J'ai reçu un e-mail malveillant, comment puis-je m'assurer que je suis en sécurité?

10

Je me suis connecté à Gmail et j'ai reçu un e-mail d'Amazon à propos de l'évaluation d'une commande récente. Je n'ai pas reconnu la société, mais j'ai décidé d'ouvrir l'e-mail, puis j'ai immédiatement vu qu'il ne venait pas d'Amazon et semblait être un "mauvais" e-mail avec beaucoup de choses aléatoires et quelqu'un essayant d'exploiter quelque chose.

Je suis le 16.04. J'ai toujours lu qu'Ubuntu est assez sûr à cause de tout ce qui nécessite root. Existe-t-il un logiciel que je devrais exécuter pour m'assurer que rien ne se trouve sur mon système maintenant ou quoi que ce soit que je devrais faire pour m'assurer que je suis en sécurité? Je fais généralement attention aux e-mails, mais celui-ci m'a eu.

security malware Kdrumz
la source
2
Vous devez désactiver l'affichage des images par défaut pour tous les e-mails du client Gmail et l'autoriser par e-mail.
Patrick Trentin
«trucs aléatoires» ne signifie pas grand-chose. Et pourquoi pensez-vous que "quelqu'un [essaie] d'exploiter quelque chose"? Il s'agit plus probablement d'une lettre d'un fournisseur associé faisant pression pour une bonne évaluation de son produit.
Carl Witthoft

Réponses:

26

Je considère qu'il est peu probable que votre système soit attaqué de quelque façon que ce soit, mais il n'est pas possible d'exclure complètement.

La plupart des e-mails "spam" ont des caractères aléatoires dans une tentative de contourner les filtres anti-spam (mal mis en œuvre), mais cela ne signifie pas immédiatement qu'ils pourraient constituer une menace.

À moins que l'e-mail lui-même contienne une sorte d'image (et que l'IIRC Gmail bloque les images à moins que vous ne l'ouvriez ensuite manuellement) et que vous ayez vu cette image, il est très difficile d'injecter quoi que ce soit de malveillant dans un e-mail, sauf peut-être pour un zéro CSS / HTML -day (comme CVE-2008-2785 , CSS), mais cela semble peu probable. Malgré cela, la plupart des exploits basés sur un navigateur ne fonctionnent pas bien en raison du sandboxing du navigateur et d'autres fonctionnalités de sécurité similaires, bien que ceux-ci soient toujours vulnérables à l'exploitation (voir CVE-2016-1706 ).

Mais descendons la route de l'image car c'est la plus probable. Les logiciels malveillants d'images sont un sujet fascinant , mais cela se résume vraiment à être relativement rare car vous ne pouvez exploiter que certaines versions d'un certain programme, généralement uniquement sur un certain système d'exploitation. Comme on peut le deviner, ces bogues ont tendance à être résolus de manière alarmante rapidement.

La fenêtre pour ces types d'attaques est très petite, et il est peu probable que vous soyez touché par une, si elle était présente. En raison de la nature de ces exploits, ils peuvent (potentiellement) être utilisés pour sortir du bac à sable fourni par les navigateurs. Pour un exemple sur la façon dont quelque chose comme cela peut se produire, regardez CVE-2016-3714 pour ImageMagick. Ou, spécifiquement pour Google Chrome (ou, plus exactement, libopenjp2), voir CVE-2016-8332 .

Il est possible que l'e-mail que vous avez reçu contienne une image conçue de manière malveillante qui exploite un bogue dans le moteur de rendu d'image, infectant votre machine. C'est déjà assez improbable, et si vous avez gardé votre système à jour, vous ne devriez avoir rien à craindre. Par exemple, dans le cas de l'exploit OpenJPEG mentionné précédemment, tout système exécutant la version 2.1.2 (publiée le 28 septembre 2016 ) serait à l'abri de cet exploit.

Si vous vous sentez comme si vous ou votre système avez été infecté, il est une bonne idée d'exécuter les contrôles standard, y compris clamav, rkhunter, ps -aux, netstatet bon vieux recherche journal façonné. Si vous sentez vraiment que votre système a été infecté, essuyez-le et recommencez à zéro à partir d'une sauvegarde récente connue. Assurez-vous de garder votre nouveau système aussi à jour que possible.

Mais, c'est plus que probablement rien dans ce cas. Les e-mails sont désormais moins des vecteurs d'attaque car ce sont des aimants indésirables. Si vous le souhaitez, HowToGeek a même un article sur le fait que l'ouverture d'un e-mail n'est généralement plus suffisante. Ou, même, voyez cette réponse SuperUser disant exactement la même chose.

Kaz Wolfe
la source
Merci beaucoup pour le poste intéressant! Recommanderiez-vous que je fasse tous ces tests standard? Je suis un peu nouveau sur ubuntu, donc je ne sais pas comment faire la recherche de journaux, pm ou netstat mais je pense que je pourrais le comprendre! Je vais certainement avoir du clamav quand je rentrerai à la maison.
Kdrumz
2
Vraiment, pset ne netstatsont que des commandes qui suppriment des informations concernant votre système. Utilisez-les pour rechercher des processus étranges ou des connexions réseau étranges, et pour identifier d'où ils viennent (et potentiellement ce qu'ils font). En ce qui concerne la recherche dans les journaux, la plupart des éléments /var/logpeuvent afficher un virus (si vous savez quoi rechercher). Comme vous dire exactement ce qu'il faut rechercher pourrait probablement remplir une bibliothèque entière, essayez d'abord de rechercher quelque chose de suspect sur Google, puis posez peut-être une nouvelle question ou passez par le salon de discussion, où nous pouvons mieux vous aider.
Kaz Wolfe
1
Juste une note, Gmail charge automatiquement les images maintenant, sauf s'il pense qu'elles sont malveillantes, elles ont changé cela il y a peut-être un an. Il les charge via un proxy pour aider à protéger la confidentialité, et ils disent qu'ils effectuent également une sorte de numérisation de logiciels malveillants sur ces images: support.google.com/mail/answer/…
Steve
1
@Steve Gmail ne charge pas les images si elles se trouvent dans votre dossier spam.
Kaz Wolfe
2
@Kdrumz, oui, si vous installez à partir de apt, tout ira bien (généralement, voyez ici pour un autre résumé de ma part concernant les virus d'apt)
Kaz Wolfe
11

Conseils généraux:

  • vérifiez l'heure sur tous les fichiers cachés de votre maison.
  • vérifiez avec topet pssi vous voyez des processus étranges en cours d'exécution.
  • vérifier Google pour des parties du contenu de l'e-mail. Vérifiez si d'autres ont signalé des problèmes concernant ce courrier.
  • vérifier. /var/logde nouveaux fichiers journaux écrits et examinez-les.

Mais en général, je pense que vous allez bien. Gmail n'a pas l'autorisation de faire quelque chose sur votre disque sans consentement. Chrome et tous les navigateurs sont en bac à sable. Cela seul devrait le rendre assez sûr. Si ce n'est pas simplement sûr.

Si vous le souhaitez, nous pouvons analyser le courrier si vous souhaitez ajouter le contenu de ce courrier à votre question.

Rinzwind
la source
Merci pour le post! Je suis un peu intéressé par vous les gars en vérifiant l'e-mail .. Comment pourrais-je faire cela? Dois-je revenir à gmail, rouvrir le courrier électronique et le copier-coller ici? Est-ce dangereux pour moi de le faire? Il ne devrait contenir aucune de mes informations privées, je ne pense pas, non?
Kdrumz
@Kdrumz Suivez les instructions de la section gmail répertoriée ici pour obtenir la transcription d'origine de l'e-mail. Notez que cela contiendra (éventuellement) votre nom et votre e-mail, alors assurez-vous de supprimer cela et tout ce qui semble sensible / identifiant / unique. Voici un exemple d'e-mail que je viens de supprimer: pastebin.com/wAU5aJuC
Kaz Wolfe