Как безопасно открыть файл из электронной почты

Обновлено: 21.11.2024

Узнайте, как безопасно обращаться с вложениями электронной почты и загрузками из Интернета.

Советы по безопасности при открытии приложений

Всегда соблюдайте осторожность при открытии (например, двойным щелчком) файлы, которые пришли от кого-то, кого вы не знаете, или если вы не ожидали их. Это включает в себя вложения электронной почты, передачу файлов мгновенных сообщений и другие файлы, которые вы, возможно, загрузили из Интернета. Каждый раз, когда вы загружаете из источника, который ранее не заслужил вашего доверия, вы должны принять дополнительные меры предосторожности. Это связано с тем, что загруженный файл может иметь имя или значок, из-за которого он выглядит как документ или файл мультимедиа (например, PDF, MP3 или JPEG), хотя на самом деле это вредоносное приложение. Вредоносное приложение, замаскированное таким образом, известно как «троян».

Следующие темы помогут вам безопасно обращаться с вложениями электронной почты и файлами, загруженными из Интернета.

Идентификация приложений, замаскированных под документы

Если вы не уверены в том или ином файле, вы можете использовать Finder, чтобы узнать, действительно ли файл является приложением. После выбора файла на рабочем столе или в окне Finder вы можете использовать команду «Получить информацию» (Command-I). чтобы посмотреть на "Вид" файла. При использовании представления «Столбец» в Finder эта информация автоматически отображается для выбранного файла. Если вы ожидаете документ, но вид отличается от ожидаемого типа документа, вам следует избегать открытия этого файла. Не дважды щелкайте его значок и не используйте команду «Открыть» в Finder (Command-O). команду в файле или открыть его иным образом.

Если вы не знаете, каким должен быть Тип для определенного типа документа, вы можете сравнить его с уже имеющимися у вас документами этого типа или открыть приложение напрямую, а затем создать и сохранить новый документ такого типа. Используйте Get Info, чтобы отобразить тип ваших существующих документов и сравнить его с типом документа, который вы получили или скачали

Например, следующие типы Kind являются документами:

    &НоваяСтрока;
  • Расширенный текстовый формат (RTF) документ
  • Обычный текстовый документ
  • Изображение JPEG
  • Документ PDF
  • Файл M4A
  • Файл M4P
  • Аудиофайл MP3
  • Файл фильма

Существует несколько типов Kind, которые идентифицируют приложения. Будьте осторожны, если тип вложения электронной почты или загруженного файла содержит слово «Приложение» или иным образом вызывает подозрения. Ниже приведен список других типов приложений, которые также требуют осторожности:

    &НоваяСтрока;
  • Исполняемый файл Unix
  • Скрипт
  • Терминал
  • TerminalShellScript
  • Документ Jar Launcher

Если вы установили стороннее программное обеспечение, проверьте документацию, чтобы узнать, могут ли его файлы содержать макросы, языки сценариев или исполняемый код. Если это так, то с файлами такого типа также следует обращаться с осторожностью.

Загрузить подтверждение

Mac OS X 10.4 Tiger включает проверку загрузки. Несколько приложений Apple используют эту функцию для дополнительной проверки контента, полученного из сети. Если вы откроете вложение в Mail, и на самом деле это приложение, а не документ, проверка загрузки Mac OS X предупредит вас о небезопасных типах файлов, и вам следует отменить, если у вас есть какие-либо сомнения относительно файла. Если вы сохраните вложение или перетащите его в папку, используйте Finder, чтобы проверить его, как описано выше. Если вы ожидали документ, но Finder показывает, что вы получили приложение, не открывайте этот файл. Вместо этого немедленно удалите его.

Если вы перейдете к загружаемому файлу с помощью Safari (например, щелкнув ссылку для загрузки), проверка загрузки Mac OS X предупредит вас о небезопасных типах файлов, и вам следует отменить, если у вас есть какие-либо сомнения относительно файла. Если вы загрузите файл, нажав клавишу Command или выбрав «Загрузить связанный файл» в контекстном меню, он не будет проверен при проверке загрузки Mac OS X и не будет автоматически открыт. Вы должны проверить загруженный файл с помощью Finder, как описано выше. Если вы ожидали документ, а Finder указывает, что это приложение, не открывайте этот файл. Вместо этого немедленно удалите его.

Карантин файлов

В Mac OS X 10.5 Leopard и более поздних версиях улучшена проверка загрузки за счет предоставления файлового карантина. Mac OS X 10.5 запоминает, какой контент вы получили из сети. При первом открытии потенциально небезопасного файла в Finder, Spotlight или Dock функция карантина файлов предупредит вас о небезопасных типах файлов. Вы должны отменить, если у вас есть какие-либо сомнения относительно файла.

Различие законных и вредоносных приложений

Откуда вы взяли файл, это самый важный показатель. Загружайте и устанавливайте приложения только из надежных источников, таких как известные издатели приложений, авторизованные реселлеры или другие известные дистрибьюторы. Также рекомендуется использовать антивирусное программное обеспечение для проверки любых файлов перед установкой. Ассортимент сторонних продуктов можно найти в Руководстве по продуктам Macintosh.

По данным Агентства кибербезопасности и безопасности инфраструктуры США (CISA), «большинство пользователей заражаются вирусами, открывая и запуская неизвестные вложения электронной почты». Далее агентство сообщает, что открытие вредоносного вложения электронной почты позволяет хакерам изменять ваши файлы, красть информацию о вашей кредитной карте или что-то похуже. Здесь есть все, что вам нужно знать о том, какие вложения электронной почты можно безопасно открывать и как сканировать вложения на компьютере с Windows 10.

Никогда не открывать вложения электронной почты, помеченные как спам

По умолчанию большинство почтовых клиентов (например, Gmail, Outlook и Yahoo Mail) сканируют вложения электронной почты на наличие вирусов. Большинство подозрительных писем либо автоматически удаляются, либо отфильтровываются из папки "Входящие" в папку с пометкой "Спам".

Несмотря на то, что открывать любые электронные письма безопасно, не следует переходить по ссылкам или открывать какие-либо вложения в сообщениях электронной почты, помеченных как спам.

Если вы не используете очень старое программное обеспечение, вы больше не получите вирус, просто открыв электронное письмо. Это связано с тем, что большинство вирусов требуют, чтобы вы предприняли какие-либо действия (например, открыли вложение или щелкнули ссылку), чтобы заразить ваш компьютер в наши дни.

Открывать вложения электронной почты только из надежных источников

Чтобы защитить себя от вредоносных вложений электронной почты, Федеральное бюро расследований (ФБР) предупреждает вас: «Никогда не открывайте вложение электронной почты от кого-то, кого вы не знаете». Агентство также советует вам «внимательно изучить адрес электронной почты», прежде чем открывать вложение.

Хакеры могут «подделать» (или подделать) адрес электронной почты, чтобы он выглядел так, как будто он принадлежит вашему начальнику, члену семьи или даже крупной компании, такой как Apple или Microsoft. Поэтому, прежде чем открывать вложение электронной почты, вы всегда должны проверять полный адрес электронной почты отправителя, прежде чем открывать вложение.

Министерство внутренней безопасности (DHS) сообщает, что вы также можете идентифицировать вредоносные электронные письма, ища орфографические и грамматические ошибки, а также сообщения, адресованные вам с неправильным именем, или электронные письма, которые не содержат никакого содержимого, кроме вложений. .

Хакеры даже могут завладеть учетной записью электронной почты и отправить вредоносные вложения со своим адресом электронной почты. Итак, ФБР рекомендует вам связаться с отправителем, чтобы подтвердить, что он отправил вам вложение, прежде чем вы нажмете на него. Если электронное письмо отправлено вашим банком или компанией-эмитентом кредитной карты, перейдите на их официальный веб-сайт и найдите способ связаться с ними оттуда.

Открывать только вложения электронной почты с безопасными расширениями файлов

Как только вы узнаете, что электронное письмо отправлено надежным отправителем, наведите указатель мыши на вложение, чтобы увидеть расширение файла. Это последние три или четыре буквы, которые появляются после точки в имени файла и сообщают вашему компьютеру, какое приложение может открыть файл.

Изображения, видео и аудио файлы:

Вложения электронной почты, содержащие изображения, видео и аудиофайлы, обычно считаются наиболее безопасными для открытия. К ним относятся файлы с распространенными расширениями, такими как JPG, PNG, GIF, MOV, MP4, MPEG, MP3 и WAV.

Однако важно отметить, что даже если изображение выглядит безопасным, это может быть замаскированный файл другого типа. Таким образом, вам следует открывать вложение только в том случае, если вы знаете, от кого оно, и вы уже ожидали вложение.

Офисные документы:

Документы Microsoft Office могут содержать «макровирусы», которые трудно обнаружить, поскольку они написаны на том же языке, что и такие программы, как Word, Excel и PowerPoint. К ним относятся файлы с такими расширениями, как DOC, DOCX, XLS и PPT.

Макрос не будет активирован автоматически, если только он не находится в надежном месте. Итак, чтобы иметь возможность редактировать документ, вам придется активировать макрос вручную, нажав кнопку «Включить содержимое» в верхней части экрана. Однако Microsoft предупреждает вас не делать этого, «если вы не уверены, что точно знаете, что делает этот активный контент».

Исполняемые файлы:

Одним из самых опасных типов файлов, которые хакеры прикрепляют к электронным письмам, являются исполняемые файлы. Если вы откроете файл такого типа на своем компьютере, он почти наверняка будет содержать вредоносное программное обеспечение (также известное как вредоносное ПО).

Если вы работаете на компьютере Mac, вам также следует остерегаться файлов DMG, которые также могут использоваться для установки вредоносных программ на ваш компьютер.

Сжатые файлы:

Некоторые сжатые файлы также небезопасно открывать. Наиболее распространенные из них имеют расширения ZIP или RAR. Сжатый файл обычно содержит несколько уменьшенных файлов, и вы не сможете узнать, что они содержат, пока не откроете их.

Если вы открываете сжатый файл, внутри которого находится EXE-файл, вам следует запускать его только в том случае, если вы абсолютно точно знаете, что это такое и от кого оно получено.

Никогда не открывайте вложения электронной почты с двойными расширениями

Иногда вложения электронной почты на первый взгляд выглядят безопасными, но если вы присмотритесь, то заметите, что имя файла имеет два расширения. Например, имя файла может выглядеть как изображение, но иметь такое имя, как «file.jpg.exe». Это означает, что это не файл JPG, а файл EXE, поскольку последнее расширение в конце имени файла имеет значение.

Любой файл с двойным расширением, скорее всего, является вирусом, и вы никогда не должны открывать его в целях безопасности. Если вы хотите убедиться, вы можете сначала отсканировать его. Вот как:

Как сканировать вложение электронной почты в Windows 10

Чтобы отсканировать вложение электронной почты на компьютере с Windows 10, загрузите файл, но не открывайте его. Затем щелкните файл правой кнопкой мыши и выберите Сканировать с помощью Microsoft Defender. Когда сканирование будет завершено, вы увидите результаты в верхней части окна настроек.

Что делать, если вы открыли опасное вложение

Если вы случайно открыли вложение с опасным расширением файла, немедленно смените пароль электронной почты. Вам также следует связаться со своим банком или компанией, выпустившей кредитную карту, и сообщить им о случившемся, чтобы они были в курсе подозрительных списаний с ваших счетов.

Сразу после открытия опасного вложения следует запустить антивирусную программу на компьютере. В противном случае вам следует загрузить и установить антивирусное программное обеспечение на свой компьютер. Чтобы узнать больше, ознакомьтесь с нашим списком лучших антивирусных программ для ПК с Windows. Если вы считаете, что ваш компьютер все еще заражен вирусом, ознакомьтесь с нашим руководством по удалению вредоносных программ с компьютера с Windows 10.

Чтобы повторно просмотреть эту статью, перейдите в раздел "Мой профиль" и выберите "Просмотреть сохраненные истории".

Вложения электронной почты — это популярное место, где хакеры могут скрыть вредоносное ПО. Новый инструмент под названием Dangerzone очищает их для вас. Фотография: Дэвид Гулд/Getty Images

Чтобы повторно просмотреть эту статью, перейдите в раздел "Мой профиль" и выберите "Просмотреть сохраненные истории".

Открытие вложений электронной почты от ненадежных отправителей уже давно является одним из самых простых способов взлома. Но в отличие от других распространенных ошибок в системе безопасности, таких как использование «пароля» в качестве пароля, загрузка пиратского программного обеспечения с сомнительных веб-сайтов, у современного человека нет практического способа избежать открытия случайных вложений с загадочным мясом.

Теперь один технолог разработал решение. Мика Ли, глава отдела информационной безопасности First Look Media, планирует выпустить альфа-версию бесплатного инструмента под названием Dangerzone на GitHub через неделю с воскресенья, приурочив его к докладу на конференции Nullcon в Гоа, Индия. Dangerzone – это простая карантинная программа, позволяющая любому пользователю удалять ненадежные документы, обезвреживать маяки слежения, вредоносные скрипты и другие вредоносные объекты, которые могут содержаться в этих файлах.

Ли говорит, что решил создать Dangerzone после того, как много лет помогал журналистам, таким как Intercept, новостной сайт расследований, принадлежащий First Look. Как и всем репортерам, отделу новостей Intercept иногда приходится открывать вложения, присланные из неизвестных источников, которые могут содержать что угодно, от мегаскопа до вредоносных программ.После некоторого тестирования Ли планирует разместить Dangerzone на собственном веб-сайте, как и его более раннее программное изобретение, инструмент для обмена файлами на основе Tor Onionshare.

"Проблема с открытием вложений из ненадежных источников заключается в том, что они могут быть вредоносными и взломать ваш компьютер", – говорит Ли. "Я хотел, чтобы люди могли самостоятельно обезопасить документы, не отправляя их кому-то из службы безопасности, чтобы стерилизовать их. Я хотел, чтобы это было проще сделать для всех".

Хакеры часто используют вредоносные вложения, чтобы закрепиться внутри целевой сети, от россиян, чьи кибератаки на украинские энергокомпании начались с испорченных документов Microsoft Office, до иранских шпионов, которые недавно атаковали правительства Ближнего Востока с помощью электронных писем-ловушек. Даже тибетские буддийские монахи, ставшие мишенью китайского правительства, шутят, что они научились «отстраняться от привязанностей» после многих лет нападений.

Dangerzone позволяет открывать схематичные документы — PDF, документы Word, PowerPoint и их эквиваленты в LibreOffice и OpenOffice, а также графические форматы, такие как .jpg, .jpg и .jpg — в изолированном «контейнере» на вашем компьютере, часть операционной системы, которая не имеет доступа к другим частям компьютера или к Интернету. Чтобы создать этот автономный карантинный аквариум, Dangerzone использует популярное бесплатное программное обеспечение для контейнеров Docker, которое также устанавливается автоматически при первом запуске программы.

После того как вы откроете подозрительный файл в этой запечатанной коробке, Dangerzone использует программное обеспечение с открытым исходным кодом LibreOffice для преобразования всего, что еще не является форматом PDF, в формат PDF. Затем он использует программное обеспечение с открытым исходным кодом Poppler и ImageMagick, чтобы уменьшить этот PDF-файл до красных, зеленых и синих пикселей. Из этих необработанных визуальных компонентов он перестраивает документ во втором контейнере, воссоздавая очищенный PDF-файл без скрытого кода, анимации и даже веб-ссылок. (Благодаря этому процессу восстановления пикселей программное обеспечение выводит PDF-файл независимо от формата файла, который он принимает.) Dangerzone также использует программное обеспечение для оптического распознавания символов Tesseract для преобразования букв и цифр в PDF обратно в машиночитаемый текст, что позволяет вам скопируйте текст и выполните поиск в файле.

Подумайте об этом, как взять лист бумаги, на который кто-то чихнул, и положить его в ксерокс. Полученная копия визуально идентична оригиналу, но не несет потенциального риска заражения.

Как и эта копия Xerox, документы, которые создает Dangerzone, не являются точными копиями. Когда WIRED тестировала раннюю версию Dangerzone, она отлично работала для создания очищенных PDF-файлов из большинства файлов PowerPoint, Word и PDF, хотя в некоторых случаях их преобразование занимало несколько минут. Но другие типы документов оказались более искаженными: GIF-файлы, как и следовало ожидать, превратились в неодушевленные многостраничные PDF-файлы, заполненные какими-то странными пикселизированными изображениями на некоторых страницах. Электронные таблицы Excel превратились в набор чисел, плавающих на белых страницах, а не в аккуратной сетке, а некоторые слайды PowerPoint по какой-то причине были повернуты на 90 градусов. Один PowerPoint со встроенным видео привел к появлению сообщения «Ошибка :(».

Несмотря на эти причуды и несколько застарелых ошибок, Dangerzone представляет собой давно назревшую попытку помочь обычным людям открывать вложения без страха, — говорит Харло Холмс, директор отдела цифровой безопасности отдела новостей Freedom of the Press Foundation. Холмс отмечает, что некоторые технически искушенные и параноидальные пользователи уже используют другие уловки для обезвреживания опасных вложений, такие как открытие их на виртуальных машинах или в эфемерной операционной системе Tails, или используя функцию операционной системы Qubes, которая может конвертировать PDF-файлы в « надежные PDF-файлы». Но Dangerzone, по крайней мере, когда она выйдет из стадии тестирования, обеспечит такую ​​же безопасность подавляющему большинству людей, которые не используют непонятные операционные системы или случайно не запускают виртуальные машины. «Это уравняет безопасность всех, когда они изо дня в день открывают что-то на своих компьютерах», — говорит Холмс. "Это упрощает все и дает людям высокий уровень безопасности, которого они не имели бы иначе".

Я получил явно спамное электронное письмо на свой аккаунт Gmail. К письму прикреплен предполагаемый HTML-файл. Моя первая догадка заключалась в том, что это, вероятно, было одно из следующего:

  1. Неприятный исполняемый файл, маскирующийся под простой HTML-файл, или
  2. Настоящий HTML-файл, предназначенный для открытия в браузере при фишинговой атаке.

Я предполагаю, что это действительно файл HTML, поскольку Gmail утверждает, что вложение имеет размер всего 1 КБ.

Я знаю, что, вероятно, мне следует просто пометить это как спам и продолжить свою жизнь, но мое любопытство берет верх надо мной. Я действительно хочу знать, что в этом приложении. Есть ли безопасный способ загрузить его в изолированное место и проверить содержимое?Я только начинаю свою карьеру в сфере безопасности, и мне бы очень хотелось разобрать этот реальный пример чего-то потенциально неприятного и посмотреть, как это работает.

Я думаю, LiveCD или виртуальная машина будут безопасной средой. Я бы предпочел сделать это в чистой, не подключенной к сети среде, но в любом случае я все равно буду входить в свою учетную запись Gmail, чтобы загрузить это.

6 ответов 6

Это также может быть:

3. HTML-страница с кодом JavaScript, пытающимся использовать уязвимость в вашем браузере.

4. HTML-страница со встроенным апплетом Java, пытающимся использовать уязвимость в JVM

5. HTML-страница со встроенным Flash-файлом, пытающимся использовать уязвимость в Flash Player

6. Само электронное письмо, прежде чем вы откроете вложение, может попытаться использовать уязвимость в вашем почтовом клиенте

Могут быть и другие возможности.

Для этой цели у меня есть следующие настройки:

Виртуальная машина с использованием VirtualBox. Нет доступа к сети.

У меня есть снимок виртуальной машины, сохраненный после установки новой ОС.

Я также делаю два снимка с помощью What Changed? и TrackWinstall.

Я копирую файлы только в направлении Host -> VM, используя бесплатный создатель ISO.

Я создаю файл .iso и монтирую его. Тогда я смогу получать все удовольствия от самой виртуальной машины.

Обычно я запускаю вредоносное ПО и изучаю использование памяти, загрузку ЦП, прослушивание портов, попытки подключения к сети.

Я проверяю изменения в ОС с помощью What Changed? и TrackWinstall.

Наконец я восстанавливаю свежий снимок.

Причина, по которой у меня есть вся установка, заключается в том, что мне нравится запускать вредоносное ПО и смотреть, что оно пытается сделать.

Обновление:

Я разговаривал с коллегой, который занимается анализом вредоносного ПО в качестве хобби, и он рассказал мне о своей настройке. Она может отличаться от того, что вам может понадобиться для периодической проверки вложений .html.

Старый ПК с новой установкой ОС.

После установки необходимых инструментов он создает образ всего диска с помощью Clonezilla Live.

Что изменилось в сравнении снимков.

ПК подключен к Интернету через отдельную сеть.

Всякий раз, когда он заканчивает работу над образцом, он перезагружается с помощью Clonezilla и восстанавливает образ полного диска.

Мне нравится, что вы делаете. с моей стороны было недальновидно предположить, что есть только две возможности. Я случайно упомянул первые пришедшие на ум, так что спасибо за перечисление некоторых других. У меня есть несколько вопросов о вашем подходе. Разве создание ISO-образа и его монтирование на виртуальной машине не потребует от вас загрузки подозрительного файла на хост, чтобы создать ISO-образ (поскольку виртуальная машина не подключена к сети)?

@Adnan, я думаю, стоит отметить, что вредоносное ПО может определить, находится ли оно на виртуальной машине, даже если оно не может выйти из виртуальной машины, оно все равно может изменить свое поведение, чтобы скрыть свое истинное назначение. . Менее вероятная функция, но все же возможная.

Отличный ответ. Следует добавить одну вещь: он не показывает поведение выполнения, но, как закончилось OP, чтение исходного кода (безопасным способом) отвечает на некоторые вопросы. В любом случае ответ 10/10 - спасибо!

Стоит отметить ОС Qubes, когда желателен этот тип безопасности. Графический интерфейс предназначен для этого, и Qubes автоматически создаст одноразовые виртуальные машины и скопирует сообщение/файл, когда вы решите безопасно отредактировать или просмотреть его. Он также использует одноразовые виртуальные машины для постоянной очистки определенных типов файлов, таких как PDF.

"Я копирую файлы только в направлении Host -> VM, используя бесплатный создатель ISO." Я немного смущен этим шагом. У нас есть виртуальная машина, которую мы готовы записать. Мы просто помещаем вредоносное ПО в iso как способ передачи на гостевую машину (вместо того, чтобы иметь общую папку между гостем и хостом?) Как насчет того, чтобы просто отключить общий доступ к файлам после переноса вредоносного ПО в виртуальный компьютер из общей папки?

В Gmail нажмите кнопку с маленьким треугольником на панели над сообщением справа. В появившемся меню выберите «Показать оригинал». Теперь gmail показывает вам необработанное сообщение со всеми заголовками в другом окне браузера. Вложение находится в теле сообщения, закодировано в безопасном тексте с помощью MIME. Вы можете вырезать и вставлять материал MIME и декодировать его с помощью некоторых утилит MIME (например, munpack в Linux или Cygwin).

Мне нравится этот ответ! Мне не приходило в голову, что фактическое вложение будет закодировано как часть заголовка электронной почты, но в этом есть смысл. Я проверил это, скопировав и вставив закодированную часть заголовка в текстовый файл, а затем используя openssl base64 в OSX для его декодирования. Это кажется гораздо менее рискованным по той простой причине, что оно не будет запускаться автоматически, как загрузка из браузера. Я отложу этот метод для будущего использования. Спасибо!

+1 Это как раз и является ответом на исходный вопрос ОП.Любое почтовое приложение, которое позволяет вам видеть необработанный ASCII сообщения, безопасно для просмотра сообщения и любых вложений, будь то онлайн-приложение (GMail) или отдельное приложение (Outlook и т. д.). Оттуда вы можете копировать и вставлять в любое место для дальнейшего изучения.

Чтобы быть более тщательным, вы можете использовать виртуальную машину, чтобы фактически отпустить ее и посмотреть, что она делает, но для простой проверки обработка ее как файла данных и доступ к ней с помощью инструментов анализа данных должны быть безопасными.

Существует очень небольшая вероятность проблем, если они нацелены на уязвимость ВМ, но шансы того, что ваш конкретный сомнительный файл быстро идентифицирует подходящую уязвимость ВМ и нацелится на подходящую уязвимость ВМ для взлома песочницы, довольно близки к нулю, если только вы специально таргетированы, и даже в этом случае это маловероятно.

Если вы уже открыли электронное письмо, а не вложение, вы можете просто сохранить вложение. Если вы нервничаете из-за того, что на самом деле открываете электронное письмо, вероятно, можно использовать что-то вроде Lynx.

Читайте также: