web-dev-qa-db-fra.com

Comment les spammeurs utilisent-ils les URL "http: //linkedin.com/slink? Code = ..." de LinkedIn?

On m'a envoyé ce type de lien depuis un compte Skype probablement compromis, via un message Skype (ne pas cliquez sauf si vous avez un bac à sable ou quelque chose pour vous protéger) :

https://www.linkedin.com/slink?code=e4ig_yU#56287=myskypeusername

Où est le myskypeusername, eh bien oui, mon nom d'utilisateur skype.

En cliquant dessus, l'URL vous mènerait à travers une série de redirections et enfin vers une page vendant des "pilules miracle Brain IQ" prétendant augmenter, doubler, quelles que soient ses capacités mentales ... si clairement SPAM.

Est-ce que quelqu'un sait ce que le /slink... etc. Les URL sont utilisées par LinkedIn? Google n'a rien signalé, à l'exception de quelques autres cas où LinkedIn a été utilisé pour rediriger les utilisateurs vers le SPAM.

J'ai contacté LinkedIn à ce sujet et leur "spécialiste du support de sécurité" a essentiellement dit qu'ils ne pouvaient rien y faire étant donné que ce n'était pas un message envoyé par l'utilisateur de linkedin ... allez comprendre.

UPDATE : Après avoir réitéré le problème au support LinkedIn, j'ai récupéré ce qui suit:

Merci pour votre réponse. Nous approfondirons cette question et prendrons les mesures nécessaires en fonction de nos résultats. Merci de votre aide pour maintenir LinkedIn un site professionnel et fiable.

Espérons que ce soit plus que des mots; nous verrons, je suppose.

spamurl-redirection
30
Petri

Je suis donc tombé sur cela aujourd'hui et j'ai reçu un message similaire:

https://www.linkedin.com/slink?code=eiurEkp?61778=myname

J'ai d'abord essayé la première partie: https://www.linkedin.com/slink?code=eiurEkp

Cela se termine ici: http://281-inteligen.thiscontentedmotion.com/de/ihel/inteligen/ - un article frauduleux sur quelqu'un disant que quelqu'un a dit que cette pilule ne ferait que changer le monde entier .. .... Mais bon, il ressemble à un normal news- le site Web papier et le code source ont l'air sémantiquement propres.

Donc, si linkedin pourrait vérifier le code source de la destination, ce serait bien dans ce cas et jusqu'à ce point.

Mais en entrant: https://www.linkedin.com/slink?code=eiurEkp?61778 (avec le deuxième paramètre de recherche) - il semble qu'en lisant là-bas des JavaScripts obscurcis, ils vérifient rechercher/hash-params dans l'URL et rediriger correctement s'il est trouvé.

Et cela n'est probablement pas vérifié par l'équipe de linkedin. Je veux dire, comment devraient-ils? C'est difficile car cela se produit dans un JS obscurci. S'ils ont un vérificateur de slink automatisé, ils scannent le code mais n'exécutent probablement pas les scripts.

En bref: le slink?code=####### une partie redirige vers un lien partagé à partir de linkedin et ajoute n'importe quel hachage ou recherche paramètre de cette redirection. Sur la destination redirigée, cela est ensuite vérifié et utilisé pour une nouvelle redirection.

18
Sebastian G. Marinescu

Eh bien, juste en testant /slink?code=0 (une erreur 404) et /slink?code=1 (LinkedIn Business Marketing Solutions), je suppose que c'est réservé aux clients de LinkedIn Business Solutions .

Cela dit, je ne pense pas que ce soit fréquemment utilisé. Je ne vois pas beaucoup de trafic d'e-mails en l'utilisant (je vois plus de trafic en utilisant Hashcash , ce qui est extrêmement obscur.) Ce type de lien semble représenter 0,03% du trafic d'e-mails reliant au www.linkedin .com CDN . Ce redirecteur est si rarement utilisé que je ne peux pas déterminer le niveau de spam.

Pour répondre à la question de savoir comment les spammeurs abusent de cela: Vraisemblablement, un spammeur enregistre un compte bidon sur LinkedIn, puis utilise ce service de redirection comme n'importe quel autre. C'est un peu risqué car LinkedIn n'est pas étranger à la résolution des abus (par exemple, ils sont un contributeur clé de DMARC ) et il y a tellement d'autres services de redirection là-bas , mais il y a peut-être une illusion de légitimité à l'utiliser à la place.

Une question posée directement à LinkedIn a amené Franck Martin (l'un de leurs principaux défenseurs du DMARC) à dire:

Cet e-mail n'a pas été envoyé par Linkedin.
Linkedin utilise plusieurs listes pour garantir que la redirection ne se termine pas sur un mauvais site connu. Dans tous les cas, veuillez signaler qu'il abuse de [sur] linkedin (ainsi que les principales listes anti-phishing d'URL) et nous prendrons les mesures appropriées.

(Comme indiqué dans ce fil sur la liste de diffusion tilisateurs de SpamAssassin .)

Notez que ce n'est pas parce que l'échantillon spécifique que Franck a vu n'a pas été envoyé par LinkedIn qu'il n'y a pas d'abus de ce raccourcisseur, mais j'ai confiance qu'ils le contrôlent bien. Ils ne peuvent pas faire grand-chose pour contrôler les courriels dont ils n'ont pas le contrôle (sauf si le courriel forge l'envoi de @ linkedin.com car il est protégé par un DMARC p=reject politique. Cette politique demande aux destinataires de rejeter les violations de politique).

Si vous leur signalez le message, ils devraient au moins pouvoir casser le redirecteur, ce qui est le cas pour ce lien (comme indiqué dans autre réponse à cette question ). Si leur infrastructure a envoyé le courrier, il peut le poursuivre et prendre des mesures contre le client.

6
Adam Katz

Il semble que votre lien soit mort car il redirige maintenant vers https://www.linkedin.com/static?key=incomplete_request_error

Je ne sais pas s'il existe un mécanisme intégré qui prendrait spécifiquement en charge les redirections des utilisateurs dans linkedin, mais si le spammeur a injecté du HTML, il a peut-être utilisé des balises META pour y parvenir.

par exemple.

<meta http-equiv="refresh" content="5;URL=target_link_here">

2
Azeezah M