谷歌推出.zip和.mov域名，安全风险引担忧

最近，谷歌正式启用了八个新的顶级域名（TLD），其中.zip和.mov这两个域名在网络安全领域引发了不小的讨论。我的理解是，这主要是因为它们与常见的文件扩展名完全一致，可能会被不法分子利用，制造钓鱼陷阱。对于普通用户来说，了解其中的潜在风险，有助于在日常网络活动中多一分警惕。

顶级域名与文件扩展名的冲突

顶级域名是网址中最后的部分，比如我们熟悉的“.com”、“.cn”。谷歌此次推出的新域名中，.zip和.mov尤为特殊。在互联网的日常使用中，“.zip”广泛用于压缩文件，而“.mov”则是苹果QuickTime视频格式的扩展名。当它们摇身一变成为网址后缀时，就带来了识别上的混淆。许多软件和网站会自动将类似“photos.zip”这样的文本转换为可点击的链接，用户可能以为自己要点开一个文件，实际访问的却是一个网站。

可能被利用的欺骗手法

这种混淆为网络诈骗提供了新的可乘之机。安全专家指出，攻击者可以抢先注册诸如“setup.zip”或“vacation.mov”这类看似像文件名的域名。随后，他们甚至无需主动发送欺诈信息，只需等待他人在邮件或社交帖子中无意提及这些“文件名”，自动生成的链接就可能将用户引向恶意网站。例如，一个名为“clientdocs.zip”的网站就曾被用作演示，访问时会自动下载一个脚本文件。安全研究员兰迪·帕格曼认为，“威胁行为者的优势在于，他们甚至不必发送消息来诱使潜在受害者点击链接”。

更隐蔽的网址伪装技巧

除了直接的混淆，技术手段还能让恶意网址看起来几乎和合法网址一模一样。安全研究员鲍比·劳赫展示了一个例子：攻击者可以利用URL中“@”符号的特定规则，以及看起来像正斜杠“/”的Unicode字符（如∕），构造出极具欺骗性的链接。两个网址可能视觉差异极小，但一个指向官方资源，另一个却可能指向恶意.zip域名。这种方法“肯定会让威胁演员的工作变得更容易”，使得识别真假链接的难度大大增加。

各方的反应与现有防护

面对安全社区的担忧，谷歌方面表示会监控新域名的使用，并依靠如“安全浏览”这样的浏览器防护措施来预警恶意网站。谷歌也提到，过去类似的对域名混淆的担忧并不新鲜。然而，批评者认为，.zip和.mov的潜在影响范围远大于过去某个单一域名，因为它们可以被用于无数个不同的网站地址。目前，已有工程师提议将这两个域名从“公共后缀列表”中移除以提升安全，但此提议因可能破坏稳定性而存在争议。

结语

谷歌推出.zip和.mov域名，本质上是互联网域名体系的一次常规扩展，但其与常用文件格式的撞名，确实在客观上降低了网络钓鱼的门槛。对于我们普通用户而言，关键在于保持警惕：对来源不明的、尤其是看起来像文件名的链接，不要轻易点击。虽然浏览器和安全软件能提供一定保护，但审慎的个人习惯仍然是网络安全的重要防线。