Recibí un correo electrónico malicioso, ¿cómo me aseguro de estar seguro?

10

Ingresé a Gmail y recibí un correo electrónico de Amazon para calificar un pedido reciente. No reconocí a la compañía, pero decidí abrir el correo electrónico, inmediatamente vi que no era de Amazon y parecía que era un correo electrónico "malo" con muchas cosas al azar y alguien tratando de explotar algo.

Estoy en 16.04. Siempre leo que Ubuntu es bastante seguro debido a todo lo que requiere root. ¿Hay algún software que deba ejecutar para asegurarme de que no haya nada en mi sistema ahora o algo que deba hacer para asegurarme de que estoy seguro? Por lo general, tengo cuidado con los correos electrónicos, pero este me atrapó.

Kdrumz
fuente
2
Debe deshabilitar la visualización de imágenes de forma predeterminada para todos los correos electrónicos dentro del cliente de Gmail y permitirla por correo electrónico.
Patrick Trentin el
"cosas al azar" no significa mucho. ¿Y por qué crees que "alguien [está] tratando de explotar algo"? Lo más probable es que se trate de una carta de un proveedor asociado que solicita una buena revisión de su producto.
Carl Witthoft el

Respuestas:

26

Considero poco probable que su sistema sea atacado de alguna manera, pero no es posible descartarlo por completo.

La mayoría de los correos electrónicos "spam" tienen caracteres de aspecto aleatorio en un intento de evitar los filtros de spam (mal implementados), pero eso no significa inmediatamente que pueda constituir una amenaza.

A menos que el correo electrónico contenga algún tipo de imagen (y IIRC Gmail bloquea las imágenes a menos que las abra manualmente) y haya visto esa imagen, es muy difícil inyectar algo malicioso en un correo electrónico, excepto tal vez un CSS / HTML cero -day (como CVE-2008-2785 , CSS), pero eso parece poco probable. Aun así, la mayoría de los exploits basados ​​en el navegador no tienden a funcionar bien debido al sandboxing del navegador y otras características de seguridad similares, aunque todavía son vulnerables al exploit (ver CVE-2016-1706 ).

Pero recorramos la ruta de la imagen porque es muy probable. El malware de imagen es un tema fascinante , pero realmente se reduce a que es relativamente raro porque solo puede explotar ciertas versiones de un determinado programa, generalmente solo en un determinado sistema operativo. Como se puede adivinar, estos errores tienden a corregirse de manera alarmante rápidamente.

La ventana para este tipo de ataques es muy pequeña, y es poco probable que uno lo golpee, si estuviera presente. Debido a la naturaleza de estos exploits, pueden (potencialmente) usarse para salir del entorno limitado que proporcionan los navegadores. Para ver un ejemplo de cómo puede suceder algo como esto, consulte CVE-2016-3714 para ImageMagick. O, específicamente para Google Chrome (o, más exactamente libopenjp2), vea CVE-2016-8332 .

Podría ser posible que el correo electrónico que recibió tuviera una imagen maliciosamente diseñada que explotó algún error en el motor de representación de imágenes, infectando su máquina. Esto ya es bastante improbable, y si mantienes tu sistema actualizado, no deberías tener nada de qué preocuparte. Por ejemplo, en el caso del exploit OpenJPEG mencionado anteriormente, cualquier sistema que ejecute la versión 2.1.2 (lanzada el 28 de septiembre de 2016 ) estaría a salvo de este exploit.

Si lo hace sentir como si usted o su sistema ha sido infectado, es una buena idea para ejecutar los controles estándar, incluyendo clamav, rkhunter, ps -aux, netstat, y el bueno de la búsqueda de registro de moda. Si realmente siente que su sistema ha sido infectado, límpielo y comience desde cero desde una copia de seguridad reciente conocida. Asegúrese de mantener su nuevo sistema lo más actualizado posible.

Pero, es más que probable que nada en este caso. Los correos electrónicos son ahora menos vectores de ataque, ya que son imanes basura. Si lo desea, HowToGeek incluso tiene un artículo sobre el tema de que simplemente abrir un correo electrónico ya no es suficiente. O, incluso, vea esta respuesta de Superusuario diciendo exactamente lo mismo.

Kaz Wolfe
fuente
Muchas gracias por la interesante publicación! ¿Me recomendarías ejecutar todas esas pruebas estándar? Soy algo nuevo en ubuntu, así que no sé cómo hacer la búsqueda de registros, pm o netstat, ¡pero creo que podría resolverlo! Definitivamente tendré clamav cuando llegue a casa primero.
Kdrumz el
2
Realmente, psy netstatson solo comandos que sueltan información sobre su sistema. Úselos para buscar procesos extraños o conexiones de red extrañas, e identificar de dónde provienen (y potencialmente lo que están haciendo). En cuanto a la búsqueda de registros, la mayoría de las cosas /var/logpueden mostrar un virus (si sabe qué buscar). Como decirle exactamente qué buscar probablemente podría llenar una biblioteca completa, intente buscar en Google cualquier cosa sospechosa primero, y luego tal vez haga una nueva pregunta o pase por la sala de chat, donde podemos ayudarlo más.
Kaz Wolfe el
1
Solo una nota, Gmail carga automáticamente imágenes ahora a menos que piense que son maliciosas, lo cambiaron tal vez hace un año. Los carga a través de un proxy para ayudar a proteger la privacidad, y dicen que también hacen algún tipo de escaneo de malware en estas imágenes: support.google.com/mail/answer/…
Steve
1
@ Steve Gmail no carga imágenes si están en su carpeta de correo no deseado.
Kaz Wolfe el
2
@Kdrumz, sí, si instala desde apt, estará bien (por lo general, vea aquí otro artículo escrito por mí sobre los virus de apt)
Kaz Wolfe
11

Punteros generales:

  • Verifique la hora en todos los archivos ocultos en su hogar.
  • verifique topy pssi ve algún proceso extraño en ejecución.
  • Verifique en Google partes del contenido del correo electrónico. Vea si otros informaron problemas relacionados con este correo.
  • cheque. /var/lognuevos archivos de registro escritos y examínelos.

Pero en general, creo que estás bien. Gmail no tiene permisos para hacer algo en su disco sin su consentimiento. Chrome y todos los navegadores están protegidos. Eso solo debería hacerlo bastante seguro. Si no es simplemente seguro.

Si lo desea, podemos analizar el correo si está dispuesto a agregar el contenido de ese correo a su pregunta.

Rinzwind
fuente
¡Gracias por la publicacion! Estoy un poco interesado en que ustedes revisen el correo electrónico ... ¿Cómo haría eso? ¿Vuelvo a gmail, abro el correo electrónico nuevamente y lo copio y pego aquí? ¿Es peligroso para mí hacer eso? No debería contener ninguna de mi información privada que no pensaría, ¿verdad?
Kdrumz
@Kdrumz Siga las instrucciones de la sección de gmail que se enumeran aquí para obtener la transcripción original del correo electrónico. Tenga en cuenta que esto (posiblemente) contendrá su nombre y correo electrónico, así que asegúrese de redactar eso y cualquier otra cosa que parezca sensible / identificativa / única. Aquí hay un ejemplo de correo electrónico que acabo de redactar: pastebin.com/wAU5aJuC
Kaz Wolfe el