Table of contents
也许,但可能不是。 这在十年前是一个更大的问题,原因我将在下面强调,但时间和经验已经为大多数基于电子邮件内容的威胁提供了补丁。
大家好,我是Aaron!我从事网络安全和技术工作已经有20年了。 我喜欢我的工作,也喜欢与大家分享,这样你们就可以更安全,更有保障。 对网络攻击最好的防御莫过于教育,我想让你们了解威胁。
在这篇文章中,我将描述过去存在的一些基于电子邮件的攻击,并强调为什么它们不再现实有效。 我还将尝试预测你关于这方面的一些问题!
主要收获
- 在20世纪90年代末和21世纪初,电子邮件中的HTML为攻击提供了便利。
- 从那时起,电子邮件的HTML攻击已经在很大程度上被电子邮件服务提供商和客户所缓解。
- 还有其他更有效的现代攻击。
- 你可以通过明智地使用互联网来避免它们。
打开电子邮件可能导致你被黑客攻击
互联网是建立在一种叫做 超文本标记语言 ,或 HTML .
HTML允许快速有效地传递富含媒体的灵活内容。 Web 2.0的多媒体和安全需求使其进入了第五次迭代,今天你访问的所有网站都是通过HTML传递的。
HTML是在20世纪90年代末的某个时候被引入到电子邮件中的,尽管似乎没有一个正式的首次使用日期或首次采用者。 无论如何,富含HTML的电子邮件今天仍在使用,以提供具有视觉吸引力的电子邮件。
这里有一个来自YouTube的很棒的教程,关于如何开发你自己的富含HTML的电子邮件。
HTML促进的一个伟大的事情是能够从一个源头无缝加载内容。 这就是动态网页广告的工作方式。 这也是过去通过打开电子邮件实施一种特定攻击的方式。
这种攻击有两种变化。 一种是打开一个图像,你的计算机上的本地图像解码器(让图像以人类可查看的格式显示的软件)负责解码该图像。 该解码器将执行作为该图像解码过程一部分的代码。
如果其中一些代码是恶意的,你就会被 "黑"。 当然,你会有一个病毒或恶意软件。
该攻击的另一个变种是通过链接传递恶意代码。 打开电子邮件将解析HTML文件,这也将强制打开一个链接,反过来,该链接将在本地传递或执行恶意代码。
这里有一个关于如何工作的出色解释,通过Youtube,整个频道对于技术概念的平实语言解释非常出色。
为什么这些攻击不再起作用了?
它们不起作用是因为现代电子邮件客户端是如何解析电子邮件的。 这些客户端做了一些改变,包括如何处理图像和如何在电子邮件中实现HTML。 通过禁用某些功能,电子邮件客户端能够轻松有效地保护其用户。
这并不意味着你是安全的! 仍有许多方法可以通过电子邮件传递恶意内容。 事实上,电子邮件是目前网络攻击的唯一最有效的入口。 这些变化只是意味着,你不能仅仅因为打开一封电子邮件就被 "黑 "掉。
例如,你可能会打开一封电子邮件,提示你紧急打开一个据称是法律服务、逾期账单或其他紧急事项的附件。 它还可能要求你点击一个链接。 此外,它还可能要求你向一个地址汇款以获得一些更大的利益。
这些都是常见的例子 钓鱼式攻击 打开附件或点击链接会将恶意软件(通常是勒索软件)传送到你的电脑上。 向某地汇款只能保证你会失去你所寄的钱。
还有许多其他常见的攻击,比HTML内容攻击的效果要好得多,而且你的电子邮件提供商或客户也不能轻易地防御这些攻击。
我的手机或iPhone会因为打开邮件而被黑掉吗?
不! 出于上述同样的原因和一些额外的原因。 你的手机的电子邮件客户端只是一个电子邮件客户端。 它在解析HTML方面的限制与桌面电子邮件客户端相同。
此外,安卓和iOS设备与Windows设备是不同的操作系统,而大多数恶意软件都是为攻击Windows而编码的。 大多数恶意软件针对Windows,因为它在企业环境中很普遍。
最后,安卓和iOS设备对应用程序进行分区和沙盒处理,只允许有权限的交叉通信。 因此,你可能会打开一个带有恶意代码的电子邮件,但该恶意代码不会自动渗透和感染你手机的其他部分。 它将被隔离,通过设计。
常见问题
以下是对你可能有的关于通过电子邮件传递的恶意内容问题的一些答案。
仅仅打开一条短信就能被黑掉吗?
绝对不是。 文本信息通常以SMS,即短信息/短信服务的形式传递。 SMS是纯文本--它只是屏幕上的字母。 Emojis,信不信由你,只是Unicode的实现。
这是手机的操作系统和消息应用程序如何将特定的文本字符串翻译成图像。 也就是说,在2019年,iMessage被证明允许通过打开信息来进行 "黑客"。
我不小心在手机上打开了一封垃圾邮件
关闭它! 虽然这不是一个真正的问题,但对许多人来说,这是一个真正的恐惧。 如果你打开一封垃圾邮件,恶意代码被下载到你的手机上的可能性非常小。 删除该邮件并继续你的一天。
开设网站会被黑吗?
是的! 这是一种相当常见的攻击,威胁者根据一个流行服务的常见拼写错误建立一个欺骗性的网站,或者劫持一个合法的网站。 HTML可以自由地执行代码(如果允许的话),如果你访问一个发生这种情况的网页,那么你可能会被 "黑"。
有人如何入侵你的电子邮件?
安全从业人员已经在这个问题上成就了整个职业生涯--我无法在这里公正地描述这个问题。
简短的回答。 他们拥有或猜测你的电子邮件密码。 这就是为什么大多数安全从业者建议你使用 强密码 并启用 多因素认证 如果你发现自己成为电子邮件黑客的对象,这里有一个关于如何辨别的YouTube视频。
总结
在20世纪90年代末和21世纪初,简单地打开一封电子邮件就可能使你被 "黑"。 今天,这是很不可能的。 这些漏洞已经被修补好了,有更简单和更有效的攻击在今天仍然有效。 聪明和精明是对这些攻击的最好防御,我详细地讨论了这个问题 这里 .
你还做了什么来保护自己在互联网上的安全? 在评论中留下你最喜欢的策略。