، تم توضيح كيفية استخدام مجموعة الأدوات لتضمين نافذة وهمية لـ “WinRAR”مباشرة في المتصفح لدى فتح نطاق “.zip”، مما يجعل المستخدم يعتقد أنه قام بفتح ملف مضغوط بلاحقة “ZIP” وأنه الآن يرى الملفات الموجودة فيه.

لجعل النافذة الوهمية لـ “WinRAR” تبدو أكثر مصداقية، قام الباحثون بتنفيذ زر وهمي لفحص الأمان، حيث تظهر رسالة بعد النقر عليه تفيد بأن الملفات تم فحصها، ولم يتم اكتشاف أي تهديدات.

رغم أن مجموعة الأدوات لا تزال تعرض شريط عنوان المتصفح، فإنها لا تزال قادرة أيضا على خداع بعض المستخدمين وجعلهم يعتقدون أنها برنامج “WinRAR” شرعي؛ وعلاوة على ذلك، يمكن استخدام “CSS” و “HTML” لتحسين مجموعة الأدوات بشكل أفضل.

استغلال أدوات التّصيد

السيد دوكس يوضح أنه يمكن استخدام مجموعة أدوات التصيّد الاحتيالي هذه لسرقة بيانات اعتماد المستخدم وتسليم البرامج الضارة؛ على سبيل المثال، إذا قام المستخدم بالنقر المزدوج على ملف “PDF” في نافذة “WinRAR” الوهمية، فقد يتم إعادة توجيه الزائر إلى صفحة أخرى تطلب بيانات تسجيل الدخول لعرض الملف بشكل صحيح.

يمكن أيضا استخدام مجموعة الأدوات لتسليم البرامج الضارة من خلال عرض ملف “PDF” يقوم بتنزيل ملف تنفيذي “.exe” يحمل الاسم نفسه عند النقر عليه؛ مثلا، يمكن لنافذة الأرشيف الوهمية أن تعرض ملف “document.pdf”، ولكن عند النقر عليه، يقوم المتصفح بتنزيل “document.pdf.exe.”، ونظرا لأن نظام التشغيل “ويندوز” لا يعرض امتدادات الملفات على نحو افتراضي، فإن المستخدم سيرى ملف “PDF” فقط في مجلد التنزيلات، وقد يقوم بالنقر المزدوج عليه، دون أن يدرك أنه ملف تنفيذي.

من المثير للاهتمام بشكل خاص هو كيف يبحث نظام “ويندوز” عن الملفات، وعندما لا يتم العثور عليها، حيث يحاول فتح سلسلة البحث عنها في المتصفح، وإذا كانت تلك السلسلة هي نطاق شرعي، فسيتم فتح موقع الويب.

إذا قام شخص ما بحجز نطاق “.zip” يحمل نفس اسم ملف شائع ومتداول الاستخدام، وقام شخص ما بالبحث في “ويندوز” عن اسم هذا الملف، فسيقوم نظام التشغيل تلقائيا بفتح الموقع في المتصفح.

في حال، استضاف هذا الموقع مجموعة الأدوات للتصيّد الاحتيالي، فقد يخدع المستخدم ويجعله يعتقد أنه برنامج “WinRAR” يعرض أرشيف “Zip” مضغوط فعليا.

هذه التقنية توضح كيف يمكن استغلال نطاقات “.zip” لإنشاء هجمات تصيّد احتيالية ذكية وتسليم برامج ضارة أو سرقة بيانات اعتماد المستخدم.

تحقيق التوازن

في الختام، يتضح أن استخدام نطاقات “.zip” في عالم الإنترنت قد أثار مخاوف أمنية وجدلا واسعا، حيث يُعد هذا الأمر تحديا في تحقيق التوازن بين سهولة الوصول إلى المواقع وحماية المستخدمين من التهديدات السيبرانية.

لا بد أن تكون الشركات والمستخدمين على دراية بالمخاطر المحتملة، وأن يتّبعوا أفضل الممارسات فيما يتعلق بأمان الإنترنت؛ علاوة على ذلك، يتطلب الأمر تعزيز التوعية والتدريب للتعرف على التهديدات والحفاظ على سلامة البيانات الشخصية والمعلومات الحساسة، واتباع ممارسات الأمان الأساسية مثل عدم فتح الملفات أو الروابط المشبوهة.