In che modo gli spammer utilizzano gli URL "http://linkedin.com/slink?code=..." di LinkedIn?

30

Mi è stato inviato questo tipo di collegamento da un account Skype presumibilmente compromesso, tramite un messaggio skype (fai non clic a meno che tu non abbia una sandbox o qualcosa che ti protegga):

https://www.linkedin.com/slink?code=e4ig_yU#56287=myskypeusername

Dove myskypeusername è, beh si, il mio nome utente skype.

Cliccando su questo, l'URL ti condurrà attraverso una serie di reindirizzamenti e infine a una pagina che vende alcune "pillole miracolose del cervello IQ" che affermano di aumentare, raddoppiare, qualunque sia la capacità mentale ... quindi chiaramente SPAM.

Qualcuno sa quali sono gli URL /slink... ecc. utilizzati da LinkedIn? Google non ha riportato nulla, tranne alcuni casi in cui LinkedIn è stato utilizzato per reindirizzare gli utenti allo SPAM.

Ho contattato LinkedIn a proposito di questo e del loro "specialista del supporto alla sicurezza", in pratica ho detto che non possono fare nulla a riguardo dato che non è un messaggio inviato dall'utente linkedin ... vai a capire.

UPDATE : dopo aver reiterato il problema con il supporto di LinkedIn, ho recuperato quanto segue:

Thank you for your response. We will look into this issue further and take necessary action based on our results. Thanks for your assistance in keeping LinkedIn a professional and trustworthy site.

Si spera che sia più che solo parole; vedremo che immagino.

    
posta Petri 06.05.2016 - 18:04
fonte

3 risposte

18

Quindi mi sono imbattuto in questo oggi e ho ricevuto un messaggio simile:

link

Per prima cosa ho provato la prima parte: link

Questo termina qui: link - un articolo sciatto su qualcuno che dice che qualcuno ha detto che questa pillola cambierà il mondo intero ...... Ma bene, sembra come un normal sito web di notizie e il codice sorgente sembra effettivamente semanticamente pulito.

Quindi se linkedin potrebbe controllare il codice sorgente della destinazione, in questo caso andrebbe bene in questo caso e fino a questo punto.

Ma quando inserisci: link (con il secondo parametro di ricerca) - sembra leggendo ci sono JavaScripts offuscati, che controllano la ricerca / hash-params nell'URL e reindirizzano correttamente se trovati.

E probabilmente questo non viene controllato dal team di linkedin. Voglio dire come dovrebbero? Questo è difficile perché sta accadendo in un JS offuscato. Se hanno qualche strumento automatico di controllo slink stanno eseguendo la scansione del codice ma probabilmente non eseguono gli script.

Per farla breve: la parte slink?code=####### reindirizza a un collegamento condiviso da linkedin e aggiunge ogni parametro hash o ricerca a questo reindirizzamento. Sulla destinazione reindirizzata, questa viene quindi controllata e utilizzata per un ulteriore reindirizzamento.

    
risposta data 20.05.2016 - 10:38
fonte
6

Bene, testando /slink?code=0 (errore 404) e /slink?code=1 (LinkedIn Business Marketing Solutions), suppongo che sia riservato ai clienti di Soluzioni aziendali LinkedIn .

Detto questo, non penso che sia usato frequentemente. Non vedo molto traffico email che utilizza (vedo più traffico usando Hashcash , che è straordinariamente oscuro.) Questo tipo di collegamento sembra rappresentare lo 0,03% del traffico email che collega al sito www.linkedin.com CDN . Questo redirector viene utilizzato così raramente da non riuscire a determinare quanto sia spammino.

Per rispondere alla domanda su come gli spammer stiano abusando di questo: presumibilmente, uno spammer registra un account falso su LinkedIn e quindi usa questo servizio di reindirizzamento come qualsiasi altro. È un po 'rischioso dal momento che LinkedIn non è estraneo alla risoluzione degli abusi (ad esempio sono un sostenitore chiave di DMARC ) e ci sono così tanti altri servizi di reindirizzamento là fuori, ma forse c'è qualche illusione di legittimità nell'usare questo invece.

Una proposta diretta di questa domanda a LinkedIn ha portato Franck Martin (uno dei suoi principali sostenitori della DMARC) a dire:

This email was not sent by Linkedin.
Linkedin uses several lists to ensure the redirection does not end up to a known bad site. In all cases, please report it to abuse [at] linkedin (as well as the major URL anti-phishing lists) and we will take the appropriate actions.

(Come notato in questo thread sul SpamAssassin Users mailing list.)

Si noti che solo perché il campione specifico che Franck ha visto non è stato inviato da LinkedIn non significa che non ci sia alcun abuso di questo accorciatore, ma mi fido che lo controllino bene. C'è solo poco che possono fare per controllare le email di cui non hanno il controllo (a meno che l'e-mail non venga inviata da @ linkedin.com perché è protetta da una politica dip=reject di DMARC%. i destinatari rifiutano le violazioni delle norme).

Se si segnala il messaggio a loro, dovrebbero almeno essere in grado di rompere il redirector, che è il caso per questo collegamento (come indicato in un'altra risposta a questa domanda ). Se la loro infrastruttura ha inviato la posta, possono inseguirla ulteriormente e agire contro il cliente.

    
risposta data 24.05.2016 - 02:03
fonte
3

Sembra che il tuo link sia morto poiché ora reindirizza a link

Non sono sicuro che esista un meccanismo integrato che supporti specificamente i reindirizzamenti degli utenti in linkedin, ma se lo spammer ha inserito HTML, potrebbero aver utilizzato i meta tag per realizzare questo.

per es.

<meta http-equiv="refresh" content="5;URL=target_link_here">

    
risposta data 19.05.2016 - 23:18
fonte

Leggi altre domande sui tag