网络安全研究人员和IT管理员对谷歌新的 .ZIP 和 .MOV 互联网域名提出了担忧，警告说威胁行为者可能会利用它们进行钓鱼攻击和恶意软件传播。

本月初，谷歌推出了八个新的顶级域名（Top-Level Domain即TLD），可用于网站或电子邮件地址。新的域名分别是 .dad、.esq、.prof、.phd、.nexus、.foo 以及本文的主题 .zip 和 .mov 域名。

虽然 .ZIP 和 .MOV 顶级域名自2014年以来一直可用，但直到本月才允许任何人购买并公开使用，比如用于网站的 computer.zip。

然而，这些域名可能被视为有风险，

在线常见的两种文件类型是 .ZIP 压缩包归档文件和 MPEG 4 视频，其文件名分别以 .zip 或 .mov 结尾。通常在论坛、贴吧、微博、邮件和聊天软件中人们经常会发布包含 .zip 和 .mov 扩展名的文件及其说明，但现在随着 .zip 和 .mov 成为公开顶级域名，一些在线平台或应用程序会自动将其转换为 URL，如：

computer.zip >> computer.zip

当人们可信网页说明中看到 URL 时，他们通常认为 URL 可以用于下载相关文件，并可能单击链接意外访问到网站。但是，如果黑客拥有与链接文件名相同的 .zip 域名并提供钓鱼诈骗或恶意软件下载，后果可想而知。

虽然黑客不太可能注册成千上万的域名来捕获几个受害者，但对于企业用户，只需要一个员工误安装恶意软件，整个网络就会受到影响。例如网络情报公司 Silent Push Labs 已经发现微软账户钓鱼页面 microsoft-office[.]zip 企图窃取 Microsoft 帐户凭据的情况。

人们已经开始注册与常见的 .ZIP 归档文件相关的 .zip 域名，例如 update.zip、setup.zip、officeupdate.zip 和 backup.zip 以展示 .ZIP 域的风险。

当联系谷歌讨论这些担忧时，他们说文件名和域名之间的混淆风险不是新的，浏览器已采取措施保护用户免受滥用：

文件名称和域名之间的混淆风险不是一个新问题。例如：3M 的 Command 产品使用域名 command.com，这也是 MS DOS 和早期 Windows 版本上的一个重要程序。应用程序对此有缓解措施（例如 Google 安全浏览），这些缓解措施也适用于 .zip 等 TLD。
同时，新的命名空间提供了更广泛的命名机会，例如 community.zip 和 url.zip。谷歌十分重视钓鱼和恶意软件，谷歌注册局对所有我们的 TLD，包括 .zip，都有成熟机制来暂停或删除恶意域名。我们将继续监控 .zip 和其他 TLD 的使用情况，如果出现新的威胁，我们将采取适当行动保护用户。

实际上，您无需过度担心，像所有人都知道且正在做的那样，如果您在消息中看到 .zip 或 .mov 链接，在点击之前请确认其安全性，如果您仍然不确定链接是否安全，请不要点击它即可。然而，由于更多应用程序自动将 .ZIP 和 .MOV 文件名转换为链接，您在网上冲浪时需要更加谨慎。

如仍不放心，可使用 ublock origin 浏览器插件屏蔽所有.zip及.mov 顶级域名：

||zip^$document
||mov^$document