近期，谷歌發(fā)布了幾個(gè)新的頂級(jí)域名，這些新域名包括.dad、.esq、.prof、.phd、.nexus、.foo、.mov以及本文我們將要提到的.zip域名。自發(fā)布以來(lái)，多個(gè)安全社區(qū)都開(kāi)始討論這些頂級(jí)域名所帶來(lái)的影響，主要原因是.zip很容易被誤認(rèn)為是文件擴(kuò)展名，被不法分子用來(lái)建設(shè)釣魚(yú)網(wǎng)站，造成難以控制的安全風(fēng)險(xiǎn)。

目前已經(jīng)有在線平臺(tái)和應(yīng)用程序會(huì)將包含.zip文件名自動(dòng)轉(zhuǎn)換為URL，當(dāng)人們看到此類URL時(shí)，通常會(huì)認(rèn)為該URL可以用來(lái)下載對(duì)應(yīng)的文件，并可能點(diǎn)擊該鏈接。

如果攻擊者注冊(cè)與文件名同名的.zip域名，則用戶可能就會(huì)被誘導(dǎo)至非法網(wǎng)站或下載惡意軟件，導(dǎo)致個(gè)人信息和財(cái)產(chǎn)受到損失。

.zip域名的開(kāi)放在安全領(lǐng)域引發(fā)了巨大爭(zhēng)議，一些人認(rèn)為.zip的風(fēng)險(xiǎn)被夸大，沒(méi)有必要過(guò)分擔(dān)憂，谷歌則表示文件和域名之間的混淆風(fēng)險(xiǎn)并不罕見(jiàn)，可通過(guò)瀏覽器的安全策略，保護(hù)用戶免受濫用威脅。但更多的人仍然認(rèn)為.zip域名的開(kāi)放為攻擊者制造釣魚(yú)網(wǎng)站提供了便利，為互聯(lián)網(wǎng)帶來(lái)了不必要的風(fēng)險(xiǎn)。

無(wú)論如何，.zip域名的開(kāi)放為互聯(lián)網(wǎng)增加了很多不確定的安全因素，無(wú)論機(jī)構(gòu)還是個(gè)人都應(yīng)該予以高度重視，采取措施應(yīng)對(duì)可能的安全問(wèn)題。

一、機(jī)構(gòu)

1.安裝SSL證書(shū)

SSL證書(shū)是提升網(wǎng)站安全和形象的最佳手段之一。安裝SSL證書(shū)能夠?qū)W(wǎng)站傳輸數(shù)據(jù)進(jìn)行加密處理，防止用戶數(shù)據(jù)被中間人監(jiān)聽(tīng)、竊取和篡改。同時(shí)安裝SSL證書(shū)還需要對(duì)申請(qǐng)機(jī)構(gòu)進(jìn)行審核，確保了網(wǎng)站身份的真實(shí)性，杜絕了釣魚(yú)網(wǎng)站的可能，安裝成功后會(huì)顯示鎖型標(biāo)識(shí)和綠色地址欄，提升用戶對(duì)網(wǎng)站的信任度和轉(zhuǎn)化率，降低有歧義域名可能造成的影響與損失。

2.采用云解析DNS

云解析DNS通過(guò)DNS安全擴(kuò)展系協(xié)議（DNSSEC），可以對(duì)網(wǎng)站的DNS記錄進(jìn)行數(shù)字簽名，確保DNS應(yīng)答報(bào)文的真實(shí)性和完整性，杜絕攻擊者通過(guò)DNS緩存投毒以及其他方式的篡改，將訪客劫持到受攻擊者控制的非法網(wǎng)站，提高用戶對(duì)網(wǎng)站的信任，降低釣魚(yú)網(wǎng)站造成的影響。

3.網(wǎng)站安全監(jiān)控

中科三方云監(jiān)控能夠?qū)W(wǎng)站進(jìn)行實(shí)時(shí)的基礎(chǔ)監(jiān)控、內(nèi)容監(jiān)控和安全監(jiān)控，能夠?qū)W(wǎng)站中可能存在的錯(cuò)鏈、暗鏈進(jìn)行全面細(xì)致的掃描檢測(cè)，有效避免攻擊者通過(guò)偽裝鏈接進(jìn)行釣魚(yú)攻擊的可能，如在本次事件中攻擊者將.zip或.mov的鏈接偽裝成文件下載的行為可以被云監(jiān)控精準(zhǔn)識(shí)別，并及時(shí)發(fā)起風(fēng)險(xiǎn)告警和監(jiān)測(cè)報(bào)告，降低釣魚(yú)事件發(fā)生的可能。

二、個(gè)人

1.提高安全意識(shí)

提高安全意識(shí)是應(yīng)對(duì)釣魚(yú)攻擊的最好手段，在瀏覽網(wǎng)站或聊天通話時(shí)，不要隨意點(diǎn)擊不明鏈接，不要隨意下載未知來(lái)源的文件。

2.安裝防火墻

防火墻能夠在計(jì)算機(jī)和攻擊者之間構(gòu)建一道屏障，降低被黑客侵入攻擊的風(fēng)險(xiǎn)，是防止外部攻擊的有效方法。

3.不要泄露個(gè)人信息

除非100%確認(rèn)訪問(wèn)網(wǎng)站的真實(shí)性和安全性，否則不要隨意泄露個(gè)人的重要信息，如銀行卡號(hào)、身份證號(hào)、手機(jī)號(hào)等。

4.查看安全證書(shū)

查看網(wǎng)站是否安裝SSL證書(shū)，是否已采用https協(xié)議，SSL證書(shū)會(huì)對(duì)網(wǎng)站身份信息進(jìn)行核驗(yàn)，如果沒(méi)有安裝證書(shū)，盡量不要泄露重要信息或下載文件。

除了企業(yè)和個(gè)人加強(qiáng)安全防范措施外，域名管理和注冊(cè)機(jī)構(gòu)也要加強(qiáng)對(duì).zip以及其他類似域名的注冊(cè)審核，限制對(duì)惡意域名的注冊(cè)，防止攻擊者利用惡意域名發(fā)動(dòng)攻擊?？傊?，.zip域名的開(kāi)放提升了域名的多樣性和靈活性，但伴隨而生的是一些潛在的安全風(fēng)險(xiǎn)與問(wèn)題，這就需要域名管理注冊(cè)機(jī)構(gòu)、企業(yè)和個(gè)人多方共同努力，提高網(wǎng)絡(luò)安全意識(shí)，強(qiáng)化技術(shù)防范與監(jiān)督，才能充分利用新域名優(yōu)勢(shì)，規(guī)避潛在風(fēng)險(xiǎn)。