Todo el mundo dice no hacer clic en "URL maliciosas". ¿Hay algún ataque en el que la URL, en lugar del recurso al que accede la URL, sea el vector de ataque?
En realidad, esto es muy oportuno ya que hay un ataque relativamente nuevo en el que los datos que se pasan en la URL son el vector de ataque.
Descarga de archivos reflejada abusa de servidores no malintencionados por pasándoles datos maliciosos y luego reflejándolos de nuevo a los usuarios, por lo que parece que el usuario proviene de una fuente "confiable".
Lea otras preguntas en las etiquetas exploit attack-vector