He configurado una aplicación para mi cliente, que envía listas de ofertas de trabajo a los suscriptores todos los lunes por la mañana.
Los correos electrónicos utilizan un servicio de redireccionamiento de enlaces personalizados, para que los enlaces sean amigables, y para contar clics, etc.
Este redirector usa un parámetro de ruta de acceso hash para identificar de forma única el clic.
Cada semana, después de que se envían los correos electrónicos, comienzo a recibir alertas de error en los registros, para los enlaces de redirector que no pueden ser descodificados.
Al principio pensé que esto debía haber sido un error en la codificación, y que algunos usuarios finales no podían hacer clic en los enlaces. Sin embargo, pude verificar que estos enlaces eran falsos y que nuestro sistema no los había creado.
Lo que parece estar sucediendo, es que un bot de algún tipo debe estar intentando crear enlaces de redireccionamiento aleatorios. Lo que no entiendo es por qué?
Los enlaces han sido claramente diseñados para tratar de imitar el formato de los enlaces reales. A primera vista se ven legítimos. Pueden identificarse inicialmente porque incluyen caracteres no hexadecimales en los parámetros, donde los parámetros reales siempre están codificados en hexadecimal. Sin embargo, ahora los enlaces falsos también están codificados en hexadecimal.
¿Cuál sería el propósito de este enlace de hacking? ¿Los atacantes esperan averiguar cómo están codificados los enlaces, pensando que podrían crear enlaces de inicio de sesión o enlaces para restablecer la contraseña?
La otra cosa curiosa, es que estos ataques solo parecen ocurrir directamente después del envío. Si se tratara de un intento de intrusión regular, esperaría que solo sucediera en varias ocasiones durante la semana. ¿Se pretende que esto sea menos sospechoso y que parezca más probable que sea una actividad legítima de los usuarios?
En caso de que sea útil, los enlaces que se envían en los correos electrónicos se parecen a esto ...
/email/links/287545cb07c0/985edd0470e453.asp
Nota: .asp es completamente arbitrario, en realidad no usa el ASP clásico, en su mayoría solo quería usar una extensión que no confundiría a los clientes de correo electrónico, pero también daría menos pistas a los piratas informáticos sobre el entorno de aplicaciones de back-end.