Seit Mai 2023 können Domains mit der Endung .zip registriert werden – und Cyberkriminelle haben die Möglichkeiten dieser neuen Top-Level-Domain sofort erkannt. Was dahintersteckt, warum die IT-Sicherheitsbranche alarmiert ist und wie Sie sich schützen können.
Was sind Google ZIP Top Level Domains – und warum sind sie problematisch?
Am 3. Mai 2023 kündigte Google Registry acht neue Top-Level-Domains (TLDs) an: .dad, .phd, .prof, .esq, .foo, .zip, .mov und .nexus. Besonders .zip und .mov sorgten in der IT-Sicherheitsbranche für Stirnrunzeln – denn beide sind identisch mit weit verbreiteten Dateiendungen.
Zur Einordnung:
- TLDs sind die Buchstaben nach dem letzten Punkt einer Internetadresse – wie bei example.com oder künftig example.zip
- Dateierweiterungen sind die Buchstaben nach dem Punkt eines Dateinamens – wie bei dokument.zip oder video.mov
Das Problem: Domänennamen und Dateinamen sind grundlegend verschiedene Dinge – spielen aber beide eine zentrale Rolle bei modernen Cyberangriffen. Ihre Verwechslung ist genau das, worauf Angreifer setzen.
„Wenn Millionen Augenpaare gleichzeitig rollten, war das die ehrlichste Reaktion der Sicherheitsbranche auf eine Entscheidung, die niemand gebraucht hat."
Warum Cyberkriminelle ZIP-Dateien lieben – und wie .zip-Domains das verschlimmern
ZIP-Dateien sind seit Jahren ein bevorzugtes Werkzeug in der Cyberkriminalität. Als erster Schritt in einer Angriffskette können sie direkt Schadsoftware enthalten – oder auf weitere bösartige Dateien verweisen, die ihrerseits auf weiteren Schadcode verlinken. Der Kern jedes solchen Angriffs ist Irreführung: Benutzer und Sicherheitssoftware sollen verwirrt und in die Irre geführt werden.
Ein klassischer Trick ist die Verwendung doppelter Dateiendungen – etwa datei.zip.exe. Die erste Endung (.zip) täuscht Vertrauen vor, die zweite (.exe) ist die tatsächlich gefährliche ausführbare Datei. Windows blendet die zweite Endung standardmäßig sogar aus – und erleichtert so ungewollt die Täuschung.
Mit der Einführung von .zip-Domains kommt nun eine neue Dimension hinzu: URLs, die wie Dateinamen aussehen.
Ein Beispiel, das alles erklärt
Sicherheitsforscher Bobby Rauch hat in seinem Artikel The Dangers of Google's .zip TLD ein eindrückliches Beispiel geliefert. Welche der folgenden URLs ist ein bösartiger Phishing-Link, der evil.exe herunterlädt?
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
Es ist die untere.
Die obere öffnet eine legitime ZIP-Datei von github.com. Die untere führt zur Domain v1.27.1.zip – und löst in diesem Beispiel den Download von Schadsoftware aus. Der Unterschied ist in der URL kaum zu erkennen – selbst wenn man weiß, dass man nach etwas Verdächtigem sucht.
„URLs waren schon vor .zip-Domains schwer zu lesen. Das ist keine Entschuldigung – aber ein Grund mehr, technische Schutzmaßnahmen nicht durch menschliche Aufmerksamkeit ersetzen zu wollen."
Wie Kriminelle .zip-Domains konkret einsetzen
Neben der direkten URL-Täuschung nutzen Angreifer weitere Methoden:
- Offene Weiterleitungen: Bösartige URLs werden so verschleiert, dass sie wie Links zu seriösen Seiten wie Google oder Twitter wirken
- Vertraute Begriffe im Link: Wörter wie „PayPal" oder bekannte Markennamen werden in die URL eingebaut – in der Hoffnung, dass Nutzer diesen Teil bemerken und den Rest ignorieren
- Domains, die ZIP-Dateinamen imitieren: Durch die neue .zip-TLD können Angreifer Adressen registrieren, die täuschend echten Dateidownload-Links ähneln
Wie Sie sich vor .zip-Domain-Angriffen schützen können
Technisches Bewusstsein ist wichtig – reicht aber allein nicht aus. Menschliche Aufmerksamkeit ist fehleranfällig, besonders bei URLs, die gezielt zur Täuschung konstruiert wurden. Technische Schutzmaßnahmen sind daher unverzichtbar.
ITcares Managed Cloud Firewall
Der ITcares Managed Cloud Firewall Service blockiert bösartigen Datenverkehr – einschließlich Angriffen über .zip-Domains – bevor er Ihre Systeme erreicht. Anders als klassische Hardware-Firewalls ist die Lösung vollständig cloudbasiert:
- Kein Hardware-Aufwand vor Ort – keine Appliances, keine lokale Software
- Schutz für jeden Nutzer, von jedem Gerät und Standort aus
- Skalierbar mit den Anforderungen Ihres Unternehmens
- Security-as-a-Service: Ihr Schutz wächst mit Ihrem Unternehmen mit
ITcares Managed E-Mail Security
Ergänzend schützt der ITcares Managed E-Mail Security Service Ihre Kommunikationskanäle durch:
- Mehrere aufeinander abgestimmte E-Mail-Virenscanner
- Anbindung an führende Phishing-Datenquellen
- Anti-Spam-Engine mit Spoofing-Schutz
- Sandboxing zur Analyse verdächtiger Anhänge
- Bedrohungsabwehr nach dem „Best of Breed"-Prinzip
„Kein Benutzer sollte allein für die Erkennung bösartiger URLs verantwortlich sein – das ist die Aufgabe professioneller Sicherheitstechnologie."
Fazit: Eine unnötige Bedrohung – mit einer klaren Antwort
Google hat mit der Einführung der .zip-TLD ein Sicherheitsrisiko geschaffen, das keinen erkennbaren Mehrwert bietet – dafür aber Cyberkriminellen ein neues Werkzeug in die Hand gibt. Zum Zeitpunkt der Veröffentlichung waren bereits fast 4.000 .zip-Domains registriert, darunter zahlreiche mit eindeutig bösartigem Potenzial.
Die Antwort darauf ist keine erhöhte Wachsamkeit der Mitarbeiter allein – sondern technischer Schutz auf dem aktuellen Stand der Bedrohungslage.
Sprechen Sie ITcares unverbindlich an – wir zeigen Ihnen, wie Managed Cloud Firewall und Managed E-Mail Security Ihr Unternehmen zuverlässig vor dieser und anderen aktuellen Bedrohungen schützen.
