Recibo un enlace sospechoso que comienza con account.youtube.com, ¿alguien puede explicar qué hace este enlace?

1

Muchos bots me envían este enlace en twitter, y obviamente debe ser algo malicioso. ¿Alguien puede explicar de manera detallada qué hace este enlace y cuál es la vulnerabilidad aquí?

Este es el enlace:

Se configura y envía algunas variables a youtube, luego me desconecta y luego me envía a un enlace un poco más corto: hxxp://bitly.com/2vK4Fga#1007310965585731584

Lo acorté y volví con esto:

hxxps://www.baidu.com/link?url=rZncHEMCsf6lt8ulV0jdARLcZOqlmQgim4767m7Jgya&wd=&eqid=c152d8470000dc7c000000065b734ee3

¡El sitio es un motor de búsqueda chino! Cuando hice clic en este enlace en mi máquina virtual, fui a este sitio web: hxxp://www.twitob.com/ , que es una especie de sitio de seguidores seguidores de Twitter.

¿Qué está haciendo este enlace? Entiendo que está configurando algunas variables como ilo o ils y esas cosas, pero no sé qué son y por qué establecerlas en estos valores específicos. ¿Cuáles son estas variables?

También encontré un informe sobre algo similar a esto:

hxxps://www.openbugbounty.org/reports/222365/

pero no estoy seguro de si son la misma vulnerabilidad o no, y ese informe no explica nada.

Una cosa más extraña es que, por lo general, puedo desensamblar fácilmente los enlaces t.co de twitter, pero cuando desarticulo el enlace t.co que twitter me dio para estos enlaces, se convirtió en este, sin importar el sitio web que use:

hxxps://www.google.com/url?sa=D&q=https://bitly.com/2vK4Fga&ust=1535028318764694&usg=AFQjCNF2RgdA4d9RaMK6foDsWn51_W3yYA

Pero puedes ver claramente que el enlace real es algo diferente, ¿qué está pasando?

    
pregunta AlenT 23.08.2018 - 13:44
fuente

1 respuesta

1

No voy a hacer clic en esa URL, pero lo que parece hacer es:

  • Solo puedes ver el principio, se ve bien y posiblemente sea importante para ti.

  • Si no examinas el resto de la URL, parece seguro hacer clic en.

  • Al hacer clic en él, se te redirige a Google y se desconecta.

  • A continuación, se te redirige a un acortador de URL de BitLy.

  • El BitLy lo redirige al motor de búsqueda Baidu.

  • La URL de Baidu tiene un " ID de asociado " adjunto.

  • Usted podría> > ser dirigido a una búsqueda previamente guardada, y el asociado se acredita.

  • SI cualquiera de los sitios subsiguientes que ves son maliciosos, ya que no estás conectado a Google (y, por lo tanto, a YouTube también), probablemente te pedirán tu nombre y contraseña y te ofrecerán el registro. vuelves a entrar. Las posibilidades de que la página que solicita tu contraseña sea una página de inicio de sesión de Google falsa son muy buenas.

SIEMPRE habilite Autenticación en dos pasos !

Una vez que regales tu cuenta de Google, pueden usarla para promocionar sus favoritos y hacer publicaciones que parezcan provenientes de ti. Incluso si no da su contraseña, el Asociado seguirá recibiendo un crédito por su clic.

Por lo tanto, puede o no ser "malicioso" (puede llevar a algo "dañino"), pero ciertamente le da crédito a alguien por tu clic.

Esto (en sus diversas formas) se explica aquí: " De Baidu a los Redireccionamientos abiertos de Google ", aquí" Cómo Malware Campaigns emplea Google Redirects and Analytics " o aquí, en una página web de asistencia de Google: " Detecte y elimine las redirecciones móviles no deseadas ".

Si no tienes una buena razón para hacer clic en algo, no haz clic en él: te sacará de la página en la que te encuentras.

    
respondido por el Rob 23.08.2018 - 14:58
fuente

Lea otras preguntas en las etiquetas