¿Cómo puedo verificar si un enlace de correo electrónico conduce a un sitio web malicioso?

Navega tus respuestas
26

En las últimas semanas, he recibido varios correos electrónicos no deseados de diferentes amigos que solo contenían enlaces a diferentes sitios web.

Me gustaría hacer clic en esos enlaces y ver qué hay en el sitio web. Mis razones son la curiosidad, la capacidad de comprender lo peligroso que puede ser el sitio web y de diferenciar entre un correo electrónico de producto no deseado ("Buy product XYZ!") Y un sitio web que intenta hacer algo peligroso en una computadora.

No pretendo utilizar un sistema de producción, un sistema con mis datos personales, o algo que no esté dispuesto a perder en el proceso; Realmente solo tengo curiosidad.

Entonces, ¿qué medidas debería tomar para poder 1 hacer clic en esos enlaces?

Mis ideas hasta ahora son:

  • Máquina virtual
  • Deshabilitar Flash, Java, JavaScript 2 , ... en el navegador
  • Tener un sistema operativo / antivirus actualizado
  • Usar NoScript
  • Use sitios web externos que verifiquen el sitio web vinculado como: enlace (el enlace parece estar abajo) ?) de antemano

Footnotes:

  1. Estoy casi seguro de que no hay forma de hacer clic en esos enlaces de forma realmente segura, por lo que quizás debería llamarse "minimizar el riesgo cuando ..."
  2. Soy consciente de que la desactivación de las cosas podría no brindarme una imagen completa y real del sitio web, ya que podría no experimentar el efecto deseado y pensar "Es seguro".
pregunta hamena314 17.03.2016 - 15:01
fuente

5 respuestas

30

VPN Virtual Machine View-Source para aquellos que conocen Javascript

[Tinfoil Hat (Mythic Warforged)] aquí.

Si estás familiarizado con Javascript y similares, siempre he apreciado view-source:http://www.webaddress.com/ de la barra de URL. Para agregar papel de aluminio, hágalo detrás de una VPN, y una máquina virtual.

La VPN es necesaria en caso de que el atacante espere que lo visite personalmente desde su dirección IP real. Su intento de acceso aparecerá en los registros de visitantes, pero si solo obtienen una VPN aleatoria, entonces Ho Ho Howned.

Y la Máquina Virtual, por supuesto, está ahí para prevenir ataques extraños contra la página de fuente de vista, que puede o no existir. No va a ayudar en contra de VM-objetos que escapan. Alternativamente, puede abrir una conexión de socket mediante programación (desconfíe de las vulnerabilidades en el idioma que elija) mientras esté detrás de una VPN, y use GET /page.html HTTP/1.0 para capturar la página HTML, y luego haga lo mismo con Javascript complementario.

Busca cosas divertidas como zzz.saveToFile() , que generalmente indican un intento de descarga desde un drive-by. Lo mismo con Javascript intencionalmente ofuscado; no se debe confiar en . Tenga en cuenta que la minificación y la ofuscación son dos cosas diferentes .

Observación de la Consola de desarrollador (F12)

Si tiene experiencia con el desarrollo web y desea ver exactamente qué tipo de extravagancia extraña está ocurriendo sin tener que seguir completamente el guión línea por línea, entonces puede monitorear los cambios a medida que ocurren con la consola del desarrollador. . Esto le permite cargar los resultados de Javascript fuera de sitio / fuera de página que se genera dinámicamente.

Observación de carpeta temporal

Esto supone que estás detrás de una máquina virtual. Obviamente, no querrá probar esto en su máquina principal.

No olvides tu carpeta temporal, que generalmente es %TEMP% . Con las descargas ocultas, generalmente comienzan a guardar ejecutables en %TEMP% . Puede ver si tal cosa ocurre cuando visita una página. Se pueden guardar como archivos .tmp , que luego se renombrarán a .exe . Esto generalmente lo descubre una función que se parece a x.saveToFile()

Reinicia tu máquina virtual cuando hayas terminado

No te olvides de restablecer el estado / instantánea de tu VM después. No quieres estar infectado a largo plazo.

    
respondido por el Mark Buffalo 17.03.2016 - 15:22
fuente
21

Las otras respuestas cubren bastante bien las amenazas a su computadora. Sin embargo, existe una amenaza adicional que no fue cubierta. Es posible que las URL sean únicas para cada destinatario, lo que permite al pirata informático identificar los correos electrónicos que son:

  1. activo
  2. Susceptible a la ingeniería social (hizo clic en un enlace de un amigo)
  3. No necesariamente un experto en seguridad informática (hizo clic en un enlace de un amigo)

Una vez que el atacante tiene estos datos, han reducido significativamente la lista de objetivos, lo que permite orientar las acciones de seguimiento y evitar gastar recursos en objetivos duros / inactivos.

En este caso, las páginas web pueden no ser malas (pero siempre asuma que lo son). Muchos solo existen para detectar que se hizo clic en el enlace.

    
respondido por el AstroDan 17.03.2016 - 16:49
fuente
5

La sugerencia sería:

  • comprar una computadora portátil barata
  • Extraer el disco y la tarjeta gráfica
  • Ejecute el sistema operativo desde un DVD (posiblemente personalizado para sus necesidades)
  • Conéctese a una conexión de Internet que no comparta ningún otro dispositivo * Use el servicio VPN y configure sus propios servidores DNS para un anonimato decente **

Sin espacio en disco ni tarjeta gráfica, es difícil, pero no imposible corromper el sistema.

Cada vez que reinicies la computadora, limpia la forma en que la configuras en el DVD.

Si desea volverse paranoico de verdad, también puede cada vez insertar un DVD de utilidad flash de BIOS y restaurar su BIOS.

Nada es nunca 100% sin embargo. A menos que automatice el proceso, el mayor punto de error es que lo hará incorrectamente el número x ''.

* No olvide su teléfono móvil, su televisor inteligente, su nanny-cam, etc. si tiene una LAN. Me gustaría ir por cable y saltar todo el wi-fi.

** El punto aquí es que no desea que alguien conecte su dirección de correo electrónico con su IP + True Identity. Pero ese es un problema más grande.

    
respondido por el Simply G. 17.03.2016 - 15:38
fuente
2

Una cosa que las otras respuestas no incluyen es el hecho de que estas URL a menudo se generan de forma aleatoria y pueden rastrear correos electrónicos activos. Por ejemplo, un spammer puede enviar un correo electrónico:

  

Compre estas nuevas píldoras mágicas: enlace

Sin embargo, cada correo electrónico contendría un final mOUEVpWY8s diferente. Cuando hace clic en el enlace, le dice al spammer que no solo su correo electrónico sigue activo y en uso, sino que la persona que recibe los correos electrónicos está dispuesta a hacer clic en los enlaces.

    
respondido por el Jon 18.03.2016 - 04:19
fuente
1

Como el enlace a antihacksecurity.com parece estar inactivo, agrego un sitio que puede mostrarle el código fuente detrás del enlace de correo electrónico.

Algunas notas:

  • No se puede ejecutar ningún código javascript.
  • Herramienta amigable para un código de análisis estático.
    • Se pueden agregar
  • encabezados (estándar y personalizados) ( User-Agent , Referer etc.)
  1. Ir a enlace
  2. Escriba su enlace de correo electrónico en el campo URL:
  3. ( Opcional ) Haga clic en +add header enlace para agregar encabezados
  4. Haz clic en el botón Enviar

Puede encontrar otros sitios externos similares al anterior aquí: Cliente HTTP en línea .

    
respondido por el Stephan 18.03.2016 - 11:05
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las implicaciones de seguridad si alguien tiene la contraseña de mi red WiFi doméstica? ¿Qué tan práctico es aplicar una fuerza bruta a un número de 10 dígitos a través de la URL?