Domanda:
Perché è pericoloso aprire un'e-mail sospetta?
Tomas
2016-09-05 13:10:31 UTC
view on stackexchange narkive permalink

Vorrei sapere perché è considerato pericoloso aprire un'email da una fonte sconosciuta?

Utilizzo Gmail e ho pensato che non fosse sicuro scaricare un allegato ed eseguirlo.

La prima cosa che mi è venuta in mente è stata se il testo dell'email contenesse codice JavaScript XSS ma sono sicuro che ogni provider di posta elettronica ha protetto il proprio sito dall'ottenere XSS-ed.

Cosa succede dietro le quinte quando si viene infettati semplicemente facendo clic su e-mail e leggendo il suo contenuto, ad esempio su Gmail?

Nel caso dell'e-mail HTML, potrebbe essere utilizzato anche csrf.ad esempio: ""
Si potrebbe anche supporre che l'apertura di un'e-mail aumenti il rischio di clic su un collegamento o di download di un file poiché non è possibile eseguire queste operazioni senza prima aprire l'email.
Anche se xss xavier menzionato non funziona, l'attaccante potrebbe verificare l'e-mail usando e potresti entrare nel vivo di un massiccio spamming + bruteforcing
Non dovresti mai aprire un'email come HTML.Leggilo sempre come testo in chiaro prima, per evitare tutti questi tipi di attacchi.Se è un'e-mail HTML puoi dare un'occhiata ai contenuti e verificare se potrebbero essere sicuri ...
Meglio ancora, non leggere affatto la tua email.È sempre pieno di richieste che distraggono che richiedono tempo.: P
In passato, Eudora Pro scaricava e salvava su disco ogni allegato in ogni e-mail ricevuta (nemmeno aperta, appena ricevuta).Una volta sono stato assunto dalla squadra di difesa per un preside di una scuola media accusato di aver visto contenuti inappropriati al lavoro.Ogni singola immagine con nudità sul suo disco si è rivelata essere stata scaricata automaticamente dal suo client di posta elettronica.
@Xavier59 se utilizzi un servizio di banking online che invia informazioni di pagamento su richieste GET, hai maggiori problemi di sicurezza nella tua vita rispetto a strane e-mail.
@JustinLardinois E senza alcun tipo di password o autenticazione in due passaggi prima di inviare denaro xD
@Xavier59 disattivare le immagini in GMail (non nel browser) non protegge da questo?
@MauganRa Sì, ti proteggerà da questo tipo di attacco tramite posta elettronica.Tuttavia, sei ancora vulnerabile su ogni sito che visiti di cui non ti puoi fidare (o sito web che è stato compromesso).Guarda come funziona: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
Per la risposta a questa domanda, controlla l'allegato che ho incluso con la mia recente e-mail a te ...
È meno pericoloso aprire un'e-mail non sospetta?
Non sono sicuro che sia possibile con Gmail, ma puoi perdere hash NetNTLM con Outlook https://wildfire.blazeinfosec.com/love-letters-from-the-red-team-from-e-mail-to-ntlm-hashes-con-microsoft-outlook /
Dieci risposte:
#1
+205
mattdm
2016-09-05 20:51:14 UTC
view on stackexchange narkive permalink

Esiste un piccolo rischio che un bug sconosciuto - o noto ma senza patch - nel tuo client di posta consenta un attacco semplicemente visualizzando un messaggio.

Penso, tuttavia, questo consiglio molto ampio viene fornito anche come difesa contro alcuni tipi di frodi di phishing . Gli attacchi di ingegneria sociale sono comuni e possono causare seri problemi. Assicurarsi che le persone siano almeno sospettose è una prima linea di difesa. È come dire a un nonno anziano di non fornire mai i dati della sua carta di credito per telefono: ok, certo, ci sono molte circostanze in cui farlo è relativamente sicuro, ma quando continuano a essere truffati più e più volte, è più facile dire: non farlo.

Allo stesso modo, non aprire la posta ti impedisce di leggere della situazione di un orfano in una regione devastata dalla guerra che ha ha trovato inaspettatamente un deposito di oro nazista e ha solo bisogno di $ 500 per portarlo fuori di nascosto e ne condivideranno la metà con te, e il tuo cuore si spegne, e anche quei soldi non farebbero male ... Oppure, mentre tu conoscere la regola sugli allegati, questa dice che sono le foto dei gattini più carini di sempre, e come può ciò essere dannoso - farò semplicemente clic su di esso e okay ora ci sono queste scatole che dicono voglio permetterlo, il che è fastidioso perché ovviamente lo faccio perché voglio vedere i gattini ....

Adoro l'ultimo paragrafo!
Oh, e BTW, devi anche aggiornare il tuo codec video prima di poter vedere quel piccolo video di cagnolino.
L'ultimo paragrafo è semplicemente geniale.Inoltre, mattdm, dov'è la tua t-shirt fedora?
Sono contento che piaccia a [email protected], la maglietta è in lavanderia.:)
Bene, se ci sono gattini, farò clic sul tuo collegamento.
Basta saltare sul sito StackExchange di finanza personale e rimanere a bocca aperta davanti al messaggio "È una truffa?"domande che le persone chiedono in merito.(E poi immagina quante persone * non * fanno questa domanda.)
@aslum non ci sono gattini, sono [cavalli di Troia] (https://en.wikipedia.org/wiki/Trojan_Horse) che lasciano entrare cose cattive nel tuo computer.
Potresti anche menzionare che se visualizzi la posta HTML il tuo client di posta elettronica potrebbe richiamare il tuo browser o qualche altro programma esterno come il plug-in Flash per mostrarti l'e-mail (con tutti i buchi di sicurezza di quei programmi).Alcune e-mail possono anche incorporare web-bug in cui l'estrazione di un'immagine incorporata nell'e-mail dice al mittente che hai effettivamente visualizzato l'e-mail (e quando) perché all'URL univoco a cui si trovava l'immagine incorporata si accedeva in quel momento.Sapere che qualcuno ha guardato la sua posta elettronica ti rende una persona reale e ti mette in cima alla lista per futuri spam.
#2
+62
pjc50
2016-09-05 18:24:17 UTC
view on stackexchange narkive permalink

Non per Gmail, ma per Outlook ci sono stati una serie di exploit del "riquadro di anteprima" in cui è sufficiente guardare l'email per compromettere: Il malware può essere attivato visualizzando l'anteprima dell'email in Riquadro di anteprima di Outlook?

Tutto ciò che rende la posta elettronica HTML tramite un motore di browser Web è vulnerabile agli stessi exploit a cui sono vulnerabili il motore HTML e le librerie di rendering multimediale che utilizza.
Ce ne sono anche un paio senza patch in Kontact / KDEPIM / KMail… ☹
#3
+29
arp
2016-09-05 20:40:12 UTC
view on stackexchange narkive permalink

Anche se non accade nulla di brutto, possono accadere molte cose passivamente brutte: ad esempio, potresti visualizzare un'immagine trasparente di un pixel contrassegnata con il tuo indirizzo e-mail che ti contrassegna come il tipo di persona che apre e legge le e-mail sospette. Quelle sono liste in cui non vuoi essere presente.

Pensavo che ogni client di posta decente stesse già bloccando le immagini in linea?
@JanDvorak In realtà ho notato che di recente alcuni client hanno smesso di farlo.Inoltre, il mio cliente in particolare non blocca mai i componenti FLASH esterni.È davvero pazzesco.
Gmail ha aggiunto il proxy delle immagini in modo da non effettuare la richiesta direttamente al server originale: https://gmail.googleblog.com/2013/12/images-now-showing.html Ciò non interrompe il monitoraggio individuale (ovvero, l'invio dell'utente a example.com/images/example-at-gmail-dot-com.png e il fatto di notare che viene colpito) poiché il proxy / cache apparentemente non scarica effettivamente ilimmagine fino a quando non lo fa l'utente.Effettua il download una sola volta ed esegue la scansione dell'immagine, ma l'aggressore continuerà a vedere che hai aperto la tua e-mail.
Ah merda, non lo sapevo.Li apro sempre solo per vedere cosa stanno facendo quelle persone ora.Mi piace leggere le loro storie.Mi fa sempre male quando ho un altro zio milionario o un principe di un paese inesistente che vuole farmi visita.
@miva2, cerca su YouTube "Scamalot";ti divertirai molto.Il migliore è "Toaster".:)
#4
+13
Yorick de Wid
2016-09-05 13:26:00 UTC
view on stackexchange narkive permalink

Prendi l'esempio di Gmail. La posta in arrivo viene inviata attraverso i filtri della posta o milters. Ciascuno di questi milters valuta l'email in base alle caratteristiche. Ad esempio, stato del mittente, SPF, DKIM, reputazione del dominio, greylist, elenchi di spam, contenuti, ecc. Se la posta non è già stata rifiutata a questo punto, raggiungerà lo scanner antivirus.

Lo scanner scollega semplicemente i file nel contenuto della posta e li confronta con le definizioni dei virus. Nel caso di Gmail, anche gli archivi vengono decompressi per eseguire la scansione di singoli file. Quando non viene rilevata alcuna minaccia, l'email verrà archiviata nella tua cartella email.

Tuttavia, funziona benissimo ma Gmail non può proteggerti da tutte le minacce. Strani formati di compressione o file crittografati possono ancora passare. XSS è altamente improbabile perché questo tipo di exploit viene riconosciuto abbastanza velocemente, da Gmail o dal browser. La migliore possibilità di infezione è rappresentata da un client di posta locale che utilizza estensioni (ad esempio CVE-2015-6172) per caricare il contenuto allegato.

Non sapevo che si chiamassero milters.
@DavidGrinberg https: // en.wikipedia.org / wiki / Milter Credo che Sendmail abbia coniato il termine.
Questo non risponde alla domanda.L'OP vuole sapere se / perché non è sicuro aprire semplicemente l'e-mail (cioè visualizzare il messaggio nel suo browser).Dice specificatamente che * non * chiede perché non sarebbe sicuro aprire gli allegati.
Come si confrontano le definizioni dei virus di Google con prodotti come AVG, Norton, McAffe ecc.?Dato che Gmail è gratuito, presumo che le definizioni dei virus siano "ossa nude" e se voglio una protezione migliore devo acquistare un prodotto?
@BruceWayne Non ne abbiamo idea.Potrebbero fare affidamento su terze parti per occuparsene o avere il proprio database (più probabilmente conoscendo Google).Questo argomento ha preso Gmail come esempio, ma mi aspetto che Outook.com utilizzi qualcosa di molto simile a Windows Defender.
@BruceWayne: Sono abbastanza certo che Google non voglia memorizzare virus nei propri sistemi, anche se non si apre mai la posta
@MooingDuck Il tuo commento non ha alcun senso.Nessuno sta archiviando virus, BruceWayne ha chiesto informazioni sulle * definizioni * dei virus, che sono solo un modello.
@YorickdeWid: Dove pensi che siano archiviate le email?Se Gmail riceve un'e-mail, Google la scansionerà alla ricerca di virus _ in parte per impedire che i server di Google vengano infettati_.Quindi lo memorizzano e puoi leggere le tue e-mail.
Google rispetto agli antivirus ha più possibilità di monitorare il traffico web (va bene, vedono quello che digiti nella "Casella di ricerca" niente di cui essere avvertito) e quindi può rilevare più efficacemente comportamenti sospetti che potrebbero essere attribuiti ai virus.Ciò consente loro di rilevare le minacce anche senza le firme dei virus in un database.Almeno questo è il modo in cui ogni azienda antivirus cerca di ottenere ciò che chiamano "protezione cloud".Ma rispetto alle società di antivirus, Google ha molti più utenti da cui estrarre i dati
@BruceWayne solo perché Gmail è gratuito per noi non significa che NON stiano facendo un sacco di soldi dalle persone che lo usano!E penso che questa sia la risposta, gli scanner antivirus di Gmail sono alla pari con quelli nella tua lista perché hanno un incentivo finanziario per renderli il più bravi possibile :)
#5
+8
bdsl
2016-09-05 20:01:20 UTC
view on stackexchange narkive permalink

In genere dovrebbe essere sicuro visualizzare un'e-mail, ma il software è complesso e molto raramente perfetto.

Sebbene i buoni produttori di software cercheranno di assicurarsi che visualizzino tutte le e-mail in modo sicuro, hanno sicuramente creato errori. Quando questi bug vengono scoperti, le persone invieranno email create appositamente che sfruttano i bug in qualche modo e potrebbero installare software dannoso sul tuo computer o fare altre cose spiacevoli.

Un nuovo bug potrebbe essere scoperto oggi in Gmail o nel browser web che utilizzi e qualcuno potrebbe inviare un'e-mail che sfrutta quel bug prima che tu riceva un aggiornamento che risolva il bug.

Il pericolo aumenta notevolmente se usi un browser web o un client di posta elettronica vecchio o non mantenuto.

software vecchio / non aggiornato: è tipico di alcune persone a cui è necessario dire di non aprire e-mail sospette.
#6
+4
CPHPython
2016-09-09 15:28:03 UTC
view on stackexchange narkive permalink

Esistono modi per sapere che hai aperto un'email (ad esempio, Mixmax è un'estensione di Chrome che tiene traccia delle email inviate tramite Gmail incorporando un'immagine nascosta di lunghezza 0 nel corpo dell'email).

Anche quando non consenti il ​​caricamento automatico delle immagini (quando in Gmail vedi nella parte superiore dell'email un link con "Visualizza immagini sotto"), se HTML è caricato, stai permettendo a possibili sfruttatori di sapere che li stai leggendo, il che è un via libera per il bombardamento di posta indesiderata.

Pertanto, rispondere alla domanda "perché" con un'altra domanda: è rischioso aprire caricare un'e-mail sconosciuta con HTML incorporato?

SÌ, semplicemente aprendo un'e-mail in Gmail potresti inviare dati a potenziali aggressori.

Altro i client di posta elettronica che non bloccano completamente le immagini dei messaggi di posta elettronica aperti invieranno i dati anche quando vengono aperti.

Come fa Mixmax a sapere quando leggi l'email?
Gmail invia tramite proxy le immagini quando vengono ricevute, quindi mixmax _non_ funzionerebbe.
@KSFT provalo e prova a inviare un'e-mail a un account Gmail, quindi aprilo tramite Gmail.Puoi fare clic sul triangolino in basso a destra e quindi su "Mostra originale".Cerca "" La parte "..." ha l'ID di tracciamento che viene utilizzato per identificare il tuo account e la tua e-mail, una volta aperta l'e-mail, questo "" viene caricato e si accede a quell'URL e quindi la registrazionei rispettivi dati nel loro DB.
@ardaozkal Bene, provalo invece di commentare "* non * funzionerebbe".Mixmax funziona, anche quando Gmail sta bloccando le immagini.Questo tipo di tecnologia esiste da un po 'di tempo e i sistemi di analisi la utilizzano spesso (Facebook e Google).A meno che tu non abbia un altro tipo di plugin che lo blocchi tutto, sarai sempre tracciato una volta aperta un'e-mail tramite un client che consente il caricamento di questi tipi di immagini incorporate.
@CPHPython Vorrei provare, ma non uso gmail.
@ardaozkal eppure stai commentando come funziona Gmail ... Se davvero ne sei curioso, crea un paio di account Gmail, provalo e poi cancellali.
@CPHPython Ho un account che usavo e questo è stato il caso.Ho smesso di usarlo l'anno scorso /
#7
+2
archae0pteryx
2016-09-06 03:32:08 UTC
view on stackexchange narkive permalink

I link dannosi rappresentano oggi la maggior parte dello sfruttamento. Il codice dannoso (principalmente javascript) è appositamente predisposto per eseguire codice indesiderato tramite il browser. Solo la scorsa settimana abbiamo visto i 3 giorni 0 per iOS (vedi Trident / Pegasus) che sono iniziati da un'e-mail dannosa e probabilmente sono stati in circolazione dal 2014 (da sicurezza ora ) Questi collegamenti erano anche collegamenti "monouso", supportavano ogni iOS dal 7 ed erano in grado di "jailbreak" l'iOS in remoto. Il punto è che non mi preoccuperei del "contenuto" effettivo del messaggio, quanto di fare clic su immagini o collegamenti nell'email. Sebbene sì, ci sono trucchi per caricare gli script tramite il caricamento di immagini (o simili), i browser moderni e i client di posta elettronica hanno la capacità di impedire lo scripting, quindi puoi semplicemente disattivarlo. Risolto.

Allora qual è la tua risposta effettiva alla domanda?È pericoloso aprire solo la posta?O pericoloso solo se fai clic su qualcosa?Questi sono esempi interessanti, ma la fine della tua risposta sembra implicare che pensi che l'apertura delle e-mail dovrebbe essere sicura (se un client è configurato correttamente?)
Direttamente, sì, è quello che sto dicendo.Configura il tuo client di posta per non caricare contenuti remoti e sarai il più sicuro possibile, tuttavia, come ho detto, il vero problema è fare clic su un collegamento.
Il punto era che dovresti [modificare] la tua risposta per affermare più chiaramente la tua conclusione generale.Suggerirei anche di suddividerlo in paragrafi separati.(Lo so, i paragrafi brevi sembrano troppo brevi, ma a volte devono essere solo una frase)
@PeterCordes.Apprezzo il commento.Sono nuovo in questo.(ovviamente) quindi grazie!
Non penso che "il più sicuro possibile" sia vero, poiché come altre risposte hanno sottolineato, ci sono stati molti exploit nel riquadro di anteprima, exploit per la visualizzazione di immagini, ecc. Questo sembra un cattivo consiglio di sicurezza, sostenendo malepratiche di sicurezza.
Il mancato caricamento del contenuto remoto fa esattamente ciò che suggerisce il nome.
Quindi la risposta è "sì, può essere pericoloso se lo script è attivato, quindi disattivarlo"?
#8
+2
mroman
2016-09-08 18:59:15 UTC
view on stackexchange narkive permalink

La realtà è che i programmi elaborano i dati. Questi programmi possono contenere bug che fanno sì che il programma si comporti in modo completamente diverso dal previsto. Di solito ciò che accade in tali circostanze è che il programma verrà terminato dal sistema operativo o si impegnerà semplicemente in un comportamento casuale non dannoso. Tuttavia, tutto ciò che un programma fa è tecnicamente ancora deterministico (a meno che non sia coinvolta la casualità), quindi ciò che un programma fa effettivamente quando incontra dati che elabora in modo sbagliato è deterministico, quindi gli aggressori sono in grado di costruire dati in modo da controllare esattamente cosa fa il programma.

Quando si ricevono messaggi di posta elettronica, il client di posta elettronica sta già elaborando i dati, quindi ci sono buone probabilità che un utente malintenzionato possa ottenere il controllo del programma di posta elettronica semplicemente inviandoti un messaggio di posta elettronica - non importa se lo guardi davvero. Il programma di posta elettronica scaricherà l'e-mail e, ad esempio, visualizzerà l'oggetto. Quando apri l'e-mail, il tuo client di posta probabilmente farà ancora più cose, come analizzare l'HTML nell'e-mail, visualizzare i contenuti, visualizzare le immagini ecc. In tutto ciò che fa (dall'analisi dell'HTML, al rendering immagini, al rendering del testo, al download di e-mail, alla visualizzazione dell'Oggetto), può esserci un bug in esso.

Aprire un'e-mail sospetta è solo più rischioso perché più materiale viene elaborato quando lo apri effettivamente.

Quando visiti un sito web (come Gmail) e lì apri un'e-mail, le cose sono molto diverse perché Gmail è solo un sito web come un altro ... tranne che mostra le e-mail. Il problema è che i siti Web devono tenere conto del fatto che non è possibile inviare semplicemente il contenuto dell'e-mail grezzo al browser perché in tal caso potrebbero essere presenti HTML dannosi e / o JavaScript dannosi. Tecnicamente questo non è molto diverso da siti come Wikipedia in cui gli utenti possono scrivere articoli che contengono formattazione.

Ovviamente, il tuo browser utilizzerà anche le librerie per eseguire il rendering del testo, elaborare i caratteri, elaborare le immagini ecc. quindi se c'è un bug in una libreria di immagini e l'e-mail contiene un'immagine dannosa, allora sei sfortunato ed è non è colpa di Gmail. Puoi aspettarti che le possibili vulnerabilità di sicurezza con Gmail siano le stesse del browser, più il problema di XSS e altre vulnerabilità di sicurezza specifiche per il web.

Questo è anche il motivo per cui verrai infettato da cose anche quando non visiti siti sospetti (e le persone di solito intendono siti porno, streaming, warez) è perché anche siti non sospetti pubblicano annunci da reti diverse, quindi se un utente malintenzionato infetta una rete pubblicitaria in qualche modo anche i non siti sospetti ti serviranno malware. Tecnicamente è insicuro utilizzare contenuti di terze parti che non controlli. Pensa a cosa succede quando un utente malintenzionato riesce a controllare una CDN che serve jquery o bootstrap o qualsiasi altra cosa, dove migliaia di siti lo stanno utilizzando. Quindi tutti questi siti conterranno javascript dannosi. Per evitare che ciò accada c'è SRI ma non so quanto sia ben supportato al momento.

Tuttavia, l'SRI è una raccomandazione.
#9
+1
chitnan
2016-09-13 18:17:56 UTC
view on stackexchange narkive permalink

Aprire un'e-mail sospetta è solo più rischioso perché più cose vengono elaborate quando la apri effettivamente. Ad esempio, l'elaborazione che può:

  1. traccia il tuo IP

  2. eseguire XSS / CSRF / Command Injection se il sito web è vulnerabile.

  3. o in un processo di attacco avanzato un exe con backdoor per ottenere terminale o root

#10
  0
Robert Houghton
2019-11-18 21:27:49 UTC
view on stackexchange narkive permalink

L'apertura di email sospette può essere pericolosa a seconda della configurazione del tuo client di posta. Se queste impostazioni consentono l'esecuzione del codice mentre stai solo cercando di visualizzare bene il contenuto testuale, la stessa cosa può accadere COME SE avessi aperto un allegato o fatto clic su un collegamento. Questo è ciò che accade "dietro le quinte": il codice non intenzionale è in esecuzione perché hai fatto clic su qualcosa per consentirlo, a meno che il tuo client di posta elettronica, browser o sistema operativo non lo interrompa.

Ecco perché la risposta alla tua domanda dipende così fortemente dal client di posta utilizzato e dalle impostazioni che hai su quel client.

Gmail sta utilizzando alcuni strumenti per ridurre al minimo questo rischio come filtri, scansione antivirus e persino scansione degli archivi, ma non fare clic su "immagini di visualizzazione" o fare clic su qualcosa all'interno dell'email ridurrà al minimo il tuo rischio al livello più basso possibile.

Anche se fai qualcosa di semplice come fare clic su "visualizza immagini" in un'e-mail, in Gmail, la richiesta di ricezione può inviare informazioni passive ai malintenzionati portandoti un passo avanti di essere un bersaglio perché sanno che fai errori come fare clic nelle e-mail che non dovresti. Che è solo un po 'pericoloso, vero? Ma ancora pericoloso.

A differenza delle versioni precedenti di Outlook, a partire da novembre 2019, non sono a conoscenza di vulnerabilità basate su Gmail che rendano pericoloso guardare i contenuti testuali in Gmail. Fare clic NELL'e-mail è la parte non sicura.

Mi chiedo se sia necessario dirlo: il solo fatto di aprire l'email per leggere il contenuto non è SICURO se SEI IL TIPO DI PERSONA da PERSEGUIRE dall'email, risultando in te stesso cliccando il link o l'allegato.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...