È possibile che i collegamenti a siti Web incorporati in un'e-mail conducano a ulteriori tentativi di hacking?

A meno che non si inviino stringhe specifiche nell'URL per fornire pass-through (dove un utente può fare clic per accedere senza autenticare) non c'è più pericolo senza link. Il ragionamento per questo è, qualcuno può inciampare nel tuo portale così com'è (a condizione che sia su Internet pubblico che dovrebbe essere se non hai stabilito qualche forma di connessione SSLVPN / VPN ad una intranet).

Se il tuo obiettivo è quello di fornire un punto di connessione esclusivo a un sito specifico destinato SOLO per UN cliente specifico, potresti creare una regola del firewall che consenta esplicitamente la connessione dal netblock del tuo cliente a quel sito. Questo non garantisce che solo il client dalla posizione specificata possa connettersi.

Ora affermi: "Un link a questo portale clienti è pubblicato nella parte inferiore del nostro sito web pubblico" quindi non c'è più o meno pericolo che inviarlo via email. Quindi, se il tuo obiettivo è ridurre al minimo chi può accedere a questo portale, potrebbe essere un approccio migliore per determinare da dove provengono le connessioni del tuo cliente, creare una regola del firewall per permetterle e negare tutto il resto.

Vedo almeno un modo in cui un utente malintenzionato può sfruttare queste e-mail. L'autore dell'attacco (forse uno dei tuoi clienti) potrebbe tentare di "rivendicare di essere te stesso" e inviare una e-mail ai tuoi clienti con un link molto simile, a una versione contraffatta del tuo sito web. Quando l'utente vittima "accede" al sito simulato, l'utente malintenzionato avrà quindi il proprio nome utente e password e potrebbe quindi accedere come utente vittima sul sito reale.

Questo è Sicurezza attraverso l'oscurità e sembra essere usato come misura al posto di proteggere adeguatamente il portale del cliente .

C'è il vantaggio di non inviare mai link nelle e-mail, poiché questo potrebbe ridurre gli attacchi phishing ai tuoi clienti . Tuttavia, i clienti devono già sapere che non si inviano mai link via e-mail poiché un utente malintenzionato che invia un'email di phishing include i collegamenti e attende qualcuno che li segua ciecamente. Qualcuno potrebbe alla fine, a seconda delle dimensioni della vostra base di clienti e se l'aggressore è riuscito a creare una campagna di phishing adeguatamente mirata (ad esempio, attraverso l'uso di un Enumerazione utente sul portale del cliente o altrove).

Non menzionare il portale in email non significa che la sua esistenza non sia determinata da alcun utente malintenzionato. Esistono molte tecniche di ricognizione che vanno dall'enumerazione DNS, ai risultati dei motori di ricerca, alle informazioni su whois, ai servizi di controllo dei precedenti, alle informazioni sulla società pubblica, Google Hacking , Netcraft , ecc., che gli autori di attacchi possono utilizzare per ottenere informazioni su un'azienda e su quali siti sono in esecuzione.