Es besteht ein geringes Risiko für einen unbekannten Fehler - oder einen bekannten, aber nicht gepatchten - in Ihrem E-Mail-Client, der einen Angriff durch einfaches Anzeigen einer Nachricht ermöglicht.

Ich denke, Dieser sehr breite Rat wird jedoch auch als Verteidigung gegen einige Arten von Phishing-Betrug gegeben. Social-Engineering-Angriffe sind häufig und können zu ernsthaften Problemen führen. Es ist eine erste Verteidigungslinie, sicherzustellen, dass die Leute mindestens misstrauisch sind. Es ist, als würde man einem älteren Großelternteil sagen, er solle seine Kreditkarteninformationen niemals telefonisch weitergeben - okay, sicher, es gibt viele Umstände, unter denen dies relativ sicher ist, aber wenn sie immer betrogen werden Immer wieder ist es einfacher zu sagen: Tu es nicht.

Wenn du keine E-Mails öffnest, kannst du nicht über die Notlage eines Waisenkinds in einer vom Krieg heimgesuchten Region lesen Ich habe unerwartet einen Cache mit Nazi-Gold gefunden und brauche nur 500 Dollar, um ihn herauszuschmuggeln. Sie teilen sich die Hälfte mit Ihnen, und Ihr Herz geht einfach aus, und auch das Geld würde nicht schaden ... Oder, während Sie Kennen Sie die Regel über Anhänge, diese sagt, dass es Bilder der süßesten Kätzchen aller Zeiten sind, und wie kann das schädlich sein - ich klicke einfach darauf und okay, jetzt gibt es diese Kästchen, die sagen will ich es zulassen, was ärgerlich ist, weil ich es natürlich tue, weil ich die Kätzchen sehen will ...

Nicht für Google Mail, sondern für Outlook gab es eine Reihe von Exploits im "Vorschaufenster", bei denen ein einfacher Blick auf die E-Mail ausreicht, um Kompromisse einzugehen: Kann Malware durch Vorschau von E-Mails in aktiviert werden Outlook-Vorschaufenster?

Auch wenn nichts aktiv Schlimmes passiert, können viele passiv schlimme Dinge passieren. Beispielsweise können Sie ein transparentes Bild mit einem Pixel anzeigen, das mit Ihrer E-Mail-Adresse gekennzeichnet ist und Sie als die Art von Person kennzeichnet, die verdächtige E-Mails öffnet und liest. Dies sind Listen, auf denen Sie nicht sein möchten.

Nehmen Sie das Beispiel von Google Mail. Eingehende E-Mails werden durch E-Mail-Filter oder Milters geleitet. Jeder dieser Milters bewertet die E-Mail anhand von Merkmalen. Beispiel: Absenderstatus, SPF, DKIM, Domain-Reputation, Greylist, Spam-Listen, Inhalt usw. Wenn die E-Mail zu diesem Zeitpunkt noch nicht abgelehnt wurde, erreicht sie den Antivirenscanner.

Der Scanner entfernt einfach die Dateien im E-Mail-Inhalt und ordnet sie den Virendefinitionen zu. Bei Google Mail werden Archive auch entpackt, um einzelne Dateien zu scannen. Wenn keine Bedrohungen gefunden werden, wird die E-Mail in Ihrem E-Mail-Ordner gespeichert.

Dies funktioniert jedoch hervorragend, aber Google Mail kann Sie nicht vor allen Bedrohungen schützen. Seltsame Komprimierungsformate oder verschlüsselte Dateien können immer noch durchgehen. XSS ist höchst unwahrscheinlich, da diese Art von Exploits entweder von Google Mail oder vom Browser recht schnell erkannt werden. Die beste Infektionswahrscheinlichkeit besteht darin, dass ein lokaler E-Mail-Client Erweiterungen (z. B. CVE-2015-6172) verwendet, um angehängte Inhalte zu laden.

Im Allgemeinen sollte es sicher sein, eine E-Mail anzuzeigen, aber Software ist komplex und sehr selten perfekt.

Obwohl gute Softwarehersteller versuchen werden, sicherzustellen, dass sie alle E-Mails auf sichere Weise anzeigen, die sie mit Sicherheit erstellt haben Fehler. Wenn diese Fehler entdeckt werden, senden die Benutzer gestaltete E-Mails, die die Fehler auf irgendeine Weise ausnutzen und möglicherweise schädliche Software auf Ihrem Computer installieren oder andere unangenehme Dinge tun.

Ein neuer Fehler könnte heute entweder in Google Mail oder in Google Mail entdeckt werden Der von Ihnen verwendete Webbrowser und jemand sendet möglicherweise eine E-Mail, die diesen Fehler ausnutzt, bevor Sie ein Update erhalten, mit dem der Fehler behoben wird.

Die Gefahr steigt erheblich, wenn Sie einen alten oder nicht gewarteten Webbrowser oder E-Mail-Client verwenden.

Es gibt Möglichkeiten zu wissen, dass Sie eine E-Mail geöffnet haben (z. B. Mixmax ist eine Chrome-Erweiterung, mit der über Google Mail gesendete E-Mails verfolgt werden, indem ein verstecktes Bild mit einer Länge von 0 in die E-Mail eingebettet wird E-Mail-Text).

Auch wenn Sie nicht zulassen, dass Bilder automatisch geladen werden (wenn in Google Mail oben in der E-Mail ein Link mit "Bilder unten anzeigen" angezeigt wird), werden Sie beim Laden von HTML angezeigt Ermöglichen Sie möglichen Exploitern zu wissen, dass Sie sie lesen. Dies ist ein Startschuss für das Bombardement mit E-Mail-Spam.

Beantworten Sie daher die "Warum" -Frage mit einer anderen Frage: Ist es riskant, und zu öffnen? Laden Sie eine unbekannte E-Mail mit eingebettetem HTML?

JA. Wenn Sie eine E-Mail in Google Mail öffnen, senden Sie möglicherweise Daten an potenzielle Angreifer.

Andere E-Mail-Clients, die Bilder geöffneter E-Mails nicht gründlich blockieren, senden die Daten auch, wenn Sie sie öffnen.

Schädliche Links machen heute den größten Teil der Ausbeutung aus. Schädlicher Code (meistens Javascript) wurde speziell entwickelt, um unerwünschten Code über Ihren Browser auszuführen. Erst letzte Woche haben wir die 3 iOS 0-Tage (siehe Trident / Pegasus) gesehen, die von einer böswilligen E-Mail ausgegangen sind und möglicherweise seit 2014 in freier Wildbahn sind (ab Sicherheit jetzt ) Diese Links waren sogar "einmalige" Links, hatten seit 7 Unterstützung für jedes iOS und konnten das iOS aus der Ferne "jailbreaken". Mein Punkt ist, ich würde mich nicht um den tatsächlichen "Inhalt" der Nachricht kümmern, sondern nur auf Bilder oder Links in der E-Mail klicken. Während ja, es gibt Tricks zum Laden von Skripten über das Laden von Bildern (oder dergleichen), können moderne Browser und E-Mail-Clients Skripte verhindern, sodass Sie diese einfach deaktivieren können. Gelöst.

Die Realität ist, dass Programme Daten verarbeiten. Diese Programme können Fehler enthalten, die dazu führen, dass sich das Programm völlig anders als beabsichtigt verhält. Normalerweise passiert unter solchen Umständen, dass das Programm entweder vom Betriebssystem beendet wird oder nur zufälliges, nicht schädliches Verhalten zeigt. Alles, was ein Programm tut, ist jedoch technisch immer noch deterministisch (es sei denn, es handelt sich um Zufälligkeit). Was ein Programm also tatsächlich tut, wenn es auf falsch verarbeitete Daten stößt, ist deterministisch, sodass Angreifer Daten so erstellen können, dass genau em gesteuert wird > was das Programm macht.

Beim Empfang von E-Mails verarbeitet Ihr E-Mail-Client bereits Daten. Daher besteht eine gute Chance, dass ein Angreifer die Kontrolle über Ihr E-Mail-Programm erlangt, indem er Ihnen einfach eine E-Mail sendet. egal ob du es dir tatsächlich ansiehst. Das E-Mail-Programm lädt die E-Mail herunter und zeigt Ihnen beispielsweise den Betreff an. Wenn Sie die E-Mail öffnen, wird Ihr E-Mail-Client wahrscheinlich noch mehr Dinge tun, z. B. das Parsen des HTML-Codes in der E-Mail, das Anzeigen des Inhalts, das Anzeigen von Bildern usw. Bei allem, was er tut (vom Parsen von HTML bis zum Rendern) Bilder, das Rendern von Text, das Herunterladen von E-Mails, das Anzeigen des Betreffs) kann einen Fehler enthalten.

Das Öffnen einer verdächtigen E-Mail ist nur deshalb riskanter, weil mehr Inhalte verarbeitet werden , wenn Sie sie tatsächlich öffnen.

Wenn Sie eine Website (z. B. Google Mail) besuchen und dort eine E-Mail öffnen, sieht das ganz anders aus, da Google Mail nur eine Website wie jede andere ist ... außer dass E-Mails angezeigt werden. Das Problem dabei ist, dass Websites berücksichtigen müssen, dass Sie den Inhalt der E-Mail nicht einfach roh an den Browser senden können, da sich dann möglicherweise schädliches HTML und / oder schädliches JavaScript darin befindet. Technisch unterscheidet sich dies nicht allzu sehr von Websites wie Wikipedia, auf denen Benutzer Artikel schreiben können, die Formatierungen enthalten.

Natürlich verwendet Ihr Browser auch Bibliotheken, um Text zu rendern, Schriftarten zu verarbeiten, Bilder zu verarbeiten usw. Wenn also ein Fehler in einer Bildbibliothek vorliegt und die E-Mail ein schädliches Bild enthält, haben Sie kein Glück und es ist nicht die Schuld von Google Mail. Sie können davon ausgehen, dass die möglichen Sicherheitslücken in Google Mail mit denen des Browsers identisch sind, sowie das Problem mit XSS und anderen webspezifischen Sicherheitslücken.

Dies ist auch der Grund, warum Sie mit Dingen infiziert werden Selbst wenn Sie keine verdächtigen Websites besuchen (und die Leute meinen damit normalerweise Porno-, Streaming- und Warez-Websites), liegt dies daran, dass selbst nicht verdächtige Websites Anzeigen aus verschiedenen Netzwerken schalten. Wenn also ein Angreifer ein Werbenetzwerk irgendwie infiziert, auch die Nicht-Websites Verdächtige Websites werden Ihnen Malware liefern. Technisch gesehen ist es unsicher , Inhalte von Drittanbietern zu verwenden, die Sie nicht kontrollieren. Überlegen Sie, was passiert, wenn ein Angreifer es schafft, ein CDN zu steuern, das JQuery oder Bootstrap oder was auch immer bereitstellt, wo Tausende von Websites es verwenden. Dann enthalten alle diese Websites schädliches Javascript. Um dies zu verhindern, gibt es SRI, aber ich weiß nicht, wie gut dies derzeit unterstützt wird.

Das Öffnen einer verdächtigen E-Mail ist nur deshalb riskanter, weil mehr Inhalte verarbeitet werden, wenn Sie sie tatsächlich öffnen. Zum Beispiel kann eine Verarbeitung, die:

1. Ihre IP verfolgen

2. XSS / CSRF / Command Injection durchführen, wenn die Website anfällig ist.

3. oder in einem fortgeschrittenen Angriffsprozess eine Exe mit Hintertür, um Terminal oder Root zu erhalten

ol>

Das Öffnen verdächtiger E-Mails kann abhängig von der Konfiguration Ihres E-Mail-Clients gefährlich sein. Wenn diese Einstellungen die Ausführung von Code ermöglichen, während Sie nur versuchen, den Textinhalt gut anzuzeigen, kann dasselbe passieren, WENN Sie einen Anhang geöffnet oder auf einen Link geklickt haben. Dies geschieht, wenn unbeabsichtigter Code hinter den Kulissen ausgeführt wird, da Sie auf etwas geklickt haben, um dies zuzulassen, es sei denn, Ihr E-Mail-Client, Browser oder Betriebssystem stoppt ihn.

Deshalb hängt die Antwort auf Ihre Frage so stark davon ab, welcher E-Mail-Client verwendet wird und welche Einstellungen Sie auf diesem Client vorgenommen haben.

Google Mail verwendet einige Tools, um dieses Risiko zu minimieren, z. B. Filter, Antiviren-Scannen und sogar Archiv-Scannen. Wenn Sie jedoch nicht auf diese "Bilder anzeigen" oder auf etwas in der E-Mail klicken, wird Ihr Risiko minimiert Risiko auf das niedrigstmögliche Niveau.

Selbst wenn Sie in Google Mail so einfach wie "Bilder anzeigen" in einer E-Mail klicken, kann Get Get Request passive Informationen an die bösen Jungs senden, die Sie einen Schritt näher bringen ein Ziel zu sein, weil sie wissen, dass Sie Fehler machen, wie das Klicken in E-Mails, die Sie nicht sollten. Welches ist nur ein wenig gefährlich, oder? Aber immer noch gefährlich.

Im Gegensatz zu älteren Versionen von Outlook sind mir ab November 2019 keine auf Google Mail basierenden Sicherheitslücken bekannt, die das Betrachten des Textinhalts in Google Mail unsicher machen. Das Klicken auf IN der E-Mail ist der unsichere Teil.

Ich frage mich, ob dies gesagt werden muss: Nur die E-Mail zu öffnen, um den Inhalt zu lesen, ist UNSICHER, wenn Sie die Art von Person sind, die von der E-Mail überzeugt werden soll in dir selbst klicke auf den Link oder Anhang.