Otrzymałem złośliwy e-mail, jak mogę się upewnić, że jestem bezpieczny?

10

Zalogowałem się do Gmaila i dostałem wiadomość od Amazon o ocenie ostatniego zamówienia. Nie rozpoznałem firmy, ale postanowiłem otworzyć wiadomość e-mail, a potem natychmiast zobaczyłem, że nie pochodzi ona od Amazon, i wyglądałem, jakby była to „zła” wiadomość e-mail z dużą ilością losowych rzeczy i kogoś, kto próbował coś wykorzystać.

Mam 16.04. Zawsze czytam, że Ubuntu jest dość bezpieczne ze względu na wszystko, co wymaga rootowania. Czy jest jakieś oprogramowanie, które powinienem uruchomić, aby upewnić się, że nic nie ma w moim systemie, lub cokolwiek, co powinienem zrobić, aby upewnić się, że jestem bezpieczny? Zazwyczaj uważam na e-maile, ale ten mnie dopadł.

Kdrumz
źródło
2
Należy domyślnie wyłączyć wyświetlanie obrazu dla wszystkich wiadomości e-mail w kliencie Gmaila i zezwalać na nie dla poszczególnych wiadomości e-mail.
Patrick Trentin
„losowe rzeczy” niewiele znaczą. Jak myślisz, dlaczego „ktoś [próbuje] coś wykorzystać”? Bardziej prawdopodobne jest to, że jest to list od powiązanego dostawcy, który nalega na dobrą recenzję swojego produktu.
Carl Witthoft,

Odpowiedzi:

26

Uważam za mało prawdopodobne, aby twój system został zaatakowany w jakikolwiek sposób, ale nie można całkowicie wykluczyć.

Większość e-maili zawierających spam ma losowo wyglądające znaki, które próbują ominąć (źle zaimplementowane) filtry antyspamowe, ale nie oznacza to od razu, że może stanowić zagrożenie.

O ile sam e-mail nie zawiera jakiegoś obrazu (a Gmail IIRC blokuje obrazy, chyba że otworzysz go ręcznie) i zobaczysz ten obraz, bardzo trudno wstrzyknąć coś złośliwego do wiadomości e-mail, z wyjątkiem może CSS / HTML zero -dnia (jak CVE-2008-2785 , CSS), ale wydaje się to mało prawdopodobne. Mimo to większość exploitów opartych na przeglądarce nie działa dobrze z powodu piaskownicy przeglądarki i innych podobnych funkcji bezpieczeństwa, choć wciąż są one podatne na ataki (patrz CVE-2016-1706 ).

Ale zejdźmy ścieżką obrazu, ponieważ jest to najbardziej prawdopodobne. Złośliwe oprogramowanie graficzne jest fascynującym tematem , ale tak naprawdę sprowadza się do tego, że jest stosunkowo rzadkie, ponieważ można wykorzystywać tylko niektóre wersje określonego programu, zwykle tylko w określonym systemie operacyjnym. Jak można się domyślić, błędy te mają tendencję do szybkiego alarmowania.

Okno dla tego rodzaju ataków jest bardzo małe i nie byłoby prawdopodobne, aby ktoś uderzył cię, gdyby był obecny. Ze względu na charakter tych exploitów można je (potencjalnie) wykorzystać do wyłamania się z piaskownicy udostępnianej przez przeglądarki. Na przykład, jak to się może stać, zobacz CVE-2016-3714 dla ImageMagick. Lub, w szczególności dla Google Chrome (lub dokładniej libopenjp2), zobacz CVE-2016-8332 .

Możliwe, że wiadomość e-mail zawierała złośliwie spreparowany obraz, który wykorzystywał pewne błędy w silniku renderowania obrazu, infekując komputer. Jest to już mało prawdopodobne, a jeśli aktualizujesz swój system, nie powinieneś się martwić. Na przykład w przypadku wspomnianego wcześniej exploita OpenJPEG każdy system z uruchomioną wersją 2.1.2 (wydany 28 września 2016 r. ) Byłby bezpieczny przed tym exploitem.

Jeśli czujesz się tak, jakbyś lub system zostały zainfekowane, że to dobry pomysł, aby uruchomić standardowe kontrole, w tym clamav, rkhunter, ps -aux, netstat, i dobrej poszukiwań starego dziennika wykończonych. Jeśli naprawdę uważasz, że twój system został zainfekowany, wyczyść go i zacznij od zera od ostatniej znanej dobrej kopii zapasowej. Upewnij się, że Twój nowy system jest jak najbardziej aktualny.

Ale w tym przypadku to więcej niż prawdopodobne. E-maile są teraz mniej wektorami ataku, ponieważ są magnesami śmieciowymi. Jeśli chcesz, HowToGeek ma nawet artykuł na ten temat, że samo otwarcie wiadomości e-mail zwykle już nie wystarcza. Lub nawet zobacz odpowiedź SuperUser mówiąc dokładnie to samo.

Kaz Wolfe
źródło
Dziękuję bardzo za interesujący post! Czy poleciłbyś mi przeprowadzenie tych wszystkich standardowych testów? Jestem trochę nowy w Ubuntu, więc nie wiem, jak przeszukiwać log, pm lub netstat, ale myślę, że mógłbym to rozgryźć! Na pewno dostanę clamav, gdy wrócę do domu pierwszy.
Kdrumz,
2
Naprawdę, psi netstatsą to tylko polecenia, które usuwają informacje dotyczące twojego systemu. Użyj ich, aby wyszukać dziwne procesy lub dziwne połączenia sieciowe i określić, skąd pochodzą (i potencjalnie to, co robią). Jeśli chodzi o przeszukiwanie dziennika, większość rzeczy /var/logmoże pokazywać wirusa (jeśli wiesz, na co należy uważać). Mówiąc dokładnie, czego szukać, prawdopodobnie zapełnisz całą bibliotekę, spróbuj najpierw wyszukać w Google coś podejrzanego, a następnie zadaj nowe pytanie lub przyjdź do pokoju rozmów, w którym jesteśmy w stanie pomóc.
Kaz Wolfe
1
Uwaga: Gmail automatycznie ładuje obrazy teraz, chyba że sądzi, że są złośliwe, zmieniły to może rok temu. Ładuje je za pośrednictwem serwera proxy, aby chronić prywatność, i mówią, że wykonują również skanowanie złośliwego oprogramowania na tych obrazach: support.google.com/mail/answer/…
Steve
1
@Steve Gmail nie ładuje obrazów, jeśli znajdują się w folderze spamu.
Kaz Wolfe
2
@Kdrumz, tak, jeśli instalujesz z apt, wszystko będzie w porządku (zwykle, tutaj znajdziesz kolejną moją recenzję dotyczącą wirusów z apt)
Kaz Wolfe
11

Ogólne wskazówki:

  • sprawdź czas na wszystkich ukrytych plikach w domu.
  • sprawdź za pomocą topi psczy widzisz jakieś uruchomione dziwne procesy.
  • sprawdź Google pod kątem części treści wiadomości e-mail. Sprawdź, czy inni zgłaszali problemy dotyczące tej poczty.
  • czek. /var/lognowe zapisane pliki dziennika i sprawdź je.

Ale ogólnie uważam, że wszystko w porządku. Gmail nie ma uprawnień do robienia czegoś na dysku bez zgody. Chrome i wszystkie przeglądarki są w trybie piaskownicy. Już samo to powinno uczynić go dość bezpiecznym. Jeśli nie tylko po prostu bezpieczne.

Jeśli chcesz, możemy przeanalizować pocztę, jeśli zechcesz dodać treść tej wiadomości do pytania.

Rinzwind
źródło
Dzięki za post! Interesuje mnie to, że sprawdzacie wiadomość e-mail… Jak mam to zrobić? Czy wrócę do Gmaila, ponownie otworzę e-maila i skopiuję go i wkleję tutaj? Czy to dla mnie niebezpieczne? Nie powinien zawierać żadnych moich prywatnych informacji, których nie sądzę, prawda?
Kdrumz
@Kdrumz Postępuj zgodnie z instrukcjami w sekcji Gmail tutaj, aby uzyskać oryginalny zapis wiadomości e-mail. Pamiętaj, że będzie to (prawdopodobnie) zawierać twoje imię i adres e-mail, więc zredaguj to i wszystko inne, co wygląda na wrażliwe / identyfikujące / niepowtarzalne. Oto przykładowy e-mail, który właśnie zredagowałem: pastebin.com/wAU5aJuC
Kaz Wolfe