不少网路安全人员以及 IT 管理员对 Google 打算推出的顶级域名「.zip」和「.mov」感到担心，深怕骇客可能利用它们来进行网路钓鱼或传输恶意软体。

Google 在本（5）月稍早推出了 8 个新的顶级域名（top-level domain，简称 TDL），包括 .dad、.esq、.prof、.phd、.nexus、.foo 以及上述提及的 .zip 以及 .mov。在早期的 Internet 环境中，TDL 通常被用来分类网站用途，如网路使用者最熟悉的 .com 就对应有商业用途的网站、.org 则用於非营利组织、.edu 用於学校与大学、其他像是 .tw、.jp 等则用於国家。两周前，在 Google 新增了 8 个新 TDL 之後，全球 TDL 数量达到了 1,480 个。

而 .zip 与 .mov 之所以会在资安界引起强烈的反弹声浪，最主要原因在於这两个名称早已经被用来指称完全不同的东西，.zip 是压缩档的档名，.mov 则是影片文件的结尾，以 Apple 的 QuickTime 建立影档时即是 .mov 作为结尾，不管是 .zip 或 .mov 现今仍被网路使用者大量使用。

资安专家指出，这些域名可以被任何人随意注册，到时骇客甚至不必发送邮件或简讯引诱受害者点击连结，只需要注册域名、设置网站就能轻松提供恶意内容，然後再等待人们不小心下载到带有恶意软体的 zip 档案就可以了。.mov 的道理亦然，即使是具备一定电脑经验或网路知识的人也可能上当。

或者更让人担忧的是，有人可能在 email 或社交媒体平台（如 Twitter）中提到 setup.zip 或 vacation.mov 会被自动转成可点击的连结（骇客也会利用这种模糊性）。已经有资安人员注册了像是 setup.zip 以及 steamstaller.zip 来示警并教育网路使用者，这类域名可能被骇客用来做些什麽。（例如点进去 steamstaller.zip 就写着大大的「这不是 Steam」。）

但像是 microsoft-office[.]zip 这一网站就已经被用来作钓鱼攻击，恶意攻击者在该网站中试图窃取使用者微软帐号的凭证。

Google 怎麽说？

Google 在一份声明中为 .zip 和 .mov 进行了辩护，称 Google 将会监控 .zip 和其他 TLD 的使用情况，以防止它们构成任何新威胁，并指出这些风险皆为可控。尽管资安人员认为 .zip 和 .mov 这两个新网域一定会产生新的攻击媒介与攻击方式。

截至周四，已经有 2,753 个以 .zip 为结尾的域名，系统网路安全协会（SANS）网路安全研究所研究主任约翰内斯·乌尔里希（Johannes Ullrich）确定其中有 2 个很可疑，代表它们可能是恶意的。一个是 fermwartung[.]zip 这个网址，虽然它指向看起来合法的公司网站，却会自动下载一个档案，该档案已被资安公司标记为恶意软体。

研究人员还发现其中有 48 个网域是导向 Rick Astley 的歌曲 Never Gonna Give You Up，这也是网路常见的瑞克摇（rickrolling）恶作剧。其他的网域要不是 parked 状态（意味着已经被保留但尚未设置网页）不然就是产生错误。

有些人认为「事情没那麽糟」

现在关於这两个域名仍在资安专家与 IT 人员之间争论不休，有些人认为这些担心并没有太大必要。例如微软 Edge 开发者 Eric Lawrence 就认为这些担心太过度，甚至形容其恐慌程度「简直可笑」。

另外，也有人提出先前也有类似的 TLD，例如 .docs。或者也有人指出，许多 TLD 其实不会被程式自动转换，通常需要将 https:// 新增到开头才能点击。（只是 Twitter 例外就是了）

只能说今後大家需要做的事情和过去不会有太多不同：不要点击来路不明的连结，或者从不信任的网站下载档案，今後看到 .zip、.mov 的连结时，如果不确定它是否安全，那就不要点击它。 

参考资料：arstechnica、theregister、techradar、XDA

核稿编辑：Chris