我想知道為什麼打開來自未知來源的電子郵件有危險嗎?
我正在使用Gmail,我認為下載附件並運行它只是不安全的。
我首先想到的是,如果電子郵件文本包含XSS JavaScript代碼,該怎麼辦?但是我確信每個電子郵件提供商都保護了他們的網站免受 XSS-ed 的攻擊。
僅通過單擊電子郵件並閱讀,當您被感染時,幕後情況它的內容,例如在Gmail上?
我想知道為什麼打開來自未知來源的電子郵件有危險嗎?
我正在使用Gmail,我認為下載附件並運行它只是不安全的。
我首先想到的是,如果電子郵件文本包含XSS JavaScript代碼,該怎麼辦?但是我確信每個電子郵件提供商都保護了他們的網站免受 XSS-ed 的攻擊。
僅通過單擊電子郵件並閱讀,當您被感染時,幕後情況它的內容,例如在Gmail上?
郵件客戶端中存在未知錯誤的可能性很小-或已知但未修補的錯誤-僅通過查看郵件即可進行攻擊。
我認為,但是,該非常廣泛的建議也可以作為針對某些類型的網絡釣魚詐騙的防禦措施。社會工程攻擊很普遍,可能會導致嚴重的麻煩。確保人們至少是可疑是第一道防線。這就像告訴年邁的祖父母不要通過電話提供信用卡信息一樣,可以,當然,在許多情況下這樣做相對安全,但是當他們保持被騙時
同樣,不打開郵件會使您無法了解飽受戰爭折磨的孤兒的困境。意外地發現了納粹黃金的藏匿處,只需要500美元就可以將其走私出去,他們將與您分擔一半,您的心就熄滅了,而且這筆錢也不會受到傷害...。或者,當您知道附件的規則,這說它是有史以來最可愛的小貓的照片,這怎麼可能有害?我只要單擊它,好吧,現在有這些盒子在說我要允許它嗎,這很煩人,因為我當然要這樣做,因為我想看小貓....
不是針對gmail的,而是針對 Outlook 的,存在許多“預覽窗格”利用,僅查看電子郵件就足以妥協:可以通過在以下位置預覽電子郵件來激活惡意軟件嗎? Outlook的“預覽”窗格?
即使沒有發生任何積極的不良事件,也可能發生許多被動的不良事件-例如,您可能會看到一個標有電子郵件地址的透明像素像素圖像,該圖像將您標記為打開和閱讀可疑電子郵件的人。這些是您不想出現的列表。
以Gmail為例。傳入電子郵件通過郵件過濾器或 milters推送。這些人都基於特徵來評估電子郵件。例如,發件人狀態,SPF,DKIM,域信譽,灰名單,垃圾郵件發送者,內容等。如果此時郵件尚未被拒絕,它將到達防病毒掃描程序。
掃描程序僅分離郵件內容中的文件,並將其與病毒定義匹配。對於Gmail,歸檔文件也會解壓縮以掃描單個文件。當未發現威脅時,電子郵件將存儲在您的電子郵件文件夾中。
但是,此方法很好用,但Gmail不能保護您免受所有威脅。奇怪的壓縮格式或加密文件仍然可以通過。 XSS不太可能,因為無論是Gmail還是瀏覽器,都可以很快地識別出這類攻擊。感染的最佳機會是通過使用擴展名(例如CVE-2015-6172)的本地郵件客戶端加載附件內容。
通常,查看電子郵件應該是安全的,但是軟件複雜且很少完善。
儘管優秀的軟件製造商會盡力確保以肯定的方式顯示所有電子郵件錯誤。發現這些錯誤後,人們將發送精心製作的電子郵件,以某種方式利用這些錯誤,並可能在您的計算機上安裝惡意軟件或執行其他不愉快的事情。
今天,可以在Gmail或您使用的網絡瀏覽器,並且有人可能會在獲取修復該錯誤的更新之前發送利用該錯誤的電子郵件。
如果使用舊的或未維護的Web瀏覽器或電子郵件客戶端,則危險會大大增加。
有種方式來了解您是否打開了電子郵件(例如, Mixmax是Chrome的擴展程序,它通過將長度為0的隱藏圖像嵌入到Gmail中來跟踪通過Gmail發送的電子郵件。電子郵件正文)。
即使您不允許自動加載圖像(在Gmail中,當您在電子郵件頂部看到帶有“在下面顯示圖像”的鏈接)時,如果加載了HTML, “允許可能的利用者知道您正在閱讀它們,這是對電子郵件垃圾郵件轟炸的通行證。”
因此,用另一個問題回答“為什麼”的問題:打開和
其他未完全阻止打開的電子郵件圖像的電子郵件客戶端也會在您打開它們時發送數據。
今天,惡意鏈接佔了大多數剝削。惡意代碼(大多數是javascript)是經過精心設計的,可以通過瀏覽器執行不需要的代碼。就在上週,我們看到了3個iOS 0天(請參閱 Trident / Pegasus),它們是從惡意電子郵件開始的,並且可能自2014年以來就開始氾濫(從現在的安全性 )這些鏈接甚至是“一次性使用”鏈接,自7開始就支持每個iOS,並且能夠遠程“越獄” iOS。我的意思是,我不必擔心郵件的實際“內容”,只需單擊電子郵件中的圖像或鏈接即可。是的,有一些通過圖像加載(或類似方法)加載腳本的技巧,現代的瀏覽器和電子郵件客戶端可以阻止腳本編寫,因此您可以將其關閉。解決了。
現實是程序處理數據。這些程序可能包含導致程序行為與預期完全不同的錯誤。通常在這種情況下發生的情況是該程序將被操作系統終止,或者只是從事隨機的無害行為。但是,程序在技術上的所有操作在技術上仍是確定性的(除非涉及到隨機性),因此,程序在遇到錯誤處理的數據時實際執行的操作是確定性的,因此攻擊者能夠以精確控制的方式構造數據>該程序的作用。
當接收電子郵件時,您的電子郵件客戶端已經在處理數據,因此,攻擊者很有可能僅通過向您發送電子郵件就可以控制您的電子郵件程序-不管您是否真的看它。電子郵件程序將下載電子郵件,例如,向您顯示主題。當您打開電子郵件時,您的電子郵件客戶端可能會做更多的事情,例如解析電子郵件中的HTML,顯示內容,顯示圖像等。它所做的一切(從解析HTML到呈現圖片,渲染文本,下載電子郵件,顯示主題)中可能有錯誤。
打開可疑電子郵件的風險更大,因為在您實際打開時會處理更多內容。
當您訪問某個網站(例如Gmail)並在其中打開電子郵件時,情況就大不相同了,因為Gmail只是一個與其他網站一樣的網站...除了顯示電子郵件之外。問題在於網站需要考慮到您不能僅僅將原始電子郵件的內容髮送到瀏覽器,因為那樣的話,其中可能包含惡意HTML和/或惡意JavaScript。從技術上講,這與Wikipedia這樣的網站沒有太大區別,在Wikipedia上,用戶可以編寫包含格式的文章。
當然,您的瀏覽器還將使用庫來渲染文本,處理字體,處理圖像等。因此,如果圖像庫中存在錯誤,並且電子郵件中包含惡意圖像,則說明您不走運,不是Gmail的錯。您可以期望Gmail可能存在的安全漏洞與瀏覽器相同,以及XSS和其他特定於網絡的安全漏洞的問題。
這也是您被東西感染的原因即使您不訪問任何可疑網站(人們通常指色情,流媒體,warez網站)也是因為即使非可疑網站也會投放來自其他網絡的廣告,因此,即使攻擊者以某種方式感染了廣告網絡,可疑站點將為您提供惡意軟件。從技術上講,使用不受您控制的第三方內容是不安全。想一想,當攻擊者設法控制為jquery或bootstrap等服務的CDN時,成千上萬的站點正在使用它。然後,所有這些網站都將包含惡意javascript。為了防止這種情況的發生,我們提供了 SRI,但我不知道到目前為止它的支持程度。
打開可疑電子郵件只會增加風險,因為在您實際打開電子郵件時會處理更多的內容。例如,可以處理
跟踪您的IP的處理
如果網站容易受到攻擊,請執行XSS / CSRF /命令注入。
,或者在高級攻擊過程中,後門exe會獲得終端或根權限
根據電子郵件客戶端的配置,打開可疑電子郵件可能很危險。如果這些設置允許代碼在您試圖很好地查看文本內容時運行,則如果您打開附件或單擊鏈接,則可能會發生同樣的事情。這就是“幕後”意外代碼正在運行的原因,因為您單擊了允許它的內容,除非您的電子郵件客戶端,瀏覽器或操作系統停止了它。
這就是為什麼您的問題的答案如此之大取決於所使用的電子郵件客戶端以及該客戶端上的設置的原因。
Gmail使用一些工具來最小化這種風險,例如過濾器,防病毒掃描,甚至是存檔掃描,但是不單擊該“顯示圖像”或單擊電子郵件中的任何內容都可以最大程度地減少您的風險降至最低。
即使您做的事情像在電子郵件中單擊“顯示圖像”一樣簡單,在Gmail中,“獲取”請求也可以將被動信息發送給壞人,使您更近一步之所以成為目標,是因為他們知道您會犯一些錯誤,例如您不應該點擊電子郵件。哪有一點危險吧?但是仍然很危險。
與較早版本的Outlook不同,截至2019年11月,我知道沒有基於Gmail的漏洞會導致在Gmail中查看文本內容不安全。單擊電子郵件是不安全的部分。
我想知道是否需要這麼說:如果您是通過電子郵件說服的人類型,那麼打開電子郵件閱讀內容是不安全的您自己單擊鏈接或附件。