Peligros de suscripción de correo electrónico de un solo paso

Navega tus respuestas
5

Recientemente, cuando estaba suscribiéndome a un boletín electrónico en algún sitio web, me sorprendió no recibir un correo electrónico de confirmación. Naturalmente, también registré mi alias de correo en el boletín para verificar que se trataba de un comportamiento intencionado. Fue.

Y me deja pensando: ¿cuáles son los peligros y las desventajas de no requerir que los usuarios suscritos confirmen su suscripción?

Puedo pensar en un posible escenario:

  1. El atacante registra de manera programática miles de millones de correos electrónicos reales (ya sea de alguna base de datos de correo u obtenidos por su cuenta)
  2. El servidor atacado llegará al punto de enviar un boletín y comenzará a enviar correos electrónicos
  3. Muchos usuarios reciben correos electrónicos entregados que no solicitaron

¿Se puede atacar al servidor / sitio web de esta manera? ¿Bajo qué circunstancias esto daría lugar a que el sitio web esté en la lista negra del envío de correos electrónicos?

¿Puede esto causar problemas relacionados con los sistemas similares a IPS / IDS implementados en los servidores de origen o destino? Considerando, por ejemplo, que la lista de correos dirigidos sería exclusivamente con el dominio @ company.com y al atacante le gustaría comprometer la capacidad del sitio web / servidor atacado para enviar correos electrónicos a la compañía mencionada. El atacante ejecutaría el ataque, y los servidores de company.com incluirían en la lista negra el servidor de correo / dominio del que proceden los correos. ¿Es una posibilidad ser considerado?

Y, por último, ¿puedes pensar en otros problemas de seguridad que esto podría introducir?

    
pregunta FanaticD 17.05.2017 - 18:38
fuente

3 respuestas

3

Veo uno de los posibles inconvenientes en una situación en la que el boletín informativo de la compañía no puede ser cancelado. Un atacante suscribe a muchos usuarios reales mediante programación. La compañía envía su boletín a los usuarios suscritos como de costumbre. Algunos de los usuarios que no se suscribieron pueden darse de baja usando el enlace apropiado incluido en el boletín. Algunos pueden simplemente mover el mensaje a spam. El atacante podría entonces (periódicamente) asegurarse de que todos los usuarios objetivo se hayan suscrito nuevamente.

Pero no estoy seguro de la eficacia de tal ataque y de la probabilidad de que pueda causar consecuencias legales reales para la compañía atacada. Sin embargo, la compañía podría terminar enviando bastante spam.

    
respondido por el mvondracek 07.08.2017 - 10:25
fuente
0

En Alemania, tiene problemas de cumplimiento adicionales si no utiliza la opción doble. Desde un punto de vista de seguridad, tiene razón en sus inquietudes. Pero: no puedes hacer mucho por estas amenazas. Por supuesto, puede bloquear el comportamiento de los registros automáticos similares a DDoS, usar captchas para intentar evitar los registros automáticos, solo permitir correos electrónicos firmados y autorizados por el remitente ... Incluso con esto no puede evitar los riesgos. Un atacante siempre puede molestar a los usuarios / ddos mediante el registro falso utilizando direcciones de remitente de correo electrónico falsas. Él podría establecer su servidor en cualquier lista negra enviando SPAM en su nombre. Él no necesita su servidor para esto. En este momento nos enfrentamos a una gran ola de spam con direcciones de remitentes perfectamente falsificadas. Y el destinatario siempre sabe el remitente. Spooky ...

    
respondido por el user689443 17.05.2017 - 20:14
fuente
0

Creo que si la compañía fue atacada y miles y miles de boletines por correo electrónico fueron enviados, uno de los principales impactos en los que puedo pensar es en el daño a la reputación que la compañía sufrirá.

Una que la compañía no pudo protegerse contra el ataque en primer lugar y, en segundo lugar, las opiniones negativas que la gente formaría de la compañía como resultado de recibir correo no deseado que no querían.

    
respondido por el user68786 07.08.2017 - 10:42
fuente

Lea otras preguntas en las etiquetas

¿Qué puedo hacer con un shell de SQL usando SQLMap? Aplicaciones prácticas de la nueva política de contraseñas de NIST