Bots intentando falsificar enlaces de correo electrónico codificados, pero ¿por qué?

0

He configurado una aplicación para mi cliente, que envía listas de ofertas de trabajo a los suscriptores todos los lunes por la mañana.

Los correos electrónicos utilizan un servicio de redireccionamiento de enlaces personalizados, para que los enlaces sean amigables, y para contar clics, etc.

Este redirector usa un parámetro de ruta de acceso hash para identificar de forma única el clic.

Cada semana, después de que se envían los correos electrónicos, comienzo a recibir alertas de error en los registros, para los enlaces de redirector que no pueden ser descodificados.

Al principio pensé que esto debía haber sido un error en la codificación, y que algunos usuarios finales no podían hacer clic en los enlaces. Sin embargo, pude verificar que estos enlaces eran falsos y que nuestro sistema no los había creado.

Lo que parece estar sucediendo, es que un bot de algún tipo debe estar intentando crear enlaces de redireccionamiento aleatorios. Lo que no entiendo es por qué?

Los enlaces han sido claramente diseñados para tratar de imitar el formato de los enlaces reales. A primera vista se ven legítimos. Pueden identificarse inicialmente porque incluyen caracteres no hexadecimales en los parámetros, donde los parámetros reales siempre están codificados en hexadecimal. Sin embargo, ahora los enlaces falsos también están codificados en hexadecimal.

¿Cuál sería el propósito de este enlace de hacking? ¿Los atacantes esperan averiguar cómo están codificados los enlaces, pensando que podrían crear enlaces de inicio de sesión o enlaces para restablecer la contraseña?

La otra cosa curiosa, es que estos ataques solo parecen ocurrir directamente después del envío. Si se tratara de un intento de intrusión regular, esperaría que solo sucediera en varias ocasiones durante la semana. ¿Se pretende que esto sea menos sospechoso y que parezca más probable que sea una actividad legítima de los usuarios?

En caso de que sea útil, los enlaces que se envían en los correos electrónicos se parecen a esto ...

/email/links/287545cb07c0/985edd0470e453.asp

Nota: .asp es completamente arbitrario, en realidad no usa el ASP clásico, en su mayoría solo quería usar una extensión que no confundiría a los clientes de correo electrónico, pero también daría menos pistas a los piratas informáticos sobre el entorno de aplicaciones de back-end.

    
pregunta user1751825 29.10.2018 - 01:17
fuente

1 respuesta

0

Como sus enlaces no contienen un URI de destino, aquí solo hay algunas posibilidades de ataque:

  1. El atacante ha encontrado (o asume que lo ha hecho) una forma de enrutarse a través de su redirector (improbable)
  2. Un intento de dañar tu reputación web; busque su dominio para URI DNSBL listados
  3. Un intento de diluir su servicio ante los ojos de sus usuarios
  4. El atacante asume que su sistema antispam incluye en la lista blanca los correos electrónicos con dichos URI
  5. Un intento de envenenamiento por Bayesian (que ni siquiera funciona) u otra tarea sin sentido

Quizás haya un error en tu código (y / o en el del atacante), pero supongo que es más una molestia que cualquier otra cosa: dañar tu reputación de alguna manera (para tus usuarios o globalmente) o tratar de jugar un poco sistema anti-spam.

Si su redirector ha retenido el URI de destino

originalmente había asumido que su servicio de redirección conservaba el URI objetivo, algo como
enlace dado hash = substr(sha1("s3cret_pepper:" + uri), 0, 12) y que estas falsificaciones fallaron en la verificación, pero el atacante fue demasiado estúpido para haber comprobado eso.

En tal caso, los destinos de redireccionamiento en estos mensajes probablemente sean sitios maliciosos.

Este sería el secuestro de la reputación web , en el que están usando la reputación de su redirector en lugar de la mala reputación de su propio sitio de aterrizaje, sin pasar por URI DNSBLs en la detección de spam.

Otra posibilidad es que no les agrades y traten de dañar tu reputación web.

Una tercera posibilidad es que intenten engañar a sus usuarios (y / o a su lista interna interna) para que piensen que estos enlaces son seguros.

Es probable que los dos primeros escenarios dañen su reputación web. Busque un sitio como enlace para ver si ya ha sido incluido en la lista negra (y compare su reputación con la de los sitios este atacante está intentando redirigir a).

    
respondido por el Adam Katz 14.11.2018 - 20:29
fuente

Lea otras preguntas en las etiquetas