Ho letto il ROPEMAKER per sfruttare il whitepaper di Mimecast. Nell'articolo si menziona l'invio di un HTML sicuro (che può contenere testo malvagio, ma purché sia un semplice HTML sicuro rispetto ai meccanismi di protezione dei destinatari) al destinatario e faccia l'exploit visualizzando selettivamente i campi necessari nel codice HTML utilizzando CSS caricabili in remoto.
Non ho davvero l'idea di CSS a caricamento remoto per le email. In che modo un utente malintenzionato / utente può inviare CSS insieme al corpo dell'email e caricarlo da remoto al destinatario?
Questo è effettivamente possibile? Se sì, come?