Executando verificação de segurança...
2

Tenho a mesma dúvida, dev4me, nunca esclarecida por completo. Vou tentar acompanhar as respostas dos especilitas. Por hora, eis minhas peneiras quando um conteúdo chega por email. Desconfie, pergunte:

  1. Para onde aponta esse link?
  2. Acessar esse recurso externo é necessário?
  3. Porque o remetente preferiu um weblink a um anexo?
  4. O weblink é de um encurtador? Qual a razão se o email não tem limitação de caracteres? Desconfie!
  5. Por que não usou um serviço para compartilhamento temporário reconhecido (weSendit, por exemplo) encriptando o pacote antes? Se a empresa realmente precisa receber anexos, pode criar um serviço para isso.

Ou seja, se o conteúdo veiculado por email, possível de ser simples, mas está muito rebuscado, complicado, cheio de caminhos e sem nenhuma ojetividade, desconfie. Muitas das mensagens de email podem vir por texto plano (text-plain) e atenderão exata e efetivamente o mesmo objetivo.

Agora, voltando à sua pergunta:

  1. Abrir um email: sim, se seu ledor de email baixa tudo quanto é item externo, pode estar sinalizando a leitura bem como revelando onde (via IP) a mensagem foi aberta. Daí, o atacante só precisa fazer uma varredura e ver se existem brechas para entrada. Lembro-me de um caso correlacionado aqui no Tabnews.
  2. Clicar num weblink: se é um weblink para tracking, revela uma ação do usuário curioso, fácil de cair em armadilhas que o desafiem. Às vezes é melhor perder um desafio (deixando a curiosidade de lado) do que achar que está ganhando (revelando sua personalidade).
  3. Abrir anexos: onde geralmente reside o problema, pois a curiosidade levou a vítima a ver um documento e, convencida da sua veracidade (muitas luzes piscando) baixa um conteúdo e começa a instalá-lo. É quando este item começa a tomar controle de um nível de acesso maior da máquina do usuário. Claro, o antivirus avisa, o processo dá sinais de suspeita, exigindo mais privilégios, reinicialização e por fim, por vontade do usuário, se instala no Ring 0 ou, como dizem, no -1 (quando até o bootloader da MB é tomado)!. Tudo começou com um simples weblink-convite para acessar algo, baixar, instalar, aliado à curiosidade desnecessária!

Hoje, com o roubo de credenciais de hospedagens na nuvem, desconfio até de domínios ditos confiávies (avaliação de atendimento etc.). Ninguém pode garantir que, naquele momento, o site oficial está tomado por scripts maliciosos. Se é realmente necessário acessar o recurso, se proteja e vá em frente. Hoje qualquer um consegue rodar uma máquina virtual para enfrentar esses casos suspeitos.

Continuo a ter minhas dúvidas sobre esse assunto que nem sempre é visto segundo todos os aspectos que levaram a vítima a cair completamente na fraude. Por exemplo, há relatos em que a vítima afirma que o canal possui 2FA ou MFA, mas quando você verifica, nota que não são efetivos por falha do usuário. O usuário ainda não entende a filosofia da autenticação multifator (o mesmo email da conta, por exemplo, recebe códigos de autenticação). O ideal é que um terceiro receba essa chave, mas...

"Be kind, people around you have problems too. Instead of being another problem, give them reasons to smile, be kind... before it's too late" - T. K.

Carregando publicação patrocinada...