I bot cercano di falsificare i link e-mail codificati, ma perché?

0

Ho installato un'applicazione per il mio cliente, che invia liste di offerte di lavoro agli abbonati ogni lunedì mattina.

Le e-mail utilizzano un servizio di redirector di link personalizzato, per rendere i link e-mail amichevoli e per contare i clic ecc.

Questo redirector utilizza un parametro percorso hash per identificare in modo univoco il clic.

Ogni settimana, dopo l'invio delle e-mail, comincio a ricevere avvisi di errore nei log, per i collegamenti di redirector che non possono essere decodificati.

All'inizio pensavo che questo dovesse essere un bug nella codifica e che alcuni utenti finali non erano in grado di fare clic sui collegamenti. Tuttavia, sono stato in grado di verificare che questi collegamenti erano falsi e non erano stati creati dal nostro sistema.

Ciò che sembra accadere è che un bot di qualche tipo deve cercare di creare collegamenti di redirector casuali. Quello che non riesco a capire è perché?

I collegamenti sono stati chiaramente progettati per cercare di imitare il formato dei collegamenti reali. A prima vista sembrano legittimi. Potrebbero essere identificati inizialmente perché includevano caratteri non esadecimali nei parametri, dove i parametri reali sono sempre codificati in esadecimale. Tuttavia ora i link fasulli sono anche codificati in modo esadecimale.

Quale sarebbe lo scopo di questo collegamento di hacking? Gli hacker sperano di capire come vengono codificati i link, pensando che potrebbero essere in grado di creare collegamenti di accesso o collegamenti per la reimpostazione della password?

L'altra cosa curiosa è che questi attacchi sembrano avvenire direttamente dopo la posta. Se si trattasse di un normale tentativo di intrusione, mi aspetterei che accada solo in momenti diversi durante la settimana. Questo dovrebbe essere inteso a renderlo meno sospetto e far sembrare più probabile un'attività legittima da parte degli utenti?

Se è utile, i link che vengono inviati nelle e-mail sono simili a questo ...

/email/links/287545cb07c0/985edd0470e453.asp

Nota: il .asp è completamente arbitrario, in realtà non utilizza l'ASP classico, per lo più volevo solo usare un'estensione che non confondesse i client di posta, ma darebbe anche agli hacker meno indizi sull'ambiente applicativo di back-end.

    
posta user1751825 29.10.2018 - 01:17
fonte

1 risposta

0

Poiché i tuoi link non contengono un URI di destinazione, qui ci sono solo poche possibilità per un attacco:

  1. L'autore dell'attacco ha (o presume che abbia) trovato un modo per instradare il tuo redirector (improbabile)
  2. Un tentativo di danneggiare la tua reputazione web; cercare il tuo dominio per URI DNSBL elenchi
  3. Un tentativo di abbattere il tuo servizio agli occhi dei tuoi utenti
  4. L'attaccante presume che il tuo sistema anti-spam autorizzi le e-mail con tali URI
  5. Un tentativo di avvelenamento bayesiano (che non funziona nemmeno) o un'altra attività senza senso

Forse c'è un bug nel tuo codice (e / o quello dell'attaccante), ma suppongo che sia più fastidioso di qualsiasi altra cosa: danneggiare la tua reputazione in qualche modo (per i tuoi utenti o globalmente) o provare a giocare un po ' sistema anti-spam.

Se il redirector ha mantenuto l'URI di destinazione

Inizialmente avevo supposto che il tuo servizio di reindirizzamento conservasse l'URI di destinazione, qualcosa come link dato hash = substr(sha1("s3cret_pepper:" + uri), 0, 12) e che questi falsi non hanno superato la verifica ma l'aggressore è stato troppo stupido per averlo verificato.

In tal caso, gli obiettivi di reindirizzamento in questi messaggi sarebbero probabilmente siti dannosi.

Questo sarebbe il dirottamento della reputazione web , in cui stanno utilizzando la reputazione del redirector al posto della probabile cattiva reputazione del proprio sito di atterraggio, ignorando così URI DNSBLs nel rilevamento dello spam.

Un'altra possibilità è che a loro non piaci e stanno provando a danneggiare la tua reputazione web.

Una terza possibilità è che stanno cercando di ingannare i tuoi utenti (e / o la tua whitelist interna) nel pensare che questi link siano sicuri.

I primi due scenari potrebbero danneggiare la reputazione Web. Guardati su un sito come link per vedere se sei già nella lista nera (e confronta la tua reputazione con quella dei siti questo utente malintenzionato sta tentando di reindirizzare a).

    
risposta data 14.11.2018 - 20:29
fonte

Leggi altre domande sui tag