Recebi um email mal-intencionado, como me certifico de que estou seguro?

10

Entrei no Gmail e recebi um e-mail da Amazon sobre a classificação de um pedido recente. Não reconheci a empresa, mas decidi abrir o e-mail, vi imediatamente que não era da Amazon e parecia um e-mail "ruim", com muitas coisas aleatórias e alguém tentando explorar alguma coisa.

Estou em 16.04. Eu sempre leio o Ubuntu é bastante seguro por causa de tudo que requer root. Existe algum software que eu deva executar para garantir que nada esteja no meu sistema agora ou algo que eu deva fazer para garantir minha segurança? Normalmente, sou cuidadoso com os e-mails, mas este me pegou.

Kdrumz
fonte
2
Você deve desativar a exibição de imagens por padrão para todos os emails no cliente do Gmail e permitir por email.
Patrick Trentin
"coisas aleatórias" não significam muito. E por que você acha que "alguém [está] tentando explorar alguma coisa"? Provavelmente, essa é uma carta de um fornecedor associado que solicita uma boa revisão do produto.
Carl Witthoft

Respostas:

26

Considero improvável que seu sistema tenha sido atacado de alguma forma, mas não é possível descartar completamente.

A maioria dos emails de "spam" possui caracteres de aparência aleatória na tentativa de ignorar filtros de spam (mal implementados), mas isso não significa imediatamente que possa constituir uma ameaça.

A menos que o próprio e-mail contenha algum tipo de imagem (e o IIRC Gmail bloqueie imagens, a menos que você as abra manualmente) e você a tenha visto, é muito difícil injetar algo malicioso em um e-mail, exceto talvez um CSS / HTML zero -day (como CVE-2008-2785 , CSS), mas isso parece improvável. Mesmo assim, a maioria das explorações baseadas no navegador não costuma funcionar bem devido ao sandbox do navegador e outros recursos de segurança semelhantes, embora ainda estejam vulneráveis ​​à exploração (consulte CVE-2016-1706 ).

Mas vamos seguir a rota da imagem porque é a mais provável. O malware de imagem é um assunto fascinante , mas realmente se resume a ser relativamente raro, porque você pode explorar apenas determinadas versões de um determinado programa, normalmente apenas em um determinado sistema operacional. Como se pode imaginar, esses bugs tendem a ser corrigidos de forma alarmante rapidamente.

A janela para esse tipo de ataque é muito pequena e é improvável que você seja atingido por um, se estiver presente. Devido à natureza dessas explorações, elas podem (potencialmente) ser usadas para sair da caixa de proteção fornecida pelos navegadores. Para um exemplo de como algo assim pode acontecer, consulte CVE-2016-3714 para ImageMagick. Ou, especificamente para o Google Chrome (ou, mais exatamente libopenjp2), consulte CVE-2016-8332 .

É possível que o e-mail que você recebeu tenha uma imagem criada com códigos maliciosos, que explora algum bug no mecanismo de renderização de imagens, infectando sua máquina. Isso já é bastante improvável e, se você mantiver seu sistema atualizado, não deverá se preocupar com nada. Por exemplo, no caso da exploração do OpenJPEG mencionada anteriormente, qualquer sistema executando a versão 2.1.2 (lançada em 28 de setembro de 2016 ) estaria a salvo dessa exploração.

Se você sentir como se você ou o seu sistema tenha sido infectado, é uma boa idéia para executar as verificações padrão, incluindo clamav, rkhunter, ps -aux, netstat, e boa e velha busca log moda. Se você realmente sentir que seu sistema foi infectado, limpe-o e comece do zero a partir de um backup recente em bom estado. Certifique-se de manter seu novo sistema o mais atualizado possível.

Mas, é mais do que provável nada neste caso. Agora, os e-mails são menos vetores de ataque, pois são ímãs indesejados. Se você quiser, o HowToGeek ainda tem um artigo sobre o assunto: apenas abrir um email geralmente não é mais suficiente. Ou, mesmo, veja esta resposta do superusuário dizendo exatamente a mesma coisa.

Kaz Wolfe
fonte
Muito obrigado pelo post interessante! Você recomendaria que eu executasse todos esses testes padrão? Eu sou um pouco novo no ubuntu, então não sei como fazer a pesquisa de log, pm ou netstat, mas acho que posso descobrir! Definitivamente vou ficar bravo quando chegar em casa primeiro.
Kdrumz
2
Realmente, pse netstatsão apenas comandos que descartam informações sobre seu sistema. Use-os para procurar processos estranhos ou conexões de rede estranhas e identificar de onde eles vêm (e potencialmente o que estão fazendo). Quanto à pesquisa de logs, a maioria das coisas /var/logpode mostrar um vírus (se você souber o que procurar). Como dizer exatamente o que procurar provavelmente pode encher uma biblioteca inteira, tente pesquisar no Google por algo suspeito primeiro e, em seguida, talvez faça uma nova pergunta ou entre na sala de bate-papo, onde podemos ajudar mais.
Kaz Wolfe
1
Apenas uma observação: o Gmail carrega automaticamente imagens agora, a menos que pense que são maliciosas, elas mudaram isso talvez um ano atrás. Carrega-os através de um proxy para ajudar a proteger a privacidade e eles dizem que também fazem algum tipo de verificação de malware nessas imagens: support.google.com/mail/answer/…
Steve
1
O @Steve Gmail não carrega imagens se elas estiverem na sua pasta de spam.
Kaz Wolfe
2
@Kdrumz, sim, se você instalar a partir apt, você vai ficar bem (geralmente, consulte aqui por mais um writeup por mim sobre vírus de apt)
Kaz Wolfe
11

Indicadores gerais:

  • verifique a hora em todos os arquivos ocultos em sua casa.
  • verifique com tope psse você vê algum processo estranho em execução.
  • verifique no Google partes do conteúdo do e-mail. Veja se outras pessoas relataram problemas relacionados a este e-mail.
  • Verifica. /var/lognovos arquivos de log escritos e examine-os.

Mas, em geral, eu acredito que você está bem. O Gmail não tem permissão para fazer algo no seu disco sem consentimento. O Chrome e todos os navegadores estão em área restrita. Isso por si só deve torná-lo bastante seguro. Se não for simplesmente seguro.

Se você quiser, podemos analisar o e-mail se você quiser adicionar o conteúdo desse e-mail à sua pergunta.

Rinzwind
fonte
Obrigado pelo post! Estou meio interessado em vocês verificando o e-mail. Como eu faria isso? Volto ao gmail, abro o email novamente e copio e colo aqui? Isso é perigoso para mim? Não deve conter nenhuma informação pessoal que eu não pensaria, certo?
Kdrumz
@Kdrumz Siga as instruções na seção gmail listada aqui para obter a transcrição original do e-mail. Observe que isso (possivelmente) conterá seu nome e e-mail, portanto, certifique-se de redigir isso e qualquer outra coisa que pareça sensível / identificativa / exclusiva. Aqui está um exemplo de e-mail que acabei de redigir: pastebin.com/wAU5aJuC
Kaz Wolfe