Google’ın interneti sekiz yeni üst düzey alan adıyla doldurmak için yaptığı son hamle, eklemelerden ikisinin insanları kötü niyetli bağlantılara tıklamaları için kandıran çevrimiçi dolandırıcılara bir nimet olabileceği endişelerine yol açıyor. Sıklıkla TLD (Top Level Domain) olarak kısaltılan ‘üst düzey alan adı’, bir alan adının en sağındaki bölümdür. İnternetin ilk günlerinde, belirli bir alan adının amacını, coğrafi bölgesini veya operatörünü sınıflandırmaya yardımcı oluyorlardı. Örneğin; ‘.com’ TLD ticari kuruluşlar tarafından işletilen sitelere karşılık gelirken, ‘.org’ kâr amacı gütmeyen kuruluşlar için, ‘.net’ internet veya ağ kuruluşları için, ‘.edu’ okullar ve üniversiteler için vb. kullanılıyordu. Birleşik Krallık için ‘.uk’, Nijerya için ‘.ng’ ve Fiji için ‘.fj’ gibi ülke kodları da vardır. En eski internet topluluklarından biri olan The WELL’e www.well.sf.ca.us adresinden ulaşılabilir.
O zamandan bu yana internet alan adlarını yöneten kuruluşlar binlerce yeni TLD’yi kullanıma sundu. DNS Kökü, IP adresleme ve diğer internet protokol kaynaklarını denetleyen ‘Internet Assigned Numbers Authority’ye göre, Google iki hafta önce internete sekiz yeni TLD ekleyerek toplam TLD sayısını 1.480’e çıkardı. Google’ın yeni TLD’lerinden ikisi ”.zip ve .mov” bazı güvenlik çevrelerinde tepkiye yol açtı. Google pazarlamacıları amaçlarının sırasıyla “bir şeyleri birbirine bağlamak ya da çok hızlı hareket etmek” ve “hareketli resimler ve sizi hareket ettiren her şeyi” tanımlamak olduğunu söylese de, bu son ekler zaten tamamen farklı bir şeyi tanımlamak için yaygın olarak kullanılıyor. Özellikle ‘.zip, zip’ olarak bilinen sıkıştırma formatını kullanan arşiv dosyalarında kullanılan bir uzantıdır. Bu arada ‘.mov’ formatı, genellikle Apple’ın QuickTime formatında oluşturulduklarında video dosyalarının sonunda görünür.
Birçok güvenlik uzmanı, bu iki TLD’nin e-postalarda, sosyal medyada ve başka yerlerde görüntülendiklerinde kafa karışıklığına neden olacağı konusunda uyarıyor. Bunun nedeni, birçok site ve yazılımın “gigahaber.com” veya “mastodon.social” gibi dizeleri otomatik olarak, tıklandığında kullanıcıyı ilgili alan adına yönlendiren bir URL’ye dönüştürmesidir. Endişe, ‘setup.zip’ veya ‘tatil.mov’ gibi bir dosyaya atıfta bulunan e-postaların ve sosyal medya paylaşımlarının otomatik olarak tıklanabilir bağlantılara dönüşmesi ve dolandırıcıların bu belirsizlikten faydalanmasıdır. Güvenlik firması Proofpoint’in tehdit algılama direktörü Randy Pargman bir e-postada, “Tehdit aktörleri, diğer insanlar tarafından dosya adlarına rastgele atıfta bulunmak için kullanılması muhtemel alan adlarını kolayca kaydedebilir,” diye yazdı. “Daha sonra, tehdit aktörünün başlatmak (ya da katılmak) zorunda bile olmadığı bu konuşmaları, insanları kötü amaçlı içeriğe tıklamaya ve indirmeye ikna etmek için kullanabilirler.”
Örneğin ‘photos.zip’ alan adının kontrolünü elinde bulunduran bir dolandırıcı, insanların on yıllardır süregelen bir dizi görseli bir zip dosyası içinde arşivleme ve daha sonra bunları bir e-postada veya sosyal medyada paylaşma alışkanlığından faydalanabilir. Google’ın hamlesinden önce olduğu gibi ‘photos.zip’i düz metin olarak işlemek yerine, birçok site ve uygulama artık bunları tıklanabilir bir alana dönüştürüyor. Tanıdığı birine ait bir fotoğraf arşivine eriştiğini düşünen bir kullanıcı, bunun yerine dolandırıcılar tarafından oluşturulmuş bir web sitesine yönlendirilebilir. Pargman, dolandırıcıların “sayfayı her ziyaret edişlerinde bir zip dosyası indirecek şekilde kolayca ayarlayabileceklerini ve zip dosyasına kötü amaçlı yazılım gibi istedikleri herhangi bir içeriği ekleyebileceklerini” söyledi.
Yeni oluşturulan birkaç site bu el çabukluğunun neye benzeyebileceğini gösteriyor. Bunlar arasında ‘setup.zip’ ve ‘gta5installer.zip’, genellikle yükleyici dosyaları için adlandırma kurallarına atıfta bulunan alan adlarını kullanıyor. Tehdit aktörlerinin bu tekniği bu kadar komik olmayan şekillerde kullandığını düşünmek zor değil. Pargman, “Tehdit aktörünün avantajı, potansiyel kurbanları bağlantıya tıklamaya ikna etmek için mesaj göndermelerine bile gerek olmamasıdır. Sadece alan adını kaydetmeleri, kötü amaçlı içerik sunmak için web sitesini kurmaları ve pasif bir şekilde insanların yanlışlıkla içeriklerine bağlantı oluşturmasını beklemeleri gerekiyordu,” diye yazdı. “Bağlantılar çok daha güvenilir görünüyor çünkü güvenilir bir göndericiden gelen mesajlar veya gönderiler bağlamında geliyorlar.” ifadelerini kullandı.