¿Por qué es peligroso abrir un correo electrónico sospechoso?

Existe un pequeño riesgo de que se detecte un error, o un error conocido pero no parcheado, en tu cliente de correo que permita un ataque con solo ver un mensaje.

Sin embargo, creo que este consejo tan amplio también se ofrece como defensa contra algunos tipos de estafas de suplantación de identidad. Los ataques de ingeniería social son comunes y pueden llevar a serios problemas, y asegurarse de que las personas sean al menos sospechosas es una primera línea de defensa. Esto es como decirle a un abuelo anciano que nunca le dé la información de su tarjeta de crédito por teléfono. De acuerdo, hay muchas circunstancias en las que hacerlo es relativamente seguro, pero cuando siguen son estafados una y otra vez , es más fácil decir simplemente: no lo hagas.

Del mismo modo, no abrir el correo te impide leer sobre la difícil situación de un huérfano en una región devastada por la guerra que inesperadamente ha encontrado un alijo de oro nazi y solo necesita $ 500 para contrabandearlo y compartirán la mitad contigo. y tu corazón simplemente se apaga, y también que el dinero no te dolería ... O, mientras que sabes la regla sobre los archivos adjuntos, esta dice que son imágenes de los gatitos más lindos de todos los tiempos, y cómo ¿Puede que sea dañino? Simplemente haga clic en él y está bien, ahora hay estas casillas que dicen "Quiero permitirlo", lo cual es molesto porque, por supuesto, lo hago porque quiero ver a los gatitos ... ..

No para gmail, pero para Outlook ha habido una serie de vulnerabilidades en el "panel de vista previa" en las que simplemente mirar el correo electrónico es suficiente para comprometer: ¿Se puede activar el malware al obtener una vista previa del correo electrónico en el panel de vista previa de Outlook?

Incluso si no sucede nada malo de manera activa, pueden suceder muchas cosas pasivamente malas; por ejemplo, puede ver una imagen transparente de un píxel etiquetada con su dirección de correo electrónico que lo identifica como el tipo de persona que abre y lee correos electrónicos sospechosos. Esas son listas en las que no quieres estar.

Tomemos el ejemplo de Gmail. El correo electrónico entrante se envía a través de filtros de correo, o milters . Cada uno de estos milters evalúa el correo electrónico basado en las características. Por ejemplo, el estado del remitente, SPF, DKIM, la reputación del dominio, la lista gris, las listas de spam, los contenidos, etc. Si el correo aún no se ha rechazado en este momento, llegará al analizador del antivirus.

El escáner simplemente separa los archivos del contenido del correo y los compara con las definiciones de virus. En el caso de Gmail, los archivos también se descomprimen para escanear archivos individuales. Cuando no se encuentren amenazas, el correo electrónico se almacenará en su carpeta de correo electrónico.

Sin embargo, esto funciona muy bien, pero Gmail no puede protegerlo de todas las amenazas. Los formatos de compresión extraños o los archivos encriptados todavía pueden pasar. XSS es altamente improbable porque este tipo de ataques son reconocidos bastante rápido, ya sea por Gmail o por el navegador. La mejor posibilidad de infección es a través de un cliente de correo local que usa extensiones (por ejemplo, CVE-2015-6172) para cargar contenido adjunto.

En general, debería ser seguro ver un correo electrónico, pero el software es complejo y rara vez es perfecto.

Aunque los buenos fabricantes de software intentarán asegurarse de que muestren todos los correos electrónicos de manera segura y sin duda han cometido errores. Cuando se descubren estos errores, la gente enviará correos electrónicos diseñados que explotan los errores de alguna manera y pueden instalar software malintencionado en su computadora o hacer otras cosas desagradables.

Hoy se puede descubrir un nuevo error en Gmail o en el navegador web que usa, y alguien podría enviar un correo electrónico que explote ese error antes de que obtenga una actualización que solucione el error.

El peligro aumenta considerablemente si utiliza un navegador web o un cliente de correo electrónico antiguo o no mantenido.

Hay maneras de saber que abrió un correo electrónico (por ejemplo, Mixmax es una extensión de Chrome que rastrea los correos electrónicos enviados a través de Gmail al incrustar una imagen oculta de longitud 0 en el cuerpo del correo electrónico).

Incluso cuando no permites que las imágenes se carguen automáticamente (cuando en Gmail ves en la parte superior del correo electrónico un enlace con "Mostrar imágenes a continuación"), si se carga HTML, estás permitiendo que los posibles explotadores te conozcan Los estamos leyendo, lo que es un avance para el bombardeo de correo electrónico no deseado.

Por lo tanto, responda la pregunta del "por qué" con otra pregunta: ¿es peligroso abrir y cargar un correo electrónico desconocido con HTML incrustado?

SÍ, solo abriendo un correo electrónico en Gmail puede estar enviando datos a posibles atacantes.

Otros clientes de correo electrónico que no bloquean completamente las imágenes de correos electrónicos abiertos también enviarán los datos cuando los abra.

Los enlaces maliciosos representan la mayoría de la explotación en la actualidad. El código malicioso (principalmente javascript) está especialmente diseñado para ejecutar código no deseado a través de su navegador. La semana pasada vimos los 3 iOS 0 días (consulte Trident / Pegasus ) que comenzó a partir de un correo electrónico malicioso y posiblemente ha estado en libertad desde 2014 (de seguridad ahora ) Estos los enlaces eran incluso enlaces de "un solo uso", tenían soporte para todos los iOS desde 7, y podían "jailbreak" el iOS de forma remota. Lo que quiero decir es que no me preocuparía por el "contenido" real del mensaje, sino por hacer clic en las imágenes o en los enlaces del correo electrónico. Si bien, hay trucos para cargar scripts a través de la carga de imágenes (o similares), los navegadores modernos y los clientes de correo electrónico tienen la capacidad de evitar los scripts, por lo que simplemente puede desactivarlo. Resuelto

La realidad es que los programas procesan datos. Estos programas pueden contener errores que hacen que el programa se comporte de manera completamente diferente a la prevista. Por lo general, lo que sucede en tales circunstancias es que el programa terminará con el sistema operativo o simplemente se involucrará en un comportamiento aleatorio no perjudicial. Sin embargo, todo lo que hace un programa es técnicamente aún determinista (a menos que se trate de aleatoriedad), por lo que lo que realmente hace un programa cuando encuentra datos que procesa es determinista, por lo tanto, los atacantes pueden construir datos de una manera para controlar exactamente Lo que hace el programa.

Al recibir correos electrónicos, su cliente de correo electrónico ya está procesando datos, por lo que es muy probable que un atacante pueda controlar su programa de correo electrónico simplemente enviándole un correo electrónico, sin importar si lo busca. en eso El programa de correo electrónico descargará el correo electrónico y, por ejemplo, le mostrará el Asunto. Cuando abra el correo electrónico, su cliente de correo electrónico probablemente hará aún más cosas como analizar el HTML en el correo electrónico, mostrar el contenido, mostrar imágenes, etc. En todo lo que hace (desde el análisis de HTML hasta el procesamiento de imágenes, a la representación de texto, a la descarga de correos electrónicos, a mostrar el asunto) puede haber un error en él.

Abrir un correo electrónico sospechoso solo es más riesgoso porque se procesan más cosas cuando realmente lo abres.

Cuando visita un sitio web (como Gmail) y abre un correo electrónico, las cosas son muy diferentes porque GMAIL es solo un sitio web como cualquier otro ... excepto que muestra correos electrónicos para usted. El problema es que los sitios web deben tener en cuenta que no puede simplemente enviar el contenido del correo electrónico sin procesar al navegador, ya que entonces podría haber HTML malicioso y / o JavaScript malicioso en él. Técnicamente, esto no es muy diferente de sitios como Wikipedia, donde los usuarios pueden escribir artículos que contienen formato.

Por supuesto, su navegador también usará bibliotecas para procesar texto, procesar fuentes, procesar imágenes, etc., por lo que si hay un error en una biblioteca de imágenes y el correo electrónico contiene una imagen maliciosa, no tendrá suerte. No es culpa de GMAIL. Puede esperar que las posibles vulnerabilidades de seguridad con GMAIL sean las mismas que las del explorador más el problema de las vulnerabilidades de seguridad de XSS'n'Co.

Editar: Esto es por cierto. También la razón por la que se infectará con cosas, incluso cuando no visite sitios sospechosos (y la gente usualmente quiere decir pornografía, streaming, sitios warez) se debe a que incluso los sitios no sospechosos sirven anuncios de diferentes redes, por lo que si un el atacante infecta una red de red de alguna manera, incluso los sitios no sospechosos le servirán malware. Técnicamente es inseguro usar contenido de terceros que no controlas. Piense en lo que sucede cuando un atacante logra controlar un CDN que sirve jquery o bootstrap o lo que sea donde miles de sitios lo estén usando, entonces todos estos sitios contendrán javascript malicioso. Para evitar que esto suceda, hay esto: enlace pero no sé qué tan bien soportado eso es a partir de ahora.

Abrir un correo electrónico sospechoso solo es más riesgoso porque se procesan más cosas cuando realmente lo abres. me gusta 1. Puede rastrear tu IP 2. Incluso puede realizar XSS / CSRF / Command Injection si el sitio web es vulnerable. 3. De antemano, tal vez un exe de puerta trasera para ganar terminal o raíz