Perché è pericoloso aprire un'e-mail sospetta?

C'è un piccolo rischio di un bug sconosciuto - o noto ma non aggiornato - nel tuo client di posta che consente un attacco semplicemente visualizzando un messaggio.

Penso, tuttavia, che questo consiglio molto ampio sia fornito anche come difesa contro alcuni tipi di frodi di phishing. Gli attacchi di social engineering sono comuni e possono portare a seri problemi, e assicurarsi che le persone siano almeno sospettosi è una prima linea di difesa. Questo è come dire a un anziano nonno di non dare mai le informazioni della sua carta di credito al telefono - ok, certo, ci sono molte circostanze in cui farlo è relativamente sicuro, ma quando tieni viene truffato più e più volte , è più facile dire semplicemente: non farlo.

Allo stesso modo, non aprire la posta ti impedisce di leggere la situazione di un orfano in una regione devastata dalla guerra che ha inaspettatamente trovato una riserva di oro nazista e ha solo bisogno di $ 500 per contrabbandare e condivideranno metà con te, e il tuo cuore si spegne, e anche quei soldi non farebbero male .... O, mentre tu conosci la regola sugli allegati, questo dice che sono le immagini dei gattini più carini di sempre, e come può che essere dannoso - lo farò semplicemente clic e ok ora ci sono queste caselle che dicono di volerlo permettere, il che è fastidioso perché ovviamente lo faccio perché voglio vedere i gattini .. ..

Non per gmail, ma per Outlook ci sono stati un certo numero di exploit del "pannello di anteprima" in cui semplicemente guardare l'e-mail è sufficiente per compromettere: È possibile attivare il malware visualizzando l'anteprima dell'email nel riquadro di anteprima di Outlook?

Anche se non accade nulla di brutto, possono accadere molte cose passive: ad esempio, puoi visualizzare un'immagine trasparente a un pixel taggata con il tuo indirizzo email che ti indica come il tipo di persona che apre e legge e-mail sospette. Quelle sono liste su cui non vuoi essere.

Prendi l'esempio di Gmail. Le e-mail in arrivo vengono inviate attraverso i filtri di posta o le miglia . Ognuno di questi mungitori valuta l'email in base alle caratteristiche. Ad esempio, stato mittente, SPF, DKIM, reputazione del dominio, greylist, spamlists, contenuti, ecc. Se la posta non è già stata rifiutata, raggiungerà lo scanner antivirus.

Lo scanner semplicemente scollega i file nel contenuto della posta e li abbina alle definizioni dei virus. Nel caso di Gmail, anche gli archivi vengono decompressi per eseguire la scansione di singoli file. Quando non vengono rilevate minacce, l'email verrà archiviata nella cartella della posta elettronica.

Tuttavia, funziona perfettamente ma Gmail non può proteggerti da tutte le minacce. Strani formati di compressione o file crittografati possono ancora scivolare. XSS è altamente improbabile perché questi tipi di exploit sono riconosciuti abbastanza velocemente, sia da Gmail che dal browser. La migliore possibilità di infezione è però un client di posta locale che utilizza estensioni (ad esempio CVE-2015-6172) per caricare i contenuti allegati.

Generalmente dovrebbe essere sicuro visualizzare un'email, ma il software è complesso e molto raramente perfetto.

Anche se i buoni produttori di software cercheranno di assicurarsi che visualizzino tutte le e-mail in modo sicuro hanno sicuramente commesso degli errori. Quando vengono scoperti questi bug, le persone inviano email elaborate che sfruttano i bug in qualche modo e possono installare software dannoso sul tuo computer o fare altre cose spiacevoli.

Oggi è possibile scoprire un nuovo bug in Gmail o nel browser Web che utilizzi e qualcuno potrebbe inviare un'email che lo sfrutta prima di ricevere un aggiornamento che corregge il bug.

Il pericolo aumenta in modo sostanziale se si utilizza un browser Web o un client di posta elettronica vecchio o non più mantenuto.

Esistono modi per sapere che hai aperto un'email (ad esempio, Mixmax è un'estensione di Chrome che tiene traccia delle email inviate tramite Gmail incorporando un'immagine nascosta di lunghezza 0 nel corpo dell'e-mail).

Anche quando non permetti il caricamento automatico delle immagini (quando in Gmail vedi nella parte superiore dell'email un link con "Visualizza immagini sotto"), se l'HTML è caricato, stai permettendo ai possibili sfruttatori di conoscerti li stiamo leggendo, che è un via libera per il bombardamento di spam e-mail.

Pertanto, rispondendo alla domanda "perché" con un'altra domanda: è rischioso aprire e caricare un'e-mail sconosciuta con HTML incorporato?

SÌ, semplicemente aprendo un'email in Gmail potresti inviare dati a potenziali aggressori.

Anche altri client di posta che non bloccano completamente le immagini delle e-mail aperte invieranno i dati quando li apri.

I link dannosi rappresentano la maggior parte dello sfruttamento oggi. Il codice dannoso (principalmente javascript) è appositamente predisposto per eseguire codice indesiderato tramite il browser. Proprio la settimana scorsa abbiamo visto i 3 giorni 0 iOS (vedi Trident / Pegasus ) che è partito da un'e-mail dannosa ed è probabilmente rimasto in libertà dal 2014 (dalla sicurezza ora ) i collegamenti erano anche link "monouso", avevano supporto per ogni iOS a partire da 7, ed erano in grado di "jailbreak" iOS da remoto. Il punto è che non mi preoccuperei del vero "contenuto" del messaggio tanto quanto cliccare su immagini o collegamenti nell'e-mail. Mentre sì, ci sono trucchi per caricare gli script tramite il caricamento delle immagini (o simili), i moderni browser e le e-mail client hanno la capacità di prevenire lo scripting, quindi puoi semplicemente disattivarlo. Risolto.

La realtà è che i programmi elaborano i dati. Questi programmi possono contenere bug che causano il comportamento del programma in modo completamente diverso da quello previsto. Di solito ciò che accade in tali circostanze è che il programma verrà terminato dal sistema operativo o si impegna in un comportamento casuale non dannoso. Tuttavia, tutto ciò che fa un programma è tecnicamente ancora deterministico (a meno che non sia coinvolta la casualità) - quindi ciò che un programma fa quando incontra i dati che elabora è deterministico, così gli attaccanti sono in grado di costruire i dati in un modo per controllare esattamente cosa fa il programma.

Quando si ricevono e-mail, il client e-mail sta già elaborando i dati, quindi c'è una buona probabilità che un utente malintenzionato possa assumere il controllo del proprio programma di posta elettronica semplicemente inviandoci una e-mail, non importa se si guarda effettivamente a esso. Il programma di posta elettronica scaricherà l'e-mail e visualizzerà per esempio il Soggetto. Quando apri l'e-mail, il tuo client e-mail probabilmente farà ancora di più, come analizzare l'HTML nell'e-mail, visualizzare i contenuti, visualizzare le immagini, ecc. In tutto ciò che fa (dall'analisi HTML, al rendering delle immagini, per rendere il testo, per scaricare e-mail, per visualizzare l'oggetto) ci può essere un bug in esso.

Aprire un'e-mail sospetta è più rischioso perché più materiale viene elaborato quando lo si apre effettivamente.

Quando visiti un sito web (come Gmail) e apri una e-mail, le cose sono molto diverse perché GMAIL è solo un sito web come un altro .... tranne che visualizza E-mail per te. Il problema è che i siti Web devono tenere conto del fatto che non è possibile inviare il contenuto della posta elettronica in modo raw al browser, perché in questo caso potrebbe esserci un codice HTML dannoso e / o un codice JavaScript pericoloso. Tecnicamente questo non è molto diverso da siti come Wikipedia dove gli utenti possono scrivere articoli che contengono formattazione.

Naturalmente, il tuo browser utilizzerà anche le librerie per il rendering di testo, i caratteri di elaborazione, le immagini di processo ecc. quindi se c'è un bug in una libreria di immagini e l'e-mail contiene un'immagine dannosa, allora sei sfortunato ed è non è colpa di GMAIL. Puoi aspettarti che le possibili vulnerabilità di sicurezza con GMAIL siano le stesse del browser e il problema delle vulnerabilità di sicurezza XSS'n'Co.

Modifica: Questo è tutto. anche il motivo per cui ti infetti materiale anche quando non visiti siti sospetti (e la gente di solito significa porno, streaming, siti warez da quello) è perché anche i siti non sospetti pubblicano annunci da reti diverse, quindi se l'attaccante infetta in qualche modo una rete, anche i siti non sospetti ti serviranno malware. Tecnicamente è insicuro utilizzare contenuti di terze parti che non controlli. Pensa a cosa succede quando un utente malintenzionato riesce a controllare un CDN che serve jquery o bootstrap o qualsiasi altra destinazione in cui migliaia di siti lo utilizzano, quindi tutti questi siti contengono javascript dannosi. Per evitare che ciò accada, c'è questo: link ma non so quanto sia ben supportato questo è il momento.

Aprire un'e-mail sospetta è più rischioso perché più cose vengono elaborate quando la si apre effettivamente. piace 1. Può monitorare il tuo IP 2. Può persino eseguire XSS / CSRF / Command Injection se il sito Web è vulnerabile. 3. In anticipo forse un exe backdoor per guadagnare terminale o root