我想知道为什么打开来自未知来源的电子邮件有危险吗?

我正在使用Gmail,我认为下载附件并运行它只是不安全的。 JavaScript代码,但是我敢肯定,每个电子邮件提供商都保护其站点免受XSS版本的攻击。 Gmail上的示例?

评论

对于HTML电子邮件,也可以使用csrf。例如:

即使提到的xss xavier不起作用,攻击者也可以使用验证电子邮件,并且您可能会成为大规模垃圾邮件+暴力破解的焦点。

更好的是,根本不阅读您的电子邮件。总会分散需要时间的分心请求。 :P

过去,Eudora Pro会将收到的每封电子邮件中的每个附件下载并保存到磁盘(甚至没有打开,只是收到)。我曾经被国防部聘请为一名中学校长,被指控在工作中观看不适当的内容。原来,驱动器上裸露的每个图像都是由他的电子邮件客户端自动下载的。

@ Xavier59如果您使用在线银行服务通过GET请求发送付款信息,则生活中的安全问题要比怪异的电子邮件大。

#1 楼

您的邮件客户端中存在一个未知错误(或一个已知但未修补的错误)的风险很小,仅通过查看一条消息就可以进行攻击。防御某些类型的网络钓鱼诈骗。社会工程攻击很普遍,可能会导致严重的麻烦。确保人们至少可疑是第一道防线。这就像告诉年迈的祖父母不要通过电话提供信用卡信息一样-可以,当然,在很多情况下这样做都是相对安全的,但是当他们不断被骗时,说起来容易些:别这么做。

同样,不打开邮件会使您无法了解一个饱受战争war的孤儿的困境,这个孤儿意外发现了纳粹黄金的藏匿处,只需要走私500美元就可以了出来,他们会和你分担一半的钱,你的心就会熄灭,而且金钱也不会受到伤害……。或者,虽然你知道关于依恋的规则,但是这个却说那是最可爱的小猫的照片曾经,以及那有什么危害?我只需单击它,好吧,现在有这些框在说我要允许它,这很烦人,因为我当然愿意这样做,因为我想看小猫....

评论


爱上一段!

–卢卡斯
16年5月5日在15:53

哦,顺便说一句,顺便说一句,您还需要先升级视频编解码器,然后才能看到那小小的狗狗视频。

–user13695
16-9-5 '19:25

最后一段很棒。另外,mattdm,您的软呢帽T恤在哪里?

–grochmal
16年9月5日在21:31

很高兴每个人都喜欢它。 @grochmal,衬衫在洗衣房里。 :)

–mattdm
2016年9月6日下午13:27

只需跳到Personal Finance StackExchange网站,并惊叹于“这是一个骗局?”。人们问那里的问题。 (然后想象有多少人不问这个问题。)

–‐Jörg W Mittag
16年7月7日在15:12

#2 楼

不是针对gmail,而是针对Outlook,存在许多“预览窗格”利用,仅查看电子邮件就足以妥协:通过在Outlook的“预览”窗格中预览电子邮件是否可以激活恶意软件?

评论


通过某些Web浏览器引擎呈现HTML电子邮件的任何内容都容易受到HTML引擎及其利用的媒体呈现库容易受到的相同攻击。

–rackandboneman
16-09-6在10:37

Kontact / KDEPIM / KMail中还有一些仍未打补丁的人……☹

– mirabilos
2016年9月6日19:10

#3 楼

即使没有发生主动不良事件,也可能发生许多被动不良事件-例如,您可能会看到一个标有电子邮件地址的透明像素像素图像,该图像将您标记为打开和阅读可疑电子邮件的人。这些是您不想出现的列表。

评论


我以为每个体面的邮件客户端已经在阻止嵌入式图像了?

– John Dvorak
2016年9月5日在21:44

@JanDvorak实际上,我注意到最近有一些客户停止这样做了。另外,我的客户尤其不会阻止外部FLASH组件。真是疯了。

–TomášZato-恢复莫妮卡
2016年9月6日在8:46

Gmail添加了图片代理,因此您不会直接向原始服务器发出请求:gmail.googleblog.com/2013/12/images-now-showing.html这不会停止单独的跟踪(即,将用户发送到example.com/images/example-at-gmail-dot-com.png并注意到它被击中了),因为代理/缓存显然并没有实际下载图像,除非用户这样做。它只下载一次,然后扫描图像,但是攻击者仍会看到您打开了电子邮件。

–凯文费
16 Sep 6 '16:44



哎呀,我不知道那件事。我总是打开它们只是为了看看那些人到现在为止。我喜欢阅读他们的故事。当我有另一个百万富翁叔叔或一个不存在的国家的王子来拜访我时,总是让我烦恼。

– miva2
16年9月7日在14:14

@ miva2,在YouTube上搜索“ Scamalot”;您会很开心的。最好的是“烤面包机”。 :)

–通配符
2016年9月9日在20:27

#4 楼

以Gmail为例。传入的电子邮件通过邮件过滤器或过滤器推送。这些人都基于特征来评估电子邮件。例如,发件人状态,SPF,DKIM,域信誉,灰名单,垃圾邮件发送者,内容等。如果此时邮件尚未被拒绝,它将到达防病毒扫描程序。

扫描程序仅分离邮件内容中的文件,并将其与病毒定义匹配。对于Gmail,归档文件也会解压缩以扫描单个文件。如果未发现任何威胁,则该电子邮件将存储在您的电子邮件文件夹中。

,虽然效果很好,但Gmail不能保护您免受所有威胁。奇怪的压缩格式或加密文件仍然可以通过。 XSS不太可能,因为无论是Gmail还是浏览器,都可以很快地识别出这类攻击。感染的最佳机会是通过使用扩展名(例如CVE-2015-6172)的本地邮件客户端来加载附件内容。

评论


我不知道他们被称为民兵。

–大卫说恢复莫妮卡
16年9月5日在13:14

这不能回答问题。 OP想要知道仅/打开电子邮件是否安全/为什么不安全(即在其浏览器中查看消息)。他具体说,他不是在问为什么打开附件会不安全。

– Ben Crowell
16年5月5日在14:55

Google病毒定义与AVG,Norton,McAffe等产品相比如何?由于Gmail是免费的,因此我有点假设其病毒定义是“裸露的骨头”,如果我想获得更好的保护,必须购买产品吗?

–布鲁斯·韦恩(BruceWayne)
16-09-5在17:30



@BruceWayne我们不知道。他们可以依靠第三方来处理此问题,或者拥有自己的数据库(更可能了解Google)。本主题以Gmail为例,但我希望Outook.com使用与Windows Defender非常相似的工具。

–约里克·德·威德(Yorick de Wid)
16年9月5日在17:42

@YorickdeWid:您认为电子邮件存储在哪里?如果Gmail收到电子邮件,则Google会对其进行部分扫描,以防止病毒感染Google服务器。然后他们存储它,然后您可以阅读您的电子邮件。

–鸭鸭
16年9月5日在18:40

#5 楼

通常,查看电子邮件应该是安全的,但是软件非常复杂,而且很少能完美使用。发现这些错误后,人们将发送精心制作的电子邮件,以某种方式利用这些错误,并可能在您的计算机上安装恶意软件或进行其他不愉快的事情。

今天,可以在Gmail或您使用的Web浏览器,并且有人可能会在获取修复该bug的更新之前发送利用该bug的电子邮件。

如果使用旧的或未维护的Web浏览器或电子邮件客户端,危险会大大增加。

评论


旧的/未更新的软件:这对于某些被告知不要打开可疑电子邮件的人来说很典型。

– Peter Cordes
16年9月5日在22:33

#6 楼

有多种方法可以知道您是否打开了电子邮件(例如,Mixmax是Chrome的扩展程序,它通过将长度为0的隐藏图像嵌入到电子邮件正文中来跟踪通过Gmail发送的电子邮件)。即使您没有允许图像自动加载(在Gmail顶部,当您在电子邮件顶部看到带有“在下面显示图像”的链接)时,如果加载了HTML,则表示可能的利用者知道您正在阅读它们,

因此,回答“为什么”问题时要回答另一个问题:打开并加载带有嵌入式HTML的未知电子邮件是否有风险?

是,仅通过在Gmail中打开电子邮件,您就可能向潜在的攻击者发送数据。 。

评论


当您阅读电子邮件时,Mixmax如何知道?

– KSFT
16-09-11的3:45

Gmail会在收到图像时代理图像,因此mixmax无法使用。

–以前
16/09/11在17:41

@KSFT尝试一下,然后测试将电子邮件发送到Gmail帐户,然后通过Gmail打开它。您可以单击右侧的向下小三角形,然后单击“显示原始图像”。搜索 ...部分具有用于标识您的帐户和电子邮件的跟踪ID ,一旦您打开电子邮件,就会加载并访问该URL,从而在其数据库中注册相应的数据。

– CPHPython
16年9月12日在10:13

@ardaozkal好吧,只需尝试一下,而不要评论“将不起作用”。即使Gmail阻止了图像,Mixmax仍然可以工作。这种技术已经存在了很长一段时间,分析系统经常使用它(Facebook和Google)。除非您有另一种阻止所有插件的插件,否则在通过客户端打开允许加载这些嵌入式图像的电子邮件时,将始终会对其进行跟踪。

– CPHPython
16年9月12日在10:20

@CPHPython我会尝试,但是我不使用gmail。

–以前
16 Sep 12'在11:05

#7 楼

如今,恶意链接占据了大多数剥削。恶意代码(大多数是javascript)是经过精心设计的,可以通过浏览器执行不需要的代码。就在上周,我们看到了3个iOS 0天(请参阅Trident / Pegasus),它们是从恶意电子邮件开始的,并且可能自2014年以来就开始泛滥(从现在开始安全)。这些链接甚至是“一次性使用”链接,具有支持适用于7以后的每个iOS,并且能够远程“越狱” iOS。我的意思是,我不必担心邮件的实际“内容”,只需单击电子邮件中的图像或链接即可。是的,有一些通过图像加载(或类似方法)加载脚本的技巧,现代的浏览器和电子邮件客户端可以阻止脚本,因此您可以将其关闭。解决了。

评论


那么您对这个问题的实际答案是什么?打开邮件有危险吗?还是只有单击任何按钮才有危险?这些是有趣的示例,但是答案的最后似乎暗示您认为打开邮件应该是安全的(如果客户端配置正确?)

– Peter Cordes
2016年9月5日在22:37

直接,是的,这就是我的意思。将您配置为不加载远程内容的邮件客户端,但是您将如我所说的那样安全,真正的问题是单击链接。

– archae0pteryx
16 Sep 6'1:24



我的观点是,您应该修改答案以更清楚地陈述总体结论。我还建议将其分解为单独的段落。 (我知道,短段落感觉太短了,但有时它们只需要一句话)

– Peter Cordes
2016年9月6日在1:34



@PeterCordes。我对此表示赞赏。我是新来的。 (显然)所以谢谢!

– archae0pteryx
2016年9月6日15:50

我不认为“尽可能安全”是正确的,因为正如其他答案所指出的那样,存在大量的预览窗格漏洞利用,图像查看漏洞利用等等。安全措施。

– Dewi Morgan
16年6月6日在18:16

#8 楼

现实是程序处理数据。这些程序可能包含导致程序行为与预期完全不同的错误。通常在这种情况下发生的情况是该程序将被操作系统终止,或者只是从事随机的无害行为。但是,从技术上讲,程序所做的一切都是确定性的(除非涉及到随机性)-因此,程序在遇到处理错误的数据时实际执行的操作是确定性的,因此攻击者能够以一种控制程序确切方式的方式构造数据。

接收电子邮件时,您的电子邮件客户端已经在处理数据,因此,攻击者很有可能仅通过向您发送电子邮件就可以控制您的电子邮件程序-不管您是否真的看它。电子邮件程序将下载电子邮件,例如,向您显示主题。当您打开电子邮件时,您的电子邮件客户端可能会做更多的事情,例如解析电子邮件中的HTML,显示内容,显示图像等。它所做的一切(从解析HTML到呈现图片,渲染文本,下载电子邮件,显示主题)中可能有错误。

打开可疑电子邮件只会带来更大的风险,因为在您实际打开电子邮件时会处理更多的邮件。

当您访问网站(例如Gmail)并在其中打开电子邮件时,情况就大不相同了,因为Gmail与其他网站一样,只是一个网站...除了显示电子邮件。问题在于网站需要考虑到您不能仅仅将原始电子邮件的内容发送到浏览器,因为那样的话,其中可能包含恶意HTML和/或恶意JavaScript。从技术上讲,这与Wikipedia这样的网站没有太大区别,在Wikipedia上,用户可以编写包含格式的文章。

当然,您的浏览器还将使用库来渲染文本,处理字体,处理图像等。因此,如果图像库中存在错误,并且电子邮件中包含恶意图像,则表示您不走运,这不是Gmail的错。您可以期望Gmail可能存在的安全漏洞与浏览器相同,以及XSS和其他特定于网络的安全漏洞的问题。即使您不访问任何可疑网站(通常,人们通常指色情,流媒体,warez网站),也是因为即使非可疑网站也会投放来自不同网络的广告,因此,即使攻击者以某种方式感染了广告网络, -可疑站点将为您提供恶意软件。从技术上讲,使用不受您控制的第三方内容是不安全的。想一想,当攻击者设法控制为jquery或bootstrap等服务的CDN时,成千上万的站点正在使用它。然后,所有这些网站都将包含恶意javascript。为了防止这种情况的发生,现在有SRI,但我不知道到目前为止它的支持程度如何。

评论


但是,SRI是一项建议。

–罗马人
16年8月8日在15:14

#9 楼

打开可疑电子邮件只会带来更大的风险,因为在您实际打开电子邮件时会处理更多的邮件。例如可以执行以下操作的处理:


跟踪您的IP
如果网站易受攻击,则执行XSS / CSRF /命令注入。获得终端或根


#10 楼

根据电子邮件客户端的配置,打开可疑电子邮件可能很危险。如果这些设置允许代码在您试图很好地查看文本内容时运行,则如果您打开附件或单击链接,则可能会发生同样的事情。这就是“幕后”意外代码正在运行的原因,因为您单击了允许它的内容,除非您的电子邮件客户端,浏览器或操作系统停止了它。

这就是为什么您的问题的答案如此之大取决于所使用的电子邮件客户端以及该客户端的设置的原因。

Gmail正在使用一些工具来最小化这种风险,例如过滤器,防病毒扫描,甚至是存档扫描,但不会单击该“显示图像”或单击电子邮件中的任何内容将其最小化您将风险降低到最低水平。

即使您执行某些操作,例如单击电子邮件中的“显示图像”一样简单,在Gmail中,“获取”请求也可以将被动信息发送给不良分子,从而使您陷入困境离目标更近了,因为他们知道您会犯一些错误,例如单击您不应该单击的电子邮件。哪有一点危险吧?但是仍然很危险。

与旧版本的Outlook不同,截至2019年11月,我知道没有基于Gmail的漏洞会使在Gmail中查看文本内容不安全。单击电子邮件是不安全的部分。

我想知道是否需要这么说:如果您是通过电子邮件说服的人类型,那么打开电子邮件阅读内容是不安全的,导致您自己单击链接或附件。