Nye toppdomener på nettet: Vil .zip og .mov åpne for mer phishing?
Sikkerhetseksperter strides om Googles nye toppnivådomener: Ikke grunn til bekymring, mener noen – andre tror nettkriminelle har fått en ny sluk til phishing-stanga. Her er ukens viktigste tech-nyheter.
Har du hørt forkortelsen «TLD» før? Det står for «top-level domains» (toppnivådomener, på godt norsk), altså det som tradisjonelt kommer bak andre punktum i et domenenavn på internett. Du vet – .com, .no, .org og så videre.
Du har kanskje fått med deg (og vi nevnte det så vidt forrige uke) at det stormer litt rundt TLD-er om dagen. Det skyldes at Google nylig kunngjorde at de har opprettet åtte nye toppnivådomener som det nå er mulig å legge beslag på. Blant de nye TLD-ene er det noen relativt streite (.phd, .prof), et par litt «nerdete» (.nexus, .foo) og .dad … som er ganske corny.
Men det er særlig to TLD-er som får folk til å reagere: .zip og .mov. Disse kjenner du nok igjen – som formater for henholdsvis filkomprimering og -arkivering, og videofiler? Men det er ikke av opphavsrettslige grunner at disse skaper kontroverser. Det er av sikkerhetshensyn.
Nytt verktøy for kriminelle?
Se for deg at du får en e-post fra et familiemedlem eller en kollega med en klikkbar lenke til «photos.zip» eller «sommerferie2023.mov».
Men i stedet for at du laster ned en zip-fil med assorterte mobilbilder eller en video fra sommeridyllen på hytta, blir du tatt til en falsk nettside der du står i fare for å bli svindlet.
Sikkerhetsaktører frykter nemlig at digitale trusselaktører vil kjøpe opp og bruke domener under disse TLD-ene i phishing og andre dataangrep, skriver Wired. Ifølge nettsikkerhetsselskapet Netcraft er det allerede registrert flere tusen domener – hvor en stor andel later til å være lumske.
Ars Technica skriver at det også er en fare for at e-posttjenester eller apper kan gjøre «feilkoblinger». I stedet for at arbeidsflytplattformen dere bruker på jobb kobler «rapport2023.zip» med filen du har lastet opp, sender den klikkeren videre til et falskt nettsted som en trusselaktør allerede har opprettet.
– Fordelen for trusselaktøren er at de ikke engang trengte å sende meldingene for å lokke potensielle ofre til å klikke på lenken – de måtte bare registrere domenet, sette opp nettstedet med skadelig innhold og passivt vente på at folk ved et uhell oppretter lenker til innholdet deres, sier Randy Pargman i sikkerhetsselskapet Proofpoint til Ars Technica.
– Lenkene virker mye mer pålitelig fordi de kommer i sammenheng med meldinger eller innlegg fra en pålitelig avsender.
Ekspert: Gjør ikke phishing mer effektivt
Likevel er det ikke alle som er like bekymret for skadene .zip og .mov kan medføre. En av dem er Troy Hunt som drifter Have I Been Pwnd, et nettsted der du sjekke om dine personlige data er kommet på avveie. I Wired-saken nevnt tidligere, sier Hunt at han ikke tror de nye TLD-ene vil gjøre phishing mer effektivt.
– Det skyldes først og fremst at folk allerede lett lar seg lure av URL-er. Ikke bare klarer vi ikke å se forskjellen på så mange tvetydige tegn, vi har vanligvis heller ingen anelse om hva den korrekte URL-en til mange tjenester egentlig er, sier Hunt.
– Jeg vedder på at dette dabber av før du vet ordet av det, uten større hendelser.
Google dysser også ned faren for at dette vil gjøre folk mer utrygge på internett. De poengterer at mange applikasjoner har mekanismer som forhindrer forveksling mellom domenenavn og filnavn. Selskapet sier til Wired at de fortløpende suspenderer eller fjerner ondsinnede domener på tvers av deres toppnivådomener.
– Vi vil fortsette å overvåke bruken av .zip og andre TLD-er, og hvis nye trusler dukker opp, vil vi iverksette passende tiltak for å beskytte brukerne.
Ikke alle mener at KI må reguleres strengt – eller forbys:
- OpenAI kan forlate Europa på grunn av nye KI-regler, advarer administrerende direktør (Time)
- ChatGPT-skaperen gjør en U-sving rundt trusselen om å forlate EU på grunn av KI-loven (BBC)
- Bør kunstig intelligens forbys i offentlig sektor? Nei. (Aftenposten)
- Bruk av kunstig intelligens haster mer enn regulering (Aftenposten)
- Kunstig intelligens på kontoret: – Det gjør oss til et rikere og bedre land (NRK)
«Big Tech» fortsetter KI-kappløpet:
- Copilot med innebygd ChatGPT vil transformere Windows 11 fra og med juni (Ars Technica)
- Windows og KI-plattformskiftet (Stratechery)
- Google Søk begynner å rulle ut generative KI-resultater i ChatGPT-stil (Ars Technica)
- Bill Gates sier KI kan drepe Google-søk og Amazon slik vi kjenner dem (CNBC)
- Google vil snart vise deg KI-genererte annonser (Wired)
- Metas nye KI-modeller kan gjenkjenne og produsere tale for mer enn 1000 språk (MIT Technology Review)
- Adobe legger til generativ KI i Photoshop (NBC News)
- Ny Photoshop-funksjon: Sjekk hva den gjorde med bildene våre (Tek.no)
… samtidig som vi ser store medisinske fremskritt (?) med KI:
- Nytt superbakterie-drepende antibiotikum oppdaget ved bruk av KI (BBC)
- Neuralink: Elon Musks hjernebrikkefirma sier at amerikansk godkjenning for menneskelige studier er på plass (BBC)
(Artikkelen fortsetter nedenfor)
Lære mer om ChatGPT?
Introkurs
Hva er og hvordan bruke ChatGPT?
Lær det viktigste om ChatGPT – hva er det, hvordan fungerer det og hvilke konsekvenser kan chatboten få.
Chipkrigen: Apples storavtale og Kinas forbud:
- Apple inngår en stor avtale med amerikansk chip-produsent (BBC)
- USA langer ut mot Kina etter forbud mot amerikansk databrikkeselskap (Digi.no)
Dobbelsmell for Meta:
- Meta beordret til å suspendere Facebooks EU-datastrømmer – får rekordhøy personvernsbot (TechCrunch)
- Meta taper milliarder på å selge Giphy til Shutterstock (BBC)
Kan metaverset føre til mer kriminalitet og radikalisering?:
Kriminelle har jobbmailer i siktet (og det kan straffe seg):
- Endrede taktikker fører til en økning i angrepet rettet mot bedrift-eposter (Microsoft)
- Utpeker antatte gjerningspersoner bak Hydro-hackingen: Skal ta ut tiltaler i Sveits og Ukraina (DN.no)
Android-mobiler infisert før de forlot fabrikken:
Nå koster det å dele Netflix-passordet med andre:
Sjekk ut våre digitale kurs!
Service
Digitale kurs
Trenger du eller dine ansatte kompetanseheving på teknologi, innovasjon og digitale verktøy? Kursene er helt gratis og utviklet i samarbeid med noen av de tyngste fagmiljøene i norsk næringsliv og akademia.