it-swarm.com.de

Wie verwenden Spammer LinkedIn-URLs "http: //linkedin.com/slink? Code = ..."?

Ich habe diese Art von Link von einem vermutlich kompromittierten Skype-Konto über eine Skype-Nachricht erhalten (do nicht klicken, es sei denn, Sie haben eine Sandbox oder etwas, das Sie schützt). ::

https://www.linkedin.com/slink?code=e4ig_yU#56287=myskypeusername

Wo das myskypeusername ist, ist mein Skype-Benutzername.

Wenn Sie darauf klicken, führt Sie die URL durch eine Reihe von Weiterleitungen und schließlich zu einer Seite, auf der einige "Wunder-Brain-IQ-Pillen" verkauft werden, die behaupten, die mentalen Fähigkeiten eines Menschen zu steigern, zu verdoppeln ... also eindeutig SPAM.

Weiß jemand was die /slink... etc. URLs werden von LinkedIn verwendet? Google hat nichts angesprochen, außer in einigen anderen Fällen, in denen LinkedIn verwendet wurde, um Benutzer zu SPAM umzuleiten.

Ich habe LinkedIn diesbezüglich kontaktiert und ihr "Sicherheits-Support-Spezialist" hat im Grunde gesagt, dass sie nichts dagegen tun können, da es sich nicht um eine Nachricht handelt, die vom Linkedin-Benutzer gesendet wurde.

UPDATE : Nachdem ich das Problem beim LinkedIn-Support wiederholt hatte, erhielt ich Folgendes zurück:

Danke für Ihre Antwort. Wir werden uns weiter mit diesem Thema befassen und auf der Grundlage unserer Ergebnisse die erforderlichen Maßnahmen ergreifen. Vielen Dank für Ihre Unterstützung, um LinkedIn zu einer professionellen und vertrauenswürdigen Website zu machen.

Hoffentlich ist das mehr als nur Worte; Wir werden sehen, denke ich.

30
Petri

Also bin ich heute darauf gestoßen und habe eine ähnliche Nachricht erhalten:

https://www.linkedin.com/slink?code=eiurEkp?61778=myname

Zuerst habe ich den ersten Teil ausprobiert: https://www.linkedin.com/slink?code=eiurEkp

Dies endet hier: http://281-inteligen.thiscontentedmotion.com/de/ihel/inteligen/ - ein betrügerischer Artikel über jemanden, der sagt, dass jemand gesagt hat, dass diese Pille nur die ganze Welt verändern wird. .... aber gut, es sieht aus wie eine normal Zeitungswebsite und der Quellcode sieht tatsächlich semantisch sauber aus.

Wenn LinkedIn den Quellcode des Ziels überprüfen könnte, wäre dies in diesem Fall und bis zu diesem Punkt in Ordnung.

Aber bei der Eingabe von: https://www.linkedin.com/slink?code=eiurEkp?61778 (mit dem zweiten Suchparameter) - es scheint, als würden sie durch Lesen der dort verschleierten JavaScripts nachsehen suche/hash-params in der URL und leite sie um, wenn sie gefunden werden.

Und das wird vom LinkedIn-Team wahrscheinlich nicht überprüft. Ich meine, wie sollen sie? Dies ist schwierig, da es in einem verschleierten JS geschieht. Wenn sie über einen automatischen Slink-Checker verfügen, scannen sie den Code, führen die Skripte jedoch wahrscheinlich nicht aus.


Lange Rede, kurzer Sinn: Die slink?code=####### part leitet von linkedin zu einem freigegebenen Link weiter und hängt einen beliebigen Hash oder search Parameter an diese Weiterleitung an. Auf dem umgeleiteten Ziel wird dies dann überprüft und für eine weitere Umleitung verwendet.

Nun, nur durch Testen von /slink?code=0 (ein 404-Fehler) und /slink?code=1 (LinkedIn Business Marketing Solutions), ich vermute, es ist Kunden von LinkedIn Business Solutions vorbehalten.

Das heißt, ich glaube nicht, dass es so häufig verwendet wird. Ich sehe nicht viel E-Mail-Verkehr damit (ich sehe mehr Verkehr mit Hashcash , was außerordentlich dunkel ist.) Diese Art von Link scheint 0,03% des E-Mail-Verkehrs zu repräsentieren, der mit dem WWW verknüpft ist .linkedin.com [~ # ~] cdn [~ # ~] . Dieser Redirector wird so selten verwendet, dass ich nicht feststellen kann, wie spammig er ist.

Um die Frage zu beantworten, wie Spammer dies missbrauchen: Vermutlich registriert ein Spammer ein falsches Konto bei LinkedIn und verwendet diesen Umleitungsdienst dann wie jeden anderen. Es ist ein bisschen riskant, da LinkedIn kein Unbekannter bei der Lösung von Missbrauch ist (z. B. ein wichtiger Unterstützer von [~ # ~] dmarc [~ # ~] ) und es so viele andere Weiterleitungsdienste gibt da draußen, aber vielleicht gibt es eine Illusion von Legitimität, dies stattdessen zu verwenden.

Eine direkte Beantwortung dieser Frage an LinkedIn führte dazu, dass Franck Martin (einer ihrer wichtigsten DMARC-Befürworter) sagte:

Diese E-Mail wurde nicht von Linkedin gesendet.
Linkedin verwendet mehrere Listen, um sicherzustellen, dass die Umleitung nicht zu einer bekannten fehlerhaften Site führt. In jedem Fall melden Sie es bitte [at] linkedin (sowie den wichtigsten URL-Anti-Phishing-Listen) und wir werden die entsprechenden Maßnahmen ergreifen.

(Wie in dieser Thread auf der SpamAssassin-Benutzer Mailingliste angegeben.)

Nur weil die spezifische Probe, die Franck gesehen hat, nicht von LinkedIn gesendet wurde, bedeutet dies nicht, dass dieser Shortener nicht missbraucht wird, aber ich vertraue darauf, dass sie ihn gut überwachen. Sie können nur wenig tun, um die E-Mails zu kontrollieren, auf die sie keinen Einfluss haben (es sei denn, die E-Mail wird von @ linkedin.com gesendet, weil sie geschützt ist von einem DMARC p=reject Politik. Diese Richtlinie weist die Empfänger an, Richtlinienverstöße abzulehnen.

Wenn Sie ihnen die Nachricht melden, sollten sie zumindest in der Lage sein, den Redirector zu unterbrechen, was bei diesem Link der Fall ist (wie in eine weitere Antwort auf diese Frage angegeben. Wenn ihre Infrastruktur die E-Mail gesendet hat , können sie sie weiter verfolgen und gegen den Kunden vorgehen.

6
Adam Katz

Es sieht so aus, als ob Ihr Link tot ist, da er jetzt zu https://www.linkedin.com/static?key=incomplete_request_error umleitet

Ich bin nicht sicher, ob es einen eingebauten Mechanismus gibt, der Benutzerumleitungen in Linkedin speziell unterstützt, aber wenn der Spammer HTML injiziert hat, haben sie möglicherweise Meta-Tags verwendet, um dies zu erreichen.

z.B.

<meta http-equiv="refresh" content="5;URL=target_link_here">

2
Azeezah M