¿Cómo están los spammers usando las URL de "http://linkedin.com/slink?code=…" de LinkedIn?

Navega tus respuestas
30

Me enviaron este tipo de enlace desde una cuenta de Skype presumiblemente comprometida, a través de un mensaje de Skype (no haga clic no a menos que tenga una caja de arena o algo para protegerlo): 

https://www.linkedin.com/slink?code=e4ig_yU#56287=myskypeusername

Donde está myskypeusername , bueno, sí, mi nombre de usuario de skype.

Al hacer clic en eso, la URL lo guiará a través de una serie de redirecciones y, finalmente, a una página donde se venden algunas "píldoras milagrosas de CI de cerebro" que afirman aumentar, duplicar, cualquiera que sea la capacidad mental ... tan claramente SPAM.

¿Alguien sabe cuáles son las URL /slink... etc. que usa LinkedIn? Google no mencionó nada, excepto algunos otros casos en los que se ha utilizado LinkedIn para redirigir a los usuarios a SPAM.

Me puse en contacto con LinkedIn sobre esto y su "especialista en soporte de seguridad" básicamente dijo que no pueden hacer nada al respecto, dado que no es un mensaje enviado por el usuario de linkedin ... imagínate.

ACTUALIZACIÓN : después de que reiteré el problema al soporte de LinkedIn, obtuve lo siguiente:

  

Gracias por su respuesta. Vamos a examinar este tema más a fondo   y tomar las medidas necesarias en base a nuestros resultados. Gracias por tu   asistencia para mantener a LinkedIn como un sitio profesional y confiable.

Esperemos que sea más que solo palabras; Ya veremos, supongo.

    
pregunta Petri 06.05.2016 - 18:04
fuente

3 respuestas

18

Así que me topé con esto hoy y recibí un mensaje similar:

enlace

Primero probé la primera parte: enlace

Esto termina aquí: enlace - un artículo fraudulento sobre alguien que dice que alguien dijo que esta píldora cambiará el mundo entero ... Pero bueno, parece un sitio web de normal y el código fuente parece semánticamente limpio.

Entonces, si linkedin podría verificar el código fuente del destino, estaría bien en este caso y hasta este punto.

Pero cuando ingrese: enlace (con el segundo parámetro de búsqueda) - parece leerlo hay JavaScripts confusos, que comprueban la búsqueda / hash-params en la URL y redireccionan correctamente si se encuentran.

Y esto probablemente no esté siendo revisado por el equipo de linkedin. Quiero decir, ¿cómo deberían? Esto es difícil porque está sucediendo en un JS ofuscado. Si tienen algún comprobador de comprobación automática automatizado, están escaneando el código pero es probable que no ejecuten los scripts.

Breve historia corta: la parte slink?code=####### redirige a un enlace compartido desde linkedin y añade cualquier parámetro hash o search dado a esta redirección. En el destino redirigido, esto se comprueba y se usa para un redireccionamiento adicional.

    
respondido por el Sebastian G. Marinescu 20.05.2016 - 10:38
fuente
6

Bueno, solo probando /slink?code=0 (un error 404) y /slink?code=1 (LinkedIn Business Marketing Solutions), supongo que está reservado para los clientes de LinkedIn Business Solutions .

Dicho esto, no creo que se use con tanta frecuencia. No veo mucho tráfico de correo electrónico usándolo (veo más tráfico utilizando Hashcash , que es extraordinariamente oscuro). Este tipo de enlace parece representar el 0.03% del tráfico de correo electrónico que enlaza a www.linkedin.com CDN . Este redirector se usa con poca frecuencia que no puedo determinar qué tan spam es.

Para responder a la pregunta de cómo los spammers están abusando de esto: Presumiblemente, un spammer registra una cuenta falsa en LinkedIn y luego utiliza este servicio de redirección como cualquier otro. Es un poco arriesgado ya que LinkedIn no es ajena a la resolución de abusos (por ejemplo, son un patrocinador clave de DMARC ) y existen Hay muchos otros servicios de redirección por ahí, pero quizás haya alguna ilusión de legitimidad para usar esto en su lugar.

Una presentación directa de esta pregunta a LinkedIn dio como resultado que Franck Martin (uno de sus defensores clave de DMARC) dijera:

  

Este correo electrónico no fue enviado por Linkedin.
  Linkedin utiliza varias listas para garantizar que la redirección no termine hasta   conocido mal sitio. En todos los casos, infórmelo a abuso [en] linkedin (como   así como las principales listas anti-phishing de URL) y tomaremos las   acciones.

(Como se indica en este hilo en el SpamAssassin Users lista de correo.)

Tenga en cuenta que solo porque la muestra específica que Franck vio no fue enviada por LinkedIn no significa que no haya ningún abuso de este acortador, pero confío en que lo vigilen bien. Simplemente hay poco que pueden hacer para controlar los correos electrónicos que no controlan (a menos que el correo electrónico falsifique el envío desde @ linkedin.com porque está protegido por una política DMARC p=reject . Esta política indica destinatarios para rechazar violaciones de la política).

Si les informa el mensaje, al menos deberían poder romper el redirector, como es el caso de este enlace (como se indica en otra respuesta a esta pregunta ). Si su infraestructura envió el correo, pueden perseguirlo y tomar medidas contra el cliente.

    
respondido por el Adam Katz 24.05.2016 - 02:03
fuente
3

Parece que su enlace está muerto, ya que ahora redirige a enlace

No estoy seguro de si existe un mecanismo integrado que admita específicamente las redirecciones de usuario en linkedin, pero si el spammer inyectó HTML, es posible que hayan usado etiquetas meta para lograr esto.

por ejemplo

<meta http-equiv="refresh" content="5;URL=target_link_here">

    
respondido por el Azeezah M 19.05.2016 - 23:18
fuente

Lea otras preguntas en las etiquetas

¿Puede un dispositivo USB conectado leer todos los datos del bus USB? ¿Por qué curl / wget en el cuadro de búsqueda de eBay me da un error de acceso denegado?