Вопрос или проблема
Мне стоит беспокоиться о заражении от .PDF-файла от ненадежного отправителя, просмотренного в GMail?
Контекст: Я получил электронное письмо с сообщением о том, что заказ на услугу, на которую я подписан, был отправлен, но я не думал, что он подлежит обновлению. Я запаниковал и нажал на предварительный просмотр прикрепленного PDF-инвойса (я использовал встроенный просмотрщик Gmail, не скачивая файл). Я быстро понял, что это нечто мошенническое, но остался в недоумении, потому что не было никаких ссылок для нажатия или требований позвонить, или каких-либо других действий.
Вопрос: Вероятно ли, что PDF содержал вредоносный скрипт? Если да, то вероятно ли, что я был бы инфицирован, если бы никогда не открывал файл локально? Я полагаю, что предварительный просмотр Gmail изолирует файл… Также, более общим образом, если бы был проведен атака, использующая предварительный просмотр файлов Gmail, каковы бы были последствия (например, захват сеанса, кража сохраненного пароля, загрузка какого-либо файла)?
Исследование:
- Gmail сообщал, что файл был просканирован, и не было никаких предупреждений или чего-то подобного.
- Я нашел описание такого рода атаки на [Which?][1] как на распространенный вектор атаки в настоящее время, и они описывают ее как атаку вишинга — цель состоит в том, чтобы заставить вас позвонить «в службу поддержки» и попытаться заставить вас установить что-то или раскрыть конфиденциальную информацию.
- Я скопировал ссылку на вложение (щелкнув правой кнопкой мыши -> выбрав «копировать адрес ссылки») и вставил ее в VirusTotal. Я получил следующее определение с «низким риском»:
Палебот Trojan Harvests Palestinian Online Credentials – согласно источнику ArcSight Threat Intelligence – 1 год назад
Контекстуальные индикаторы: URL известен как безвредный в Threat Cloud от Check Point. Контекстуальные индикаторы: домен популярный среди сайтов с хорошей репутацией. Контекстуальные индикаторы: домен популярен в мире. Контекстуальные индикаторы: рейтинг домена по Cisco Umbrella составляет 186. Создан: 1997-09-15 Ссылка на VirusTotal: https://www.virustotal.com/gui/domain/3f2728499a4b29460f3e3150df508e06b19edf0f58efd051fac777844d28e452/detection Описание классификации: Законный сайт, который не служит каким-либо злонамеренным целям.
Личные мысли: Если бы не предупреждение VirusTotal, я бы предположил, что все в порядке, но я не могу толком понять сообщение об оповещении, поэтому не знаю, стоит ли мне из-за этого переживать…
Спасибо заранее!
[1]: https://www.which.co.uk/news/article/5-email-scams-to-watch-out-for-right-now-aYPQx0B8TEc1
Я задавал очень похожий вопрос несколько лет назад. Ответ, который я получил, совсем не совпадал с тем, чего я ожидал.
Как Chrome, так и Firefox имеют встроенные просмотрщики PDF, которые работают в песочнице браузера. Также Gmail и Google Docs рендерят PDF на стороне сервера и затем отправляют их браузеру в виде PNG с наложенным невидимым текстом, чтобы вы могли копировать/вставлять.
Раньше было ОЧЕНЬ опасно открывать PDF, но сейчас это уже не так верно.
Ответ или решение
Вопрос о безопасности при предварительном просмотре PDF-файлов в Gmail от ненадежных отправителей вполне обоснован, особенно учитывая, что вы столкнулись с возможным мошенничеством. Давайте разберем этот вопрос, учитывая все детали, которые вы предоставили.
Безопасность предварительного просмотра PDF в Gmail
-
Песочница Gmail: Gmail использует серверный подход для предварительного просмотра вложений, таких как PDF-файлы. Это значит, что файл обрабатывается на серверах Google, и только визуализация отправляется вам в браузер. Текущий метод отображения включает преобразование документа в PNG-изображение, что значительно ограничивает вероятность исполнения вредоносного кода. Этот процесс снижает риски, связанные с загрузкой и открытием PDF-файлов.
-
Сканирование на вирусы: Gmail автоматически сканирует вложения на наличие вредоносного ПО, прежде чем вы получите доступ к ним. Вы упомянули, что не получили никаких предупреждений, что является дополнительным знаком того, что файл, скорее всего, не содержал ничего зловредного. Тем не менее, ни одна система не может гарантировать 100% защиту.
- Риск при клике на ссылки: Несмотря на отсутствие активных ссылок в ваших PDF-файлах, сообщение само по себе может нести угрозу в случае, если вы решите взаимодействовать с ним, например, нажав на подозрительные ссылки, которые могут оказаться в тексте письма. Всегда следует быть внимательным к информации, которой вы делитесь.
Оценка угрозы
-
Содержимое PDF: Сам по себе PDF-файл может содержать вредоносный код, но для того чтобы он сработал, пользователь должен его сначала загрузить и открыть в полноценном PDF-редакторе или просмотрщике вне защищенной среды. Поскольку вы только предварительно просмотрели файл, вероятность заражения минимальна.
- Потенциальные последствия: Если бы существовала уязвимость, позволяющая эксплуатировать механизм предварительного просмотра Gmail, возможные последствия могли бы варьироваться от кражи сеансовой информации, данных авторизации, до загрузки вредоносных файлов на устройство пользователя. Однако такие уязвимости крайне редки и требуют значительных технических навыков специалистов для их реализации.
Рекомендации по повышению безопасности
-
Не взаимодействуйте с подозрительными сообщениями: Если вы считаете, что получили мошенническое письмо, лучше всего его удалить, не открывая вложений и не кликая по ссылкам.
-
Используйте антивирусные программы: Убедитесь, что на вашем устройства установлено и обновлено антивирусное ПО, которое проверяет файлы на наличие угроз перед открытием.
- Держите систему обновленной: Регулярно обновляйте браузеры и операционные системы, так как обновления часто содержат патчи безопасности, которые защищают от известных уязвимостей.
Вывод
В вашем случае, учитывая, что вы не скачали и не открыли PDF-файл, а лишь получили возможность его предварительного просмотра через Gmail, вероятность заражения вашего устройства чрезвычайно мала. Тем не менее, всегда полезно сохранять бдительность по отношению к письмам от ненадежных отправителей и соблюдать принципы кибербезопасности.