¿La incorporación de enlaces a sitios web en un correo electrónico puede llevar a más intentos de hackeo?

A menos que esté enviando cadenas específicas en la URL para proporcionar enlaces (donde un usuario puede hacer clic para iniciar sesión sin autenticarse), no hay más peligro sin los enlaces. El razonamiento para esto es que alguien puede acceder a su portal tal como está (siempre que sea en la Internet pública que tendría que ser a menos que haya establecido alguna forma de conexión SSLVPN / VPN a una intranet).

Si su objetivo es proporcionar un punto de conexión exclusivo a un sitio específico destinado SOLAMENTE para UN cliente específico, puede crear una regla de firewall que permita explícitamente la conexión desde el bloque de red de su cliente a ese sitio. Esto garantiza que nadie más que el cliente desde la ubicación especificada se pueda conectar.

Ahora declara: "un enlace a este portal de clientes se publica en la parte inferior de nuestro sitio web público", por lo que no hay más o menos peligro que enviarlo por correo electrónico. Entonces, si su objetivo es minimizar quién puede acceder a este portal, puede ser un mejor enfoque para determinar de dónde provienen las conexiones de su cliente, hacer una regla de firewall para permitir eso y negar todo lo demás.

Veo al menos una forma en que un atacante puede aprovechar estos correos electrónicos. El atacante (quizás uno de sus clientes) podría intentar "reclamar ser usted" y enviar un correo electrónico a sus clientes con un enlace muy similar a una versión falsificada de su sitio web. Cuando el usuario víctima "inicia sesión" en el sitio falso, el atacante tendrá su nombre de usuario y contraseña, y luego podrá iniciar sesión como el usuario víctima en el sitio real.

Esto es Seguridad a través de la oscuridad y parece ser usado como una medida en lugar de asegurar adecuadamente el portal del cliente. .

Sin embargo, existe la ventaja de que nunca se envían enlaces en correos electrónicos, ya que esto podría reducir los ataques de phishing a sus clientes. . Sin embargo, los clientes ya deben saber que nunca enviará enlaces por correo electrónico, ya que un atacante que envía un correo electrónico de suplantación de identidad incluirá los enlaces y esperará a alguien que los siga ciegamente. Alguien podría eventualmente, dependiendo del tamaño de su base de clientes y si el atacante logró crear una campaña de phishing adecuada (por ejemplo, mediante el uso de un Enumeración del usuario en su portal de clientes o en cualquier otro lugar).

No mencionar el portal en el correo electrónico no significa que su existencia no esté determinada por ningún atacante. Existen muchas técnicas de reconocimiento que van desde la enumeración de DNS, los resultados del motor de búsqueda, la información de Whois, los servicios de verificación de antecedentes, la información de la empresa pública, Hacking de Google , Netcraft , etc., que los atacantes pueden usar para obtener información sobre una empresa y qué sitios están ejecutando.