研究人员假冒美国镇长取得.gov网址

知名的资安部落客Brian Krebs本周指出，.gov网域名称的管理太松散，使得一名冒牌镇长成功取得受管制的.gov网址。

1985年现身的.gov为最早期的通用顶级网域名称之一，当时全球只有6个通用顶级网域名称，除了.gov之外，还包括.com、.edu、.mil、.net及.org。不过，.gov有严格的规定，只有美国联邦、州立或是当地的-机构有权注册，现由美国联邦总务署负责管理。

Krebs表示，他日前收到一封来自一名研究人员的来信，该名研究人员宣称他使用了伪造的Google Voice及Gmail账号，谎称自己是美国罗德岛州埃克塞特镇（Exeter）的镇长，然后透过Google搜寻该镇的文件，填完资料之后，就获得了exeterri.gov的网址。

Krebs查询了一下该网址，发现该网址在今年的11月14日被注册，而且该研究人员的发信位址就来自exeterri.gov。

这名匿名的研究人员说自己只是作了一个实验，发现这实在太容易了，对方连验证他的身份都没有。美国联邦总务署则是在收到Krebs的询问与通知之后，才将该网址撤销。

Krebs在稍作研究后发现，有许多美国地方-都未申请自己的.gov网址，例如埃克塞特镇只申请了.us，并未申请.gov，留下让骇客行动的空间，此外，美国民众可能更相信来自.gov网址的信件，将会让网钓攻击或讯息的操弄更为容易。