Uno de mis empleadores nos dijo que si recibimos un correo electrónico sospechoso con enlaces, tenemos que desplazarnos sobre el enlace (para verificar que no esté falsificado) antes de hacer clic en él.
Cuando pasa el mouse por encima de un enlace, el valor del atributo href
se muestra en la barra de estado. Dado que este es el objetivo del enlace, puede darle una idea de a dónde va el enlace.
¿Alguien podría simular esta acción e intentar hacer algo gracioso?
En general, sí. El objetivo del enlace real se puede "falsificar" utilizando Javascript: es bastante común que los sitios web intercambien el valor href
con otro enlace tan pronto como el usuario haga clic en él. Por ejemplo, puede observar esto cuando visita los resultados de búsqueda de Google. Cuando pase el mouse sobre uno de los enlaces, se mostrará como https://security.stackexchange.com/...
, pero tan pronto como lo haga clic , se capturará ese evento y visitará un sitio intermedio primero ( https://www.google.com/url?...
) que lo redireccionará. al objetivo real.
Pero cualquier cliente de correo bien diseñado (basado en la web) no ejecutará ningún JS en correos electrónicos HTML. El contenido del script activo en los correos electrónicos es peligroso, no solo porque puede dar lugar a una falla XSS en el cliente de correo, sino también porque puede usarse para ejecutar ataques basados en JS en el navegador o simplemente informar al remitente que ha abierto el correo.
Por lo tanto, si su cliente de correo no permite JS en los correos electrónicos, cosa que probablemente hace, entonces el enlace que se muestra con el mouseover es el objetivo correcto para el enlace. Pero debe estar consciente de otros intentos de engañarlo, como ataques de homógrafos o un URL demasiado larga que oculta el dominio de destino real. No es tan fácil analizar una URL en la barra de estado como lo es verla en la barra de direcciones. En un ataque más avanzado, el atacante también podría haber comprometido un sitio legítimo de antemano (por ejemplo, a través de una falla persistente de XSS) y no podrá decir por el enlace que el sitio ahora en realidad alberga contenido peligroso.