Я отримав шкідливий електронний лист, як переконатися, що я в безпеці?

10

Я увійшов у Gmail, і мені надійшло повідомлення від Amazon про оцінку нещодавнього замовлення. Я не впізнав компанію, але вирішив відкрити електронний лист, а потім відразу побачив, що це не від Amazon, і схоже, що це "поганий" електронний лист з великою кількістю випадкових речей і хтось щось намагається використати.

Я 16.04. Я завжди читаю Ubuntu досить безпечно через все, що вимагає root. Чи є яке-небудь програмне забезпечення, яке я повинен запустити, щоб переконатися, що зараз у моїй системі нічого немає, або щось, що я повинен зробити, щоб переконатися, що я в безпеці? Я зазвичай обережно пишу електронну пошту, але ця отримала мене.

security  malware 
Кдрумз
джерело
2
Ви повинні вимкнути показ зображень за замовчуванням для всіх електронних листів у клієнті Gmail та дозволити його на основі електронної пошти.
Патрік Трентін
"випадкові речі" мало значать. І чому ви думаєте, "хтось [щось] намагається щось експлуатувати"? Швидше за все, це лист від асоційованого постачальника, який наполягає на гарному огляді їх товару.
Карл Віттофт

Відповіді:

26

Я вважаю малоймовірним, що ваша система будь-яким чином зазнала нападу, але цілком виключити це неможливо.

Більшість електронних листів "спаму" мають випадкових персонажів у спробі обійти (погано реалізовані) спам-фільтри, але це не означає, що це може становити загрозу.

Якщо сам електронний лист не містив зображення (а IIRC Gmail блокує зображення, якщо ви не відкриєте їх вручну), і ви не побачили це зображення, дуже важко ввести щось шкідливе в електронну пошту, за винятком, можливо, нуля CSS / HTML -день (як CVE-2008-2785 , CSS), але це здається малоймовірним. Незважаючи на це, більшість експлуатацій на основі браузера, як правило, не працюють добре через пісочницю браузера та інші подібні функції безпеки, хоча вони все ще вразливі до експлуатації (див. CVE-2016-1706 ).

Але давайте спустимось по маршруту зображення, тому що це найбільш вірогідно. Зловмисне програмне забезпечення для зображень є захоплюючою темою , але воно дійсно зводиться до того, що є відносно рідкісним, оскільки ви можете використовувати лише певні версії певної програми, як правило, лише в певній операційній системі. Як можна здогадатися, ці помилки, як правило, швидко виправляються.

Вікно для подібних атак дуже мало, і ви навряд чи потрапили б до одного, якби він був присутній. Через характер цих подвигів вони (потенційно) можуть бути використані для виривання з пісочниці, наданої браузерами. Для прикладу того, як може статися щось подібне, подивіться на CVE-2016-3714 для ImageMagick. Або, зокрема, для Google Chrome (або, точніше, libopenjp2), див. CVE-2016-8332 .

Можливо, що отримане вами повідомлення електронної пошти містило зловмисне зображення всередині нього, яке використовувало певну помилку в механізмі візуалізації зображень, заражаючи вашу машину. Це вже досить малоймовірно, і якщо ви постійно оновлювали систему, вам не повинно бути нічого страшного. Наприклад, у випадку згаданого раніше експедитора OpenJPEG будь-яка система, що працює у версії 2.1.2 (випущена 28 вересня 2016 року ), була б безпечною від цього подвигу.

Якщо ви відчуваєте , як ніби ви або ваша система була заражена, це гарна ідея , щоб запустити стандартні перевірки, в тому числі clamav, rkhunter, ps -aux, netstat, і старий добрий пошук журналу. Якщо ви справді відчуваєте, що ваша система заражена, витріть її та почніть з нуля з недавно відомого хорошого резервного копіювання. Не забудьте підтримувати вашу нову систему якомога актуальнішою.

Але, це більше ніж ймовірно нічого в цьому випадку. Електронна пошта зараз менше векторів атаки, оскільки вони є непотрібними магнітами. Якщо ви хочете, у HowToGeek навіть є стаття з цього питання, що просто відкриття електронної пошти зазвичай вже недостатньо. Або, навіть, дивіться цю відповідь SuperUser, що говорить саме те саме.

Каз Вулф
джерело
Велике спасибі за цікавий пост! Чи рекомендуєте ви мені запустити всі ці стандартні тести? Я дещо новенький у ubuntu, тому я не знаю, як зробити пошук журналу, pm або netstat, але я думаю, я міг би це зрозуміти! Я обов'язково отримаю clamav, коли повернусь додому першим.
Кдрум
2
Дійсно, psі netstatце лише команди, які скидають інформацію про вашу систему. Використовуйте їх, щоб шукати дивні процеси чи дивні мережеві з'єднання та визначати, звідки вони беруться (і, можливо, що вони роблять). Що стосується пошуку журналів, то в більшості речей /var/logможе з’являтися вірус (якщо ви знаєте, на що слід звертати увагу). Оскільки вам точно сказати , на що слід звернути увагу, можливо, заповніть всю бібліотеку, спробуйте спочатку пошукати в Google щось підозріле, а потім, можливо, задайте нове запитання або завітайте до чату, де ми можемо допомогти.
Каз Вулф
1
Лише зауважте, Gmail зараз автоматично завантажує зображення, якщо не вважає їх шкідливими, вони змінили це, можливо, рік тому. Він завантажує їх через проксі-сервер, щоб захистити конфіденційність, і вони кажуть, що вони також роблять певну перевірку зловмисного програмного забезпечення на цих зображеннях: support.google.com/mail/answer/…
Стів,
1
@Steve Gmail не завантажує зображення, якщо вони знаходяться у вашій папці зі спамом.
Каз Вулф
2
@Kdrumz, так, якщо ви встановите з apt, ви будете в порядку (зазвичай, дивіться тут ще одну інформацію про мене щодо вірусів від apt)
Kaz Wolfe
11

Загальні вказівки:

  • перевірити час на всіх прихованих файлах у вашому домі.
  • перевірити за topі psякщо ви бачите якісь -то дивні процеси , запущені.
  • перевірте в Google частину вмісту електронного листа. Перевірте, чи повідомили інші про проблеми, пов’язані з цією поштою.
  • перевірити. /var/logнові письмові файли журналів та вивчити їх.

Але в цілому я вважаю, що ви добре. Gmail не має дозволу робити щось на своєму диску без згоди. Chrome і всі веб-переглядачі перебувають у пісочному режимі. Тільки одне повинно зробити це досить безпечним. Якщо не просто звичайний сейф.

Якщо ви хочете, ми можемо проаналізувати пошту, якщо ви готові додати вміст цього листа до свого питання.

Rinzwind
джерело
Дякую за пост! Мені цікаво, як ви, хлопці, перевіряли електронну пошту .. Як би це зробити? Чи повернусь я до Gmail, знову відкрию електронний лист і скопіюйте та вставте його тут? Це небезпечно для мене? Він не повинен містити жодної моєї приватної інформації, яку я б не вважав, правда?
Кдрум
@Kdrumz Дотримуйтесь інструкцій у розділі gmail, переліченому тут, щоб отримати оригінальну стенограму електронної пошти. Зауважте, що це (можливо) міститиме ваше ім’я та електронну пошту, тому не забудьте відредагувати це та все, що виглядає чутливим / ідентифікуючим / унікальним. Ось приклад електронної пошти, яку я щойно редагував: pastebin.com/wAU5aJuC
Kaz Wolfe
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.