Ho installato un'applicazione per il mio cliente, che invia liste di offerte di lavoro agli abbonati ogni lunedì mattina.
Le e-mail utilizzano un servizio di redirector di link personalizzato, per rendere i link e-mail amichevoli e per contare i clic ecc.
Questo redirector utilizza un parametro percorso hash per identificare in modo univoco il clic.
Ogni settimana, dopo l'invio delle e-mail, comincio a ricevere avvisi di errore nei log, per i collegamenti di redirector che non possono essere decodificati.
All'inizio pensavo che questo dovesse essere un bug nella codifica e che alcuni utenti finali non erano in grado di fare clic sui collegamenti. Tuttavia, sono stato in grado di verificare che questi collegamenti erano falsi e non erano stati creati dal nostro sistema.
Ciò che sembra accadere è che un bot di qualche tipo deve cercare di creare collegamenti di redirector casuali. Quello che non riesco a capire è perché?
I collegamenti sono stati chiaramente progettati per cercare di imitare il formato dei collegamenti reali. A prima vista sembrano legittimi. Potrebbero essere identificati inizialmente perché includevano caratteri non esadecimali nei parametri, dove i parametri reali sono sempre codificati in esadecimale. Tuttavia ora i link fasulli sono anche codificati in modo esadecimale.
Quale sarebbe lo scopo di questo collegamento di hacking? Gli hacker sperano di capire come vengono codificati i link, pensando che potrebbero essere in grado di creare collegamenti di accesso o collegamenti per la reimpostazione della password?
L'altra cosa curiosa è che questi attacchi sembrano avvenire direttamente dopo la posta. Se si trattasse di un normale tentativo di intrusione, mi aspetterei che accada solo in momenti diversi durante la settimana. Questo dovrebbe essere inteso a renderlo meno sospetto e far sembrare più probabile un'attività legittima da parte degli utenti?
Se è utile, i link che vengono inviati nelle e-mail sono simili a questo ...
/email/links/287545cb07c0/985edd0470e453.asp
Nota: il .asp è completamente arbitrario, in realtà non utilizza l'ASP classico, per lo più volevo solo usare un'estensione che non confondesse i client di posta, ma darebbe anche agli hacker meno indizi sull'ambiente applicativo di back-end.