È possibile che i collegamenti a siti Web incorporati in un'e-mail conducano a ulteriori tentativi di hacking?

2

La mia organizzazione attualmente invia e-mail che indirizzano i nostri clienti ad accedere e visualizzare le informazioni su un sito portale del cliente che abbiamo sviluppato. Il contenuto di queste e-mail è in genere piuttosto generico poiché preferiamo inviare tutte le informazioni riservate ai nostri clienti attraverso questo sito Web sicuro.

Recentemente mi è stato chiesto se dovessimo eliminare tutti gli URL che collegano al nostro portale clienti dalle e-mail che inviamo. La giustificazione di questa richiesta è quella di dissuadere i tentativi di hackerare il nostro portale clienti. Dal momento che questa richiesta proviene da dirigenti e non esperti di sicurezza vorrei le vostre opinioni. Ciò potrebbe in qualche modo ridurre le possibilità che il nostro portale clienti venga attaccato?

Un'altra informazione potenzialmente utile è che un link a questo portale clienti è pubblicato nella parte inferiore del nostro sito web pubblico.

    
posta Derek 08.12.2014 - 22:05
fonte

3 risposte

0

A meno che non si inviino stringhe specifiche nell'URL per fornire pass-through (dove un utente può fare clic per accedere senza autenticare) non c'è più pericolo senza link. Il ragionamento per questo è, qualcuno può inciampare nel tuo portale così com'è (a condizione che sia su Internet pubblico che dovrebbe essere se non hai stabilito qualche forma di connessione SSLVPN / VPN ad una intranet).

Se il tuo obiettivo è quello di fornire un punto di connessione esclusivo a un sito specifico destinato SOLO per UN cliente specifico, potresti creare una regola del firewall che consenta esplicitamente la connessione dal netblock del tuo cliente a quel sito. Questo non garantisce che solo il client dalla posizione specificata possa connettersi.

Ora affermi: "Un link a questo portale clienti è pubblicato nella parte inferiore del nostro sito web pubblico" quindi non c'è più o meno pericolo che inviarlo via email. Quindi, se il tuo obiettivo è ridurre al minimo chi può accedere a questo portale, potrebbe essere un approccio migliore per determinare da dove provengono le connessioni del tuo cliente, creare una regola del firewall per permetterle e negare tutto il resto.

    
risposta data 08.12.2014 - 22:25
fonte
5

Vedo almeno un modo in cui un utente malintenzionato può sfruttare queste e-mail. L'autore dell'attacco (forse uno dei tuoi clienti) potrebbe tentare di "rivendicare di essere te stesso" e inviare una e-mail ai tuoi clienti con un link molto simile, a una versione contraffatta del tuo sito web. Quando l'utente vittima "accede" al sito simulato, l'utente malintenzionato avrà quindi il proprio nome utente e password e potrebbe quindi accedere come utente vittima sul sito reale.

    
risposta data 09.12.2014 - 00:53
fonte
0

Questo è Sicurezza attraverso l'oscurità e sembra essere usato come misura al posto di proteggere adeguatamente il portale del cliente .

C'è il vantaggio di non inviare mai link nelle e-mail, poiché questo potrebbe ridurre gli attacchi phishing ai tuoi clienti . Tuttavia, i clienti devono già sapere che non si inviano mai link via e-mail poiché un utente malintenzionato che invia un'email di phishing include i collegamenti e attende qualcuno che li segua ciecamente. Qualcuno potrebbe alla fine, a seconda delle dimensioni della vostra base di clienti e se l'aggressore è riuscito a creare una campagna di phishing adeguatamente mirata (ad esempio, attraverso l'uso di un Enumerazione utente sul portale del cliente o altrove).

Non menzionare il portale in email non significa che la sua esistenza non sia determinata da alcun utente malintenzionato. Esistono molte tecniche di ricognizione che vanno dall'enumerazione DNS, ai risultati dei motori di ricerca, alle informazioni su whois, ai servizi di controllo dei precedenti, alle informazioni sulla società pubblica, Google Hacking , Netcraft , ecc., che gli autori di attacchi possono utilizzare per ottenere informazioni su un'azienda e su quali siti sono in esecuzione.

    
risposta data 10.12.2014 - 14:13
fonte

Leggi altre domande sui tag