Pericoli dell'abbonamento all'e-mail one-step

Naviga le tue risposte
5

Recentemente, quando mi iscrivevo alla newsletter via email su qualche sito web, sono rimasto sorpreso dal fatto di non ricevere email di conferma. Naturalmente ho anche registrato il mio mail alias alla newsletter per verificare che si intendesse per comportamento. Lo era.

E mi chiedo: quali sono i pericoli e gli svantaggi di non richiedere agli utenti iscritti di confermare l'abbonamento?

Posso pensare ad uno scenario possibile:

  1. L'attaccante registra in modo programmatico da migliaia a milioni di e-mail reali (o da qualche database di posta o ottenuto da lui stesso)
  2. Il server sotto attacco raggiungerà il punto di inviare una newsletter e inizierà a inviare mail
  3. Molti utenti ricevono email che non hanno richiesto

L'invio di server / sito web può essere attaccato in questo modo? In quali circostanze ciò comporterebbe l'inserimento nella lista nera di siti Web dall'invio di e-mail?

Ciò può causare problemi relativi a sistemi simili a IPS / IDS distribuiti su server di origine o di destinazione? Considerando, ad esempio, che l'elenco di mail mirate sarebbe esclusivamente con dominio @ company.com e l'utente malintenzionato vorrebbe compromettere la capacità del sito Web / server attaccato di inviare e-mail alla società menzionata? L'attaccante eseguiva l'attacco e i server di company.com avrebbero inserito nella lista nera il mail server / dominio da cui arrivano le email. È una possibilità da prendere in considerazione?

Infine, puoi pensare ad altri problemi di sicurezza che questo potrebbe introdurre?

    
posta FanaticD 17.05.2017 - 18:38
fonte

3 risposte

3

Vedo uno dei possibili inconvenienti in una situazione in cui la newsletter della società non può essere annullata. Un utente malintenzionato abbona programmaticamente molti utenti reali. La società invia la sua newsletter agli utenti iscritti come al solito. Alcuni utenti che non si sono iscritti possono annullare l'iscrizione utilizzando il link corretto incluso nella newsletter. Alcuni potrebbero semplicemente spostare il messaggio nello spam. L'utente malintenzionato potrebbe quindi (periodicamente) assicurarsi che tutti gli utenti target siano nuovamente iscritti.

Ma non sono sicuro dell'efficienza di tale attacco e di quanto probabilmente potrebbe causare reali conseguenze legali per la società attaccata. Tuttavia, l'azienda potrebbe finire per inviare un sacco di spam.

    
risposta data 07.08.2017 - 10:25
fonte
0

In Germania hai ulteriori problemi di conformità se non utilizzi il doppio opt-in. Da un punto di vista della sicurezza hai ragione con le tue preoccupazioni. Ma: non puoi fare molto su queste minacce. Naturalmente è possibile bloccare le registrazioni automatiche come DDoS, usare captcha per cercare di evitare le registrazioni automatiche, solo consentire e-mail firmate e inviate dal mittente ... Anche con questo non si possono evitare i rischi. Un utente malintenzionato può sempre disturbare / ddosare gli utenti attraverso la registrazione falsa utilizzando indirizzi e-mail-mittente falsi. Potrebbe impostare il server su qualsiasi lista nera inviando SPAM nel tuo nome. Non ha bisogno del tuo server per questo. Al momento stiamo affrontando una grande ondata di spam con indirizzi mittente perfettamente falsificati. E il destinatario conosce sempre il mittente. Spooky ...

    
risposta data 17.05.2017 - 20:14
fonte
0

Penso che se la società è stata attaccata e sono state inviate migliaia e migliaia di newsletter via email, uno degli effetti principali che posso pensare è il danno alla reputazione che l'azienda sosterrebbe.

Uno che la società non è stata in grado di proteggersi contro l'attacco in primo luogo, e in secondo luogo le opinioni negative che le persone potrebbero formare della società in seguito alla ricezione di posta indesiderata che non volevano.

    
risposta data 07.08.2017 - 10:42
fonte

Leggi altre domande sui tag

Perché Android / Linux è in grado di comunicare con il punto di accesso wireless dopo che la chiave di crittografia è stata azzerata? Cosa posso fare con una shell SQL usando SQLMap?