การเพิ่มการรักษาความปลอดภัย Email ด้วย Procmail

By Computers and Programming

Source page: http://www.impsec.org/email-tools/sanitizer-threats.html

ภัยคุกคามที่หาประโยชน์และการโจมตี

โจมตี อีเมลที่ใช้

มีสี่ประเภทของการโจมตีในระบบรักษาความปลอดภัยที่สามารถดำเนินการผ่านทางจดหมายอิเล็กทรอนิกส์ ได้แก่ :

  • การโจมตีเนื้อหา คล่องแคล่ว ซึ่งใช้ประโยชน์จากการใช้งาน HTML และสคริปต์คุณสมบัติต่างๆและข้อบกพร่อง
  • บัฟเฟอร์ล้นโจมตี ที่โจมตีจะส่งสิ่งที่มีขนาดใหญ่เกินกว่าที่จะใส่ลงในหน่วยความจำบัฟเฟอร์ขนาดคงที่ในอีเมลไคลเอ็นต์ในความหวังที่ว่าส่วนหนึ่งที่ไม่พอดีจะเขียนทับข้อมูลที่สำคัญมากกว่าการยกเลิกได้อย่างปลอดภัย
  • การโจมตีของม้าโทรจัน ที่โปรแกรมปฏิบัติการหรือสคริปต์แมโครภาษาที่ให้การเข้าถึงทำให้เกิดความเสียหายด้วยตนเองแพร่กระจายหรือไม่สิ่งที่ไม่พึงปรารถนาอื่น ๆ ที่จะส่งไปยังเหยื่อเป็นสิ่งที่แนบไฟล์ที่ระบุว่าเป็นสิ่งที่น่ากลัวเช่นบัตรอวยพรหรือภาพพักหน้าจอ หรือบางสิ่งบางอย่างที่ซ่อนอยู่ในเหยื่อคาดว่าเช่นสเปรดชีตหรือเอกสาร นี้เรียกว่ายังเป็น วิศวกรรมสังคม  โจมตีที่เป้าหมายของการโจมตีคือการโน้มน้าวให้เหยื่อเพื่อเปิดไฟล์แนบข้อความ
  • การโจมตี Shell Script ซึ่งเป็นส่วนของสคริปต์เชลล์ยูนิกซ์รวมอยู่ในส่วนหัวของข้อความในความหวังที่ว่าลูกค้า mail Unix ไม่ถูกต้องที่กำหนดจะดำเนินการคำสั่ง

การโจมตีอีกครั้งในความเป็นส่วนตัวของผู้ใช้ แต่ไม่ได้อยู่ในระบบรักษาความปลอดภัยคือการใช้สิ่งที่เรียกว่า บักเว็บ ที่สามารถแจ้งให้เว็บไซต์ติดตามเมื่อใดและที่ข้อความอีเมลที่ได้รับคือการอ่าน

 

การโจมตีเนื้อหา คล่องแคล่ว อาคาโจมตีเบราว์เซอร์ที่ใช้งาน HTML การโจมตีหรือการโจมตีการเขียนสคริปต์

การโจมตีเหล่านี้มีจุดมุ่งหมายเพื่อคนที่ใช้เว็บเบราเซอร์หรือโปรแกรมอีเมล HTML เปิดใช้งานในการอ่านอีเมลของพวกเขาซึ่งวันนี้เป็นส่วนใหญ่มากของชุมชนคอมพิวเตอร์ โดยปกติการโจมตีเหล่านี้พยายามที่จะใช้ คุณลักษณะการเขียนสคริปต์ ของ HTML หรืออีเมลไคลเอ็นต์ (ปกติ Javascript หรือ VBScript) เพื่อดึงข้อมูลส่วนตัวจากคอมพิวเตอร์ของเหยื่อหรือรันโค้ดบนเครื่องคอมพิวเตอร์ของเหยื่อโดยปราศจากความยินยอมของเหยื่อ (และอาจจะไม่มีความรู้ของเหยื่อ).

รูปแบบที่อันตรายน้อยกว่าการโจมตีเหล่านี้โดยอัตโนมัติและสามารถทำให้คอมพิวเตอร์ของผู้รับการแสดงเนื้อหาบางความปรารถนาโจมตีเช่นการเปิดการโฆษณาหรือภาพลามกอนาจารของหน้าเว็บโดยอัตโนมัติเมื่อข้อความถูกเปิดหรือทำการโจมตีการปฏิเสธการให้บริการบนเครื่องคอมพิวเตอร์ของผู้รับผ่าน รหัสที่ค้างหรือเกิดปัญหาเบราว์เซอร์หรือคอมพิวเตอร์ทั้งหมด

วิธีที่ง่ายที่สุดในการหลีกเลี่ยงการโจมตีดังกล่าวคือการไม่ใช้เว็บเบราว์เซอร์หรือโปรแกรมอีเมล HTML เปิดใช้งานในการอ่านอีเมลของคุณ เนื่องจากการโจมตีเหล่านี้ไม่ได้ขึ้นอยู่กับข้อบกพร่องในซอฟต์แวร์ไคลเอ็นต์อีเมลที่พวกเขาไม่สามารถป้องกันได้ผ่านแพทช์เพื่ออีเมลไคลเอ็นต์ ถ้าคุณใช้เว็บเบราเซอร์หรือโปรแกรมอีเมล HTML ตระหนักถึงคุณ จะ  มีความเสี่ยงที่จะเหล่านี้ชนิดของการโจมตี

นอกจากนี้เป็นบางส่วนของการโจมตีเหล่านี้ขึ้นอยู่กับไคลเอ็นต์อีเมลที่ความสามารถในการรันสคริปต์ HTML มากกว่าขึ้นอยู่กับจุดอ่อนของระบบปฏิบัติการใด ๆ โดยเฉพาะอย่างยิ่งการโจมตีเหล่านี้จะสามารถข้ามแพลตฟอร์ม โปรแกรมอีเมลแบบ HTML เปิดใช้งานบนเครื่องแมคอินทอชเป็นเพียงความเสี่ยงต่อการใช้งาน HTML โจมตีอีเมลเป็นไคลเอนต์อีเมล HTML เปิดใช้งานบน Windows หรือ Unix vulnerabilty จะแตกต่างจากระบบไปยังระบบขึ้นอยู่กับไคลเอนต์อีเมลมากกว่าระบบปฏิบัติการ

สลับไปยังไคลเอนต์อีเมลที่ไม่ใช่ HTML ตระหนักถึงไม่ได้เป็นตัวจริงสำหรับคนจำนวนมาก ทางเลือกคือการกรองหรือเปลี่ยน HTML ที่กระทำผิดหรือรหัสสคริปต์ก่อนที่ไคลเอนต์อีเมลที่ได้รับโอกาสที่จะดำเนินการนั้น มันก็อาจจะเป็นไปได้ที่จะกำหนดค่าไคลเอ็นต์อีเมลของคุณที่จะปิดการตีความหมายของรหัสสคริปต์ ดูเอกสารโปรแกรมของคุณสำหรับรายละเอียด การปิดการเขียนสคริปต์ในโปรแกรมอีเมลของคุณ ขอ แนะนำ – ไม่มีเหตุผลที่ดีที่จะสนับสนุนข้อความอีเมลสคริปต์

ผู้ใช้ Microsoft Outlook ควรเยี่ยมชมหน้านี้ที่อธิบาย  กระชับลงตั้งค่าความปลอดภัยของ Outlook

ที่เพิ่งประกาศของ Outlook หนอนอีเมลเป็นตัวอย่างของการโจมตีนี้ ดูฐานข้อมูล แมลงTraq ช่องโหว่สำหรับรายละเอียดเพิ่มเติม

วิธีที่จะป้องกันการโจมตีที่ใช้งานเนื้อหาก็คือการฉีกสคริปต์ก่อนที่โปรแกรมอีเมลมีโอกาสที่จะเห็นมัน นี้จะกระทำบนเซิร์ฟเวอร์อีเมลในเวลาที่ได้รับข้อความและเก็บไว้ในกล่องจดหมายของผู้ใช้และในรูปแบบที่ง่ายที่สุดประกอบด้วยเพียงการเปลี่ยนแปลงอยู่ตลอด  <script>  แท็ก (ตัวอย่าง) <defanged-script>  แท็กซึ่งเป็นสาเหตุที่ทำให้ โปรแกรมอีเมลที่จะไม่สนใจพวกเขา เนื่องจากมีหลายสถานที่ที่คำสั่งสคริปต์สามารถใช้ภายในแท็กอื่น ๆ กระบวนการ defanging ที่ซับซ้อนมากขึ้นกว่านี้ในทางปฏิบัติ

บัฟเฟอร์โจมตีมากเกิน

บัฟเฟอร์ เป็นพื้นที่ของหน่วยความจำที่โปรแกรมชั่วคราวเก็บข้อมูลว่ามันคือการประมวลผล หากพื้นที่นี้เป็นของที่กำหนดไว้ล่วงหน้าขนาดคงที่และถ้าโปรแกรมไม่ได้ดำเนินการเพื่อให้มั่นใจว่าข้อมูลที่เหมาะกับภายในขนาดนั้นมีข้อผิดพลาด: ถ้าข้อมูลมากขึ้นอ่านกว่าจะพอดีภายในบัฟเฟอร์ส่วนเกินจะยังคงถูกเขียน แต่มันจะขยายที่ผ่านมาในตอนท้ายของบัฟเฟอร์ที่อาจเปลี่ยนข้อมูลอื่น ๆ หรือคำแนะนำโปรแกรม

หน่วยความจำล้น โจมตีเป็นความพยายามที่จะใช้ประโยชน์จากจุดอ่อนนี้โดยการส่งสายยาวโดยไม่คาดคิดของข้อมูลสำหรับโปรแกรมการประมวลผล ยกตัวอย่างเช่นในกรณีของโปรแกรมอีเมลโจมตีอาจส่งปลอมแปลง วันที่: ส่วนหัวที่เป็นหลายพันตัวอักษรในสมมติฐานที่ว่าโปรแกรมอีเมลเท่านั้นคาดว่าจะมี  วันที่: ส่วนหัวที่เป็นที่มากที่สุดหนึ่งร้อยตัวอักษรและ ไม่ ตรวจสอบความยาวของข้อมูลมันจะประหยัด

การโจมตีเหล่านี้สามารถนำมาใช้การโจมตีการปฏิเสธการให้บริการเพราะเมื่อหน่วยความจำโปรแกรมที่ได้รับการเขียนทับสุ่มโปรแกรมโดยทั่วไปจะผิดพลาด อย่างไรก็ตามโดยระมัดระวังการกำหนดเนื้อหาแน่นอนของสิ่งที่หน่วยความจำล้นมันเป็นในบางกรณีที่เป็นไปได้ในการจัดหาคำแนะนำโปรแกรมสำหรับคอมพิวเตอร์ของเหยื่อในการดำเนินการโดยปราศจากความยินยอมของเหยื่อ ผู้โจมตีจะส่งจดหมายโปรแกรมให้เหยื่อและมันจะถูกดำเนินการโดยคอมพิวเตอร์ของเหยื่อได้โดยไม่ต้องขออนุญาตของเหยื่อ

โปรดทราบว่านี้เป็นผลมาจากข้อผิดพลาดในโปรแกรมภายใต้การโจมตีที่ ไคลเอนต์อีเมลที่เขียนถูกต้องจะ ไม่  อนุญาตให้คนแปลกหน้าแบบสุ่มเพื่อเรียกใช้โปรแกรมในคอมพิวเตอร์ของคุณโดยไม่ต้องได้รับความยินยอมของคุณ โปรแกรมภายใต้หน่วยความจำล้นจะเขียนไม่ถูกต้องและต้องได้รับการติดตั้งเพื่อการแก้ไขปัญหาอย่างถาวร

หน่วยความจำล้นในโปรแกรมอีเมลเกิดขึ้นในการจัดการส่วนหัวของข้อความและส่วนหัวที่แนบมาซึ่งเป็นข้อมูลของลูกค้าอีเมลจะต้องมีการดำเนินการเพื่อที่จะทราบรายละเอียดเกี่ยวกับข้อความและสิ่งที่จะทำอย่างไรกับมัน ข้อความในเนื้อหาของข้อความซึ่งจะแสดงเพียงแค่บนหน้าจอและซึ่งคาดว่าจะมีจำนวนมากของข้อความที่ไม่ได้ถูกใช้เป็นยานพาหนะสำหรับการโจมตีหน่วยความจำล้น

ที่เพิ่งประกาศข้อบกพร่องล้นใน Outlook, Outlook Express และ Netscape จดหมายเป็นตัวอย่างของนี้ แพทช์สำหรับ Outlook มีอยู่ผ่านทาง  เว็บไซต์ของการรักษาความปลอดภัยของ Microsoft

ส่วนหัวของข้อความและส่วนหัวที่แนบมาสามารถ preprocessed โดยเซิร์ฟเวอร์อีเมลเพื่อ จำกัด ความยาวของพวกเขาให้เป็นค่าที่ปลอดภัย การทำเช่นนี้จะป้องกันไม่ให้พวกเขาจะถูกใช้ในการโจมตีอีเมลไคลเอ็นต์

รูปแบบในการโจมตีหน่วยความจำล้นคือการละเว้นข้อมูลที่โปรแกรมที่ถูกคาดหวังว่าจะพบบางส่วน ตัวอย่างเช่น Microsoft Exchange ตอบสนองไม่ดีเมื่อถามว่าจะดำเนินการส่วนหัวของสิ่งที่แนบ MIME ที่มีความชัดเจนที่ว่างเปล่า – ตัวอย่างเช่น  ชื่อไฟล์ = “” การโจมตีครั้งนี้เท่านั้นที่สามารถใช้ในการปฏิเสธการให้บริการ

การโจมตีของม้าโทรจัน

ม้าโทรจัน เป็นโปรแกรมที่เป็นอันตรายที่ปลอมตัวมาเป็นสิ่งที่อ่อนโยนในความพยายามที่จะได้รับใช้ไม่ระวังที่จะรัน

การโจมตีเหล่านี้มักจะถูกนำมาใช้เพื่อการละเมิดการรักษาความปลอดภัยโดยการใช้ที่เชื่อถือได้เพื่อเรียกใช้โปรแกรมที่ให้เข้าถึงผู้ใช้ที่ไม่น่าเชื่อถือ (ตัวอย่างเช่นโดยการติดตั้งระยะไกลเข้าถึง ประตูหลัง ซอฟต์แวร์) หรือจะก่อให้เกิดความเสียหายดังกล่าวเป็นความพยายามที่จะลบทั้งหมดของ ไฟล์บนฮาร์ดดิสก์ของเหยื่อ ม้าโทรจันสามารถทำหน้าที่ในการขโมยข้อมูลหรือทรัพยากรหรือใช้การโจมตีแบบกระจายเช่นโดยการกระจายโปรแกรมที่พยายามที่จะขโมยรหัสผ่านหรือข้อมูลการรักษาความปลอดภัยอื่น ๆ หรืออาจจะเป็นโปรแกรม“ตัวเองขยายพันธุ์” ที่อีเมลรอบตัวเอง (ที่ระดับ “หนอน“) และยัง เป้าหมายหรือลบไฟล์ (หนอนมีทัศนคติ 🙂

“ผมรักคุณ” หนอนเป็นตัวอย่างที่ดีของการโจมตีม้าโทรจัน: จดหมายรักที่ดูเหมือนไม่มีพิษมีภัย-เป็นจริงโปรแกรมการกระจายตัว

สำหรับการโจมตีครั้งนี้จะประสบความสำเร็จเหยื่อจะต้องดำเนินการเพื่อเรียกใช้โปรแกรมที่ว่าพวกเขาได้รับ ผู้โจมตีสามารถใช้ต่างๆ “วิศวกรรมทางสังคม” วิธีการที่จะโน้มน้าวให้เหยื่อเพื่อเรียกใช้โปรแกรม; ตัวอย่างเช่นโปรแกรมอาจจะปลอมตัวเป็นจดหมายรักหรือรายการตลกที่มีชื่อไฟล์สร้างขึ้นเป็นพิเศษเพื่อใช้ประโยชน์จากความโน้มเอียงของ Windows’ สำหรับการซ่อนข้อมูลที่สำคัญจากผู้ใช้

คนส่วนใหญ่รู้ว่า  .txt  ส่วนขยายจะใช้ในการแสดงให้เห็นว่าเนื้อหาของแฟ้มที่มีข้อความธรรมดาเพียงเมื่อเทียบกับโปรแกรม แต่การกำหนดค่าเริ่มต้นของ Windows’ คือการซ่อนนามสกุลของไฟล์จากผู้ใช้ดังนั้นในไดเรกทอรีรายชื่อไฟล์ชื่อ  textfile .txt  จะปรากฏเป็นเพียงแค่ “textfile” (เพื่อหลีกเลี่ยงความสับสนผู้ใช้หรือไม่) 

ผู้โจมตีสามารถใช้ประโยชน์จากการรวมกันของสิ่งนี้โดยการส่งเอกสารแนบชื่อ “attack.txt.exe” – ของ Windows เป็นประโยชน์จะซ่อน .exe  ขยายทำให้สิ่งที่แนบมาปรากฏเป็นแฟ้มข้อความใจดีชื่อ “attack.txt” แทนของโปรแกรม แต่ถ้าผู้ใช้ลืมว่า Windows ซ่อนนามสกุลไฟล์ที่เกิดขึ้นจริงและดับเบิลคลิกที่ไฟล์ที่แนบมา Windows จะใช้ชื่อไฟล์เต็มรูปแบบที่จะตัดสินใจว่าจะทำอย่างไรและตั้งแต่  .exe บ่งชี้ว่าโปรแกรมปฏิบัติการวินโดวส์ทำงานสิ่งที่แนบมา คุณเป็นเจ้าของ

รวมกันโดยทั่วไปของส่วนขยายที่เห็นได้ชัด-ใจดีและอันตรายปฏิบัติการ ได้แก่:

  • xxx.TXT.VBS  – สคริปต์ปฏิบัติการ (Visual Basic สคริปต์) ปลอมตัวเป็นแฟ้มข้อความ
  • xxx.JPG.SCR  – โปรแกรมปฏิบัติการ (ภาพพักหน้าจอ) ปลอมตัวเป็นไฟล์ภาพ
  • xxx.MPG.DLL  – โปรแกรมปฏิบัติการ (ห้องสมุดเชื่อมโยงแบบไดนามิก) ปลอมตัวเป็นภาพยนตร์

การโจมตีครั้งนี้สามารถหลีกเลี่ยงได้ง่ายๆโดยไม่ได้ใช้โปรแกรมที่ได้รับการตอบรับในอีเมลจนกว่าพวกเขาจะได้รับการตรวจสอบมากกว่าแม้ว่าโปรแกรมที่ดูเหมือนว่าจะไม่เป็นอันตรายและ  โดยเฉพาะอย่างยิ่ง  ถ้ามันมาจากคนที่คุณไม่ทราบว่าดีและความไว้วางใจ

ดับเบิลคลิกที่แนบมากับอีเมล์เป็นนิสัยอันตราย

จนกระทั่งเมื่อเร็ว ๆ ก็บอกว่า “ไม่ได้ดับเบิลคลิกที่ไฟล์แนบ” ก็เพียงพอแล้วที่จะปลอดภัย แต่น่าเสียดายที่นี้จะไม่มีอีกต่อไปกรณี

ข้อบกพร่องในโปรแกรมอีเมลหรือการออกแบบโปรแกรมที่ไม่ดีอาจจะอนุญาตให้ข้อความโจมตีการดำเนินการโดยอัตโนมัติสิ่งที่แนบมาม้าโทรจัน โดยไม่มีการแทรกแซงผู้ใช้ใด ๆผ่านทั้งการใช้ HTML ใช้งานสคริปต์หรือ buffer หาประโยชน์ล้นรวมอยู่ในข้อความเดียวกันเป็นสิ่งที่แนบมาม้าโทรจันหรือ การรวมกันของเหล่านี้ นี้เป็น อย่างยิ่ง  สถานการณ์ที่เป็นอันตรายและเป็นอยู่ในปัจจุบัน “ในป่า” เป็น  หนอนอีเมลการกระจายตัวของ  ที่ไม่จำเป็นต้องมีการแทรกแซงของผู้ใช้สำหรับการติดเชื้อจะเกิดขึ้น คุณสามารถมั่นใจได้ว่านี้จะไม่เป็นเพียงคนเดียว

ในความพยายามที่จะป้องกันการนี้ชื่อของไฟล์ที่แนบมาปฏิบัติการสามารถเปลี่ยนแปลงได้ในลักษณะที่ว่าระบบปฏิบัติการที่ไม่คิดว่าพวกเขาจะปฏิบัติการ (ตัวอย่างเช่นโดยการเปลี่ยน “EXPLOIT.EXE” กับ “EXPLOIT.DEFANGED-EXE“). นี้จะบังคับให้ผู้ใช้ในการบันทึกและเปลี่ยนชื่อไฟล์ก่อนที่จะสามารถดำเนินการได้ (ให้พวกเขามีโอกาสที่จะคิดเกี่ยวกับว่ามัน  ควร  จะดำเนินการและให้ซอฟต์แวร์ป้องกันไวรัสของพวกเขามีโอกาสที่จะตรวจสอบสิ่งที่แนบมาก่อนที่จะเริ่มทำงาน) และจะช่วยลด เป็นไปได้ว่าการหาประโยชน์อื่น ๆ ในข้อความเดียวกันจะสามารถค้นหาและรันโปรแกรมม้าโทรจันโดยอัตโนมัติ (ตั้งแต่ชื่อที่ได้รับการเปลี่ยนแปลง)

นอกจากนี้สำหรับเป็นที่รู้จักโปรแกรมม้าโทรจันรูปแบบไฟล์ที่แนบมาเองสามารถ mangled ในลักษณะที่ไคลเอนต์อีเมลไม่เห็นสิ่งที่แนบเป็นเอกสารแนบ นี้จะบังคับให้ผู้ใช้ติดต่อฝ่ายสนับสนุนทางเทคนิคในการดึงสิ่งที่แนบมาและช่วยให้ผู้ดูแลระบบมีโอกาสที่จะตรวจสอบมัน

ยกเลิกการบิดเบือน สิ่งที่แนบมาแหลกเหลว เป็นธรรมตรงไปตรงมาสำหรับผู้ดูแลระบบ ใน สิ่งที่แนบมาเดิม MIME ส่วนหัวของสิ่งที่แนบมาจะเลื่อนลงและการโจมตีเตือนส่วนหัวของสิ่งที่แนบมาจะถูกแทรก ไม่มีข้อมูลจะถูกลบออก

นี่คือรายการล่าสุด ปฏิบัติการ ม้าโทรจันและเอกสารที่รวบรวมได้จาก แมลงTraq และ Usenet ข่าวสารคำเตือนและคำแนะนำของผู้ขายป้องกันไวรัส:

Anti_TeRRoRisM.exe
มด [0-9] + set.exe
Binladen_bra [SZ] il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh exe
ชื่อเสียง? rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito? fisgon.exe
enano.exe
enano? porno.exe
famous.exe
กำปั้น F? cking.exe
gay.exe
girls.exe
happy99.exe
มีความสุข [0-9] +. exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
I-นาฬิกา u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
เลสเบี้ยน .exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
park.exe สวย
สวย? park.exe
prettypark.exe
qi_test.exe
Raquel? darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
แปลกใจ! .exe
suzete .exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

แน่นอนผู้เขียนหนอนอยู่ในขณะนี้ wising ขึ้นและการตั้งชื่อสิ่งที่แนบมาแบบสุ่มซึ่งนำไปสู่ข้อสรุปที่ว่า ทุก  ไฟล์ exe ควรถูกบล็อก

ช่องทางสำหรับการโจมตีม้าโทรจันก็คือผ่านแฟ้มข้อมูลสำหรับโปรแกรมที่ให้แมโครภาษา (การเขียนโปรแกรม) ยกตัวอย่างเช่นการประมวลผลคำที่ทันสมัยสูงขับเคลื่อนสเปรดชีตและเครื่องมือฐานข้อมูลผู้ใช้

หากคุณไม่สามารถเพียงแค่ทิ้งสิ่งที่แนบมาที่อาจทำให้คุณมีความเสี่ยงก็จะแนะนำให้คุณติดตั้งซอฟต์แวร์ป้องกันไวรัส (ซึ่งตรวจสอบและปิดการใช้งานแมโครภาษาม้าโทรจัน) และที่คุณ มักจะเปิดเอกสารแนบแฟ้มข้อมูลในโปรแกรมของ “ไม่ได้ดำเนินการโดยอัตโนมัติ มาโครโหมด” (ตัวอย่างเช่นโดยการกด [Shift] สำคัญเมื่อดับเบิลคลิกที่ไฟล์ที่แนบมา)

นอกจากนี้ถ้าผู้ดูแลระบบของคุณ (หรือใครบางคนที่อ้างว่าเป็นผู้ดูแลระบบของคุณ) อีเมลที่คุณโปรแกรมและขอให้คุณทำงานได้กลายเป็นที่น่าสงสัยมากทันทีและตรวจสอบที่มาของอีเมลโดยการติดต่อกับผู้ดูแลระบบของคุณได้โดยตรงโดยบางหมายอื่นที่ไม่ใช่อีเมล ถ้าคุณได้รับสิ่งที่แนบมาอ้างตัวว่าเป็นเครื่องมือที่อัปเดตระบบปฏิบัติการหรือโปรแกรมป้องกันไวรัส  ไม่ได้ทำงานมัน ผู้ผลิตระบบปฏิบัติการ ไม่เคย  ส่งมอบการอัพเดทผ่านทางอีเมลและเครื่องมือป้องกันไวรัสที่มีความพร้อมที่เว็บไซต์ของผู้จำหน่ายโปรแกรมป้องกันไวรัส

การโจมตี เชลล์สคริปต์

หลายโปรแกรมที่ทำงานภายใต้ระบบปฏิบัติการยูนิกซ์และระบบปฏิบัติการที่คล้ายกันสนับสนุนความสามารถในการฝังเปลือกสั้นสคริปต์ (ลำดับของคำสั่งที่คล้ายกับไฟล์ชุดภายใต้ DOS) ในไฟล์การกำหนดค่าของพวกเขา นี้เป็นวิธีการทั่วไปที่จะอนุญาตให้มีการขยายความยืดหยุ่นของความสามารถของพวกเขา

บางโปรแกรมอีเมลการประมวลผลไม่ถูกต้องขยายการสนับสนุนนี้คำสั่งเชลล์ฝังตัวกับข้อความที่พวกเขากำลังประมวลผล โดยทั่วไปความสามารถนี้จะรวมอยู่ด้วยความผิดพลาดโดยการเรียกสคริปต์เปลือกนำมาจากแฟ้มการกำหนดค่าในการประมวลผลข้อความของส่วนหัวบาง ถ้าส่วนหัวเป็นพิเศษการจัดรูปแบบและมีคำสั่งเชลล์ก็เป็นไปได้ว่าผู้ที่คำสั่งเชลล์จะได้รับการดำเนินการเช่นกัน นี้สามารถป้องกันได้โดยโปรแกรมการสแกนข้อความส่วนหัวสำหรับการจัดรูปแบบพิเศษและการเปลี่ยนแปลงรูปแบบว่าก่อนที่จะได้รับการส่งผ่านไปยังเปลือกสำหรับการประมวลผลต่อไป

ตั้งแต่การจัดรูปแบบที่จำเป็นในการฝังสคริปต์เปลือกในส่วนหัวของอีเมลเป็นธรรมพิเศษก็ค่อนข้างง่ายในการตรวจสอบและแก้ไข

 

แมลง เว็บโจมตีความเป็นส่วนตัว

ข้อความอีเมล HTML สามารถอ้างถึงเนื้อหาที่ไม่จริงภายในข้อความเช่นเดียวกับหน้าเว็บที่สามารถดูเนื้อหาที่ไม่จริงที่เว็บไซต์โฮสติ้งหน้า นี้สามารถทั่วไปจะเห็นในโฆษณาแบนเนอร์ – เว็บไซต์ที่  http://www.geocities.com/  อาจรวมถึงการโฆษณาแบนเนอร์ที่จะถูกดึงจากเซิร์ฟเวอร์ที่  http://ads.example.com/  – เมื่อเพจมีการแสดง เว็บเบราเซอร์โดยอัตโนมัติรายชื่อเว็บเซิร์ฟเวอร์ที่  http://ads.example.com/  และดึงภาพโฆษณาแบนเนอร์ การดึงไฟล์นี้ถูกบันทึกไว้ในบันทึกของเซิร์ฟเวอร์ที่  http://ads.example.com/ให้เวลาที่มันถูกดึงและเครือข่ายที่อยู่ของคอมพิวเตอร์การดึงภาพ

การประยุกต์ใช้นี้ไปยังอีเมล HTML เกี่ยวข้องกับการวางภาพการอ้างอิงในเนื้อหาของข้อความอีเมล เมื่อโปรแกรมอีเมลดึงไฟล์ภาพที่เป็นส่วนหนึ่งของการแสดงข้อความอีเมลไปยังผู้ใช้เว็บเซิร์ฟเวอร์บันทึกเวลาและที่อยู่เครือข่ายของการร้องขอ หากภาพมีชื่อไฟล์ที่ไม่ซ้ำกันก็เป็นไปได้ที่จะตรวจสอบอย่างแม่นยำซึ่งเป็นข้อความอีเมลที่สร้างการร้องขอ โดยปกติภาพเป็นสิ่งที่จะมองไม่เห็นไปยังผู้รับข้อความตัวอย่างเช่นภาพที่ประกอบด้วยพิกเซลเท่านั้นโปร่งใสหนึ่งจึงระยะ แมลง เว็บ  – มันเป็นหลังจากที่ทุกวัตถุประสงค์เพื่อเป็น “การเฝ้าระวังแอบแฝง”.

นอกจากนี้ยังเป็นไปได้ที่จะใช้แท็กเสียงพื้นหลังเพื่อให้บรรลุผลเดียวกัน

ส่วนใหญ่ลูกค้าอีเมลไม่สามารถกำหนดค่าที่จะไม่สนใจแท็กเหล่านี้ดังนั้นวิธีเดียวที่จะป้องกันการสอดแนมนี้คือการฉีกภาพและการอ้างอิงเสียงแท็กที่เซิร์ฟเวอร์อีเมล