Eu recebi um e-mail malicioso, como posso ter certeza de que estou seguro?

10

Eu entrei no Gmail e recebi um e-mail da Amazon sobre a classificação de um pedido recente. Eu não reconheci a empresa, mas decidi abrir o e-mail, e logo percebi que não era da Amazon e parecia que era um e-mail "ruim" com muitas coisas aleatórias e alguém tentando explorar alguma coisa.

Eu estou no 16.04. Eu sempre li que o Ubuntu é bastante seguro por causa de tudo que requer raiz. Existe algum software que eu deveria executar para ter certeza de que nada está no meu sistema agora ou algo que eu deva fazer para ter certeza de que estou seguro? Eu sou geralmente cuidadoso com e-mails, mas este me pegou.

    
por Kdrumz 12.01.2017 / 18:35

3 respostas

26

Eu consideraria improvável que o seu sistema fosse atacado de alguma forma, mas não é possível descartar totalmente.

A maioria dos e-mails de "spam" tem caracteres aleatórios em uma tentativa de contornar filtros de spam (pouco implementados), mas isso não significa imediatamente que isso possa constituir uma ameaça.

A menos que o próprio e-mail contivesse algum tipo de imagem (e o IIRC Gmail bloqueia imagens, a menos que você abra manualmente) e você viu essa imagem, é muito difícil injetar algo malicioso em um e-mail e-mail, salvo talvez um dia zero de CSS / HTML (como CVE-2008- 2785 , CSS), mas isso parece improvável. Mesmo assim, a maioria das explorações baseadas em navegador não tendem a funcionar bem devido ao sandbox do navegador e a outros recursos de segurança semelhantes, embora ainda sejam vulneráveis à exploração (consulte CVE-2016-1706 ).

Mas vamos percorrer a rota da imagem porque é o mais provável. O malware de imagem é um assunto fascinante , mas realmente se resume sendo relativamente raro, porque você só pode explorar certas versões de um determinado programa, normalmente apenas em um determinado sistema operacional. Como se pode adivinhar, esses bugs tendem a ser fixados de forma alarmante rapidamente.

A janela para esse tipo de ataque é muito pequena, e é improvável que você seja atingido por um, se estiver presente. Devido à natureza dessas explorações, elas podem (potencialmente) ser usadas para sair da sandbox fornecida pelos navegadores. Para um exemplo de como algo assim pode acontecer, veja CVE-2016- 3714 para o ImageMagick. Ou, especificamente para o Google Chrome (ou, mais exatamente, libopenjp2 ), consulte CVE-2016-8332 .

Pode ser possível que o e-mail que você recebeu tenha uma imagem criada com intuito malicioso dentro dele, que explorou algum bug no mecanismo de renderização de imagens, infectando sua máquina. Isso já é bastante improvável e, se você mantiver seu sistema atualizado, não deverá ter nada com que se preocupar. Por exemplo, no caso do exploit OpenJPEG mencionado anteriormente, qualquer sistema rodando a versão 2.1.2 (liberado) "28 de setembro de 2016 ) estaria a salvo dessa façanha.

Se você se sentir como se você ou seu sistema foram infectados, é uma boa idéia executar as verificações padrão, incluindo clamav , rkhunter , ps -aux , netstat e boa pesquisa de registro antiga. Se você realmente sentir que seu sistema foi infectado, limpe-o e comece do zero a partir de um backup recente em bom estado. Certifique-se de manter seu novo sistema o mais atualizado possível.

Mas, é mais do que provável que nada neste caso. Os e-mails são menos vetores de ataque, já que são imãs de lixo eletrônico. Se você quiser, o HowToGeek ainda tem um artigo sobre o assunto que apenas abrir um e-mail geralmente não é mais suficiente. Ou, até, veja esta resposta do superusuário dizendo exatamente a mesma coisa.

    
por Kaz Wolfe 12.01.2017 / 18:48
11

Dicas gerais:

  • verifique a hora em todos os arquivos ocultos em sua casa.
  • verifique com top e ps se você vir algum processo estranho em execução.
  • verifique no Google por partes do conteúdo do email. Veja se outros usuários relataram problemas relacionados a este e-mail.
  • verifique. /var/log novos arquivos de log gravados e examine-os.

Mas, em geral, eu acredito que você está bem. O Gmail não tem permissão para fazer algo no disco sem o consentimento. O Chrome e todos os navegadores estão em área restrita. Isso por si só deve torná-lo bastante seguro. Se não simplesmente seguro.

Se você quiser, podemos analisar o e-mail se você estiver disposto a adicionar o conteúdo desse e-mail à sua pergunta.

    
por Rinzwind 12.01.2017 / 18:55
3

O ClamAV é uma boa ferramenta antivírus para o Ubuntu. Há muitas perguntas e respostas sobre como obter ClamAV, então eu sugiro que você olhe por aqui no Ask Ubuntu e um exemplo é este - >

Instalando e acessando Clam AV Antivirus em 12.04

    
por Ubuntu User 12.01.2017 / 18:43