web-dev-qa-db-fra.com

Pourquoi est-il dangereux d'ouvrir un e-mail suspect?

Je voudrais savoir pourquoi est-il considéré comme dangereux d'ouvrir un e-mail à partir d'une source inconnue?

J'utilise Gmail et je pensais qu'il était dangereux de télécharger une pièce jointe et de l'exécuter.

La première chose qui m'est venue à l'esprit était de savoir si le texte de l'e-mail contient du code JavaScript XSS, mais je suis sûr que chaque fournisseur de messagerie a protégé son site contre XSS-ed.

Que se passe-t-il dans les coulisses lorsque vous êtes infecté simplement en cliquant sur le courrier électronique et en lisant son contenu, par exemple sur Gmail?

112
Tomas

Il y a petit risque de bug inconn - ou connu mais non corrigé - dans votre client de messagerie permettant une attaque en affichant simplement un message.

Je pense, cependant, que ce conseil très large est également donné comme ne défense contre certains types d'escroqueries par phishing. Les attaques d'ingénierie sociale sont courantes et peuvent entraîner de graves problèmes. S'assurer que les gens sont au moins suspects est une première ligne de défense. C'est comme dire à un grand-parent âgé de ne jamais donner ses informations de carte de crédit par téléphone - d'accord, bien sûr, il y a beaucoup de circonstances où cela est relativement sûr, mais quand ils garder se faire arnaquer encore et encore, il est plus facile de dire simplement: ne le faites pas.

De même, ne pas ouvrir le courrier vous empêche de lire sur le sort d'un orphelin dans une région déchirée par la guerre qui a trouvé de manière inattendue une cache d'or nazi et a juste besoin de 500 $ pour la faire passer en contrebande et ils en partageront la moitié avec vous et votre cœur sort juste, et aussi que l'argent ne ferait pas de mal .... Ou, alors que vous connaissez la règle concernant les pièces jointes, celui-ci dit que ce sont des images des chatons les plus mignons jamais, et comment qui peut être nuisible - je vais juste cliquer dessus et bien maintenant il y a ces cases disant que je veux autoriser ça, ce qui est ennuyeux parce que bien sûr je le fais parce que je veux voir les chatons ....

203
mattdm

Pas pour gmail, mais pour Outlook il y a eu un certain nombre d'exploits de "volet d'aperçu" où il suffit de regarder l'e-mail pour compromettre: Les logiciels malveillants peuvent-ils être activés en prévisualisant les e-mails dans le volet Aperçu d'Outlook?

62
pjc50

Même si rien de mal ne se produit, de nombreuses choses passivement mauvaises peuvent se produire - par exemple, vous pouvez afficher une image transparente d'un pixel étiquetée avec votre adresse e-mail qui vous marque comme le genre de personne qui ouvre et lit des e-mails suspects. Ce sont des listes sur lesquelles vous ne voulez pas figurer.

29
arp

Prenons l'exemple de Gmail. Les e-mails entrants sont transmis via les filtres de messagerie, ou milters . Chacun de ces milters évalue l'e-mail en fonction des caractéristiques. Par exemple, le statut de l'expéditeur, SPF, DKIM, la réputation du domaine, la liste grise, les listes de spam, le contenu, etc. Si le courrier n'est pas déjà rejeté à ce stade, il atteindra le scanner antivirus.

Le scanner détache simplement les fichiers du contenu du courrier et les associe aux définitions de virus. Dans le cas de Gmail, les archives sont également décompressées pour analyser des fichiers individuels. Lorsqu'aucune menace n'est trouvée, l'e-mail sera stocké dans votre dossier de messagerie.

Cependant, cela fonctionne très bien, mais Gmail ne peut pas vous protéger contre toutes les menaces. D'étranges formats de compression ou des fichiers chiffrés peuvent toujours passer. XSS est hautement improbable car ce type d'exploits est reconnu assez rapidement, soit par Gmail soit par le navigateur. La meilleure chance d'infection est un client de messagerie local utilisant des extensions (par exemple CVE-2015-6172) pour charger le contenu joint.

13
Yorick de Wid

En règle générale, il doit être sûr d'afficher un e-mail, mais le logiciel est complexe et très rarement parfait.

Bien que les bons éditeurs de logiciels essaient de s'assurer qu'ils affichent tous les e-mails de manière sûre, ils ont certainement commis des erreurs. Lorsque ces bogues sont découverts, les gens enverront des e-mails spécialement conçus qui exploitent les bogues d'une certaine manière et peuvent installer des logiciels malveillants sur votre ordinateur ou faire d'autres choses désagréables.

Un nouveau bogue pourrait être découvert aujourd'hui dans Gmail ou le navigateur Web que vous utilisez, et quelqu'un pourrait envoyer un e-mail qui exploite ce bogue avant d'obtenir une mise à jour corrigeant le bogue.

Le danger augmente considérablement si vous utilisez un navigateur Web ou un client de messagerie ancien ou non entretenu.

8
bdsl

Il existe façons de savoir que vous avez ouvert un e-mail (par exemple, Mixmax est une extension de Chrome qui suit les e-mails envoyés via Gmail par incorporer une image cachée de longueur 0 dans le corps de l'e-mail).

Même lorsque vous n'autorisez pas le chargement automatique des images (lorsque dans Gmail vous voyez en haut de l'e-mail un lien avec "Afficher les images ci-dessous"), si le HTML est chargé, vous permettez à d'éventuels exploitants de savoir que vous lisez eux, qui est un feu vert pour le bombardement de spam par e-mail.

Par conséquent, répondre à la question "pourquoi" par une autre question: est-il risqué d'ouvrir et de charger un e-mail inconnu avec du HTML intégré?

OUI, juste en ouvrant un e-mail dans Gmail , vous pouvez envoyer des données à des attaquants potentiels.

D'autres clients de messagerie qui ne bloquent pas complètement les images des e-mails ouverts enverront également les données lorsque vous les ouvrirez.

4
CPHPython

Les liens malveillants représentent aujourd'hui la majorité de l'exploitation. Le code malveillant (javascript principalement) est spécialement conçu pour exécuter du code indésirable via votre navigateur. La semaine dernière, nous avons vu les 3 jours iOS 0 (voir Trident/Pegasus ) qui ont commencé à partir d'un e-mail malveillant et sont peut-être en liberté depuis 2014 (de sécurité maintenant Ces liens étaient même des liens à "usage unique", prenaient en charge tous les iOS depuis 7 et pouvaient "jailbreaker" l'iOS à distance. Mon point est que je ne m'inquiéterais pas du "contenu" réel du message autant que de cliquer sur des images ou des liens dans l'e-mail. Bien que oui, il existe des astuces pour charger des scripts via le chargement d'images (ou similaires), les navigateurs modernes et les clients de messagerie ont la capacité d'empêcher les scripts, vous pouvez donc simplement désactiver cela. Résolu.

2
archae0pteryx

La réalité est que les programmes traitent les données. Ces programmes peuvent contenir des bogues entraînant un comportement complètement différent du programme. Habituellement, ce qui se produit dans de telles circonstances est que le programme sera soit interrompu par le système d'exploitation, soit se livrera simplement à un comportement aléatoire non dangereux. Cependant, tout ce qu'un programme fait est techniquement encore déterministe (à moins que le hasard ne soit impliqué) - donc ce qu'un programme fait réellement lorsqu'il rencontre des données qu'il traite incorrectement est déterministe, donc les attaquants sont en mesure de construire des données d'une manière à contrôler exactement ce que fait le programme.

Lors de la réception d'e-mails, votre client de messagerie traite déjà des données, il y a donc de fortes chances qu'un attaquant puisse prendre le contrôle de votre programme de messagerie simplement en vous envoyant un e-mail - peu importe si vous regardez réellement il. Le programme de messagerie télécharge l'e-mail et, par exemple, affiche le sujet qui vous est destiné. Lorsque vous ouvrez l'e-mail, votre client de messagerie fera probablement encore plus de choses, comme l'analyse du HTML dans l'e-mail, l'affichage du contenu, l'affichage des images, etc. Dans tout ce qu'il fait (de l'analyse du HTML au rendu) images, rendre le texte, télécharger des e-mails, afficher le sujet), il peut y avoir un bug.

L'ouverture d'un e-mail suspect est seulement plus risquée car plus de choses sont traitées lorsque vous l'ouvrez réellement.

Lorsque vous visitez un site Web (tel que Gmail) et que vous y ouvrez un e-mail, les choses sont très différentes car Gmail n'est qu'un site Web comme les autres ... sauf qu'il affiche des e-mails. Le problème est que les sites Web doivent tenir compte du fait que vous ne pouvez pas simplement envoyer le contenu de l'e-mail brut au navigateur, car il pourrait y avoir du HTML malveillant et/ou du JavaScript malveillant. Techniquement, ce n'est pas très différent de sites comme Wikipedia où les utilisateurs peuvent écrire des articles contenant du formatage.

Bien sûr, votre navigateur utilisera également des bibliothèques pour rendre le texte, traiter les polices, traiter les images, etc. donc s'il y a un bug dans une bibliothèque d'images et que l'e-mail contient une image malveillante, alors vous n'avez pas de chance et ce n'est pas la faute de Gmail . Vous pouvez vous attendre à ce que les vulnérabilités de sécurité possibles avec Gmail soient les mêmes que celles du navigateur, plus le problème de XSS et d'autres vulnérabilités de sécurité spécifiques au Web.

C'est aussi la raison pour laquelle vous serez infecté par des choses même lorsque vous ne visitez aucun site suspect (et les gens veulent généralement dire porn, streaming, warez par cela) parce que même les sites non suspects diffusent des publicités de différents réseaux, donc si un attaquant infecte une régie publicitaire, même les sites non suspects vous serviront de logiciels malveillants. Techniquement, il est peu sûr d'utiliser du contenu tiers que vous ne contrôlez pas. Réfléchissez à ce qui se passe lorsqu'un attaquant parvient à contrôler un CDN qui sert jquery ou bootstrap ou autre chose, où des milliers de sites l'utilisent. Ensuite, tous ces sites contiendront du javascript malveillant. Pour empêcher cela de qui se passe il y a SRI mais je ne sais pas à quel point cela est bien pris en charge pour l'instant.

2
mroman

L'ouverture d'un e-mail suspect est seulement plus risquée car plus de choses sont traitées lorsque vous l'ouvrez réellement. Par exemple, un traitement qui peut:

  1. suivre votre IP

  2. effectuer l'injection XSS/CSRF/Command si le site Web est vulnérable.

  3. ou dans un processus d'attaque avancé, un exe détourné pour gagner un terminal ou une racine

1
bot

L'ouverture d'e-mails suspects peut être dangereuse selon la configuration de votre client de messagerie. Si ces paramètres permettent au code de s'exécuter alors que vous essayez simplement d'afficher le contenu textuel, la même chose peut se produire SI SI vous avez ouvert une pièce jointe ou cliqué sur un lien. C'est ce qui se passerait "en coulisses", du code inattendu s'exécute parce que vous avez cliqué sur quelque chose pour l'autoriser, à moins que votre client de messagerie, navigateur ou système d'exploitation ne l'arrête.

C'est pourquoi la réponse à votre question dépend si fortement du client de messagerie utilisé et des paramètres que vous avez sur ce client.

Gmail utilise certains outils pour minimiser ce risque, tels que des filtres, une analyse antivirus, voire une analyse des archives, mais ne pas cliquer sur "afficher les images" ou cliquer sur quoi que ce soit dans l'e-mail va minimiser votre risque au niveau le plus bas possible.

Même si vous faites quelque chose d'aussi simple que de cliquer sur "afficher les images" sur un e-mail, dans Gmail, cette demande Get peut envoyer des informations passives aux méchants, ce qui vous rapproche de la cible, car ils savent que vous faites des erreurs comme cliquer dans les e-mails tu ne devrais pas. Ce qui n'est qu'un peu dangereux, non? Mais toujours dangereux.

Contrairement à anciennes versions d'Outlook , en date de novembre 2019, je ne connais aucune vulnérabilité basée sur Gmail qui rendrait la consultation du contenu textuel dans Gmail dangereuse. Cliquer dans le courriel est la partie dangereuse.

Je me demande si cela doit être dit: ouvrir simplement l'e-mail pour lire le contenu n'est pas sûr si vous êtes le type de personne à être persuadé par l'e-mail, ce qui vous amène à cliquer sur le lien ou la pièce jointe.

0
Robert Houghton