Recientemente, cuando estaba suscribiéndome a un boletín electrónico en algún sitio web, me sorprendió no recibir un correo electrónico de confirmación. Naturalmente, también registré mi alias de correo en el boletín para verificar que se trataba de un comportamiento intencionado. Fue.
Y me deja pensando: ¿cuáles son los peligros y las desventajas de no requerir que los usuarios suscritos confirmen su suscripción?
Puedo pensar en un posible escenario:
- El atacante registra de manera programática miles de millones de correos electrónicos reales (ya sea de alguna base de datos de correo u obtenidos por su cuenta)
- El servidor atacado llegará al punto de enviar un boletín y comenzará a enviar correos electrónicos
- Muchos usuarios reciben correos electrónicos entregados que no solicitaron
¿Se puede atacar al servidor / sitio web de esta manera? ¿Bajo qué circunstancias esto daría lugar a que el sitio web esté en la lista negra del envío de correos electrónicos?
¿Puede esto causar problemas relacionados con los sistemas similares a IPS / IDS implementados en los servidores de origen o destino? Considerando, por ejemplo, que la lista de correos dirigidos sería exclusivamente con el dominio @ company.com y al atacante le gustaría comprometer la capacidad del sitio web / servidor atacado para enviar correos electrónicos a la compañía mencionada. El atacante ejecutaría el ataque, y los servidores de company.com incluirían en la lista negra el servidor de correo / dominio del que proceden los correos. ¿Es una posibilidad ser considerado?
Y, por último, ¿puedes pensar en otros problemas de seguridad que esto podría introducir?