ZLONOV_SECURITY Telegram 1569
tgoop.com » United States » ZLONOV security » Telegram web » Post 1569
ZLONOV security
Кобольдские письма

Оказывается, электронное письмо, полученное от доверенного лица, и даже подписанное его электронной подписью, - может оказать фишинговым.

Суть проблемы в том, что большинство почтовых клиентов позволяет использовать CSS (Cascading Style Sheets - каскадные таблицы стилей) для оформления электронных писем в формате HTML и грамотное использование особенностей DOM (Document Object Model - объектная модель документа) позволяет сформировать такое письмо, которое изначально выглядит вполне невинно, так как его часть просто скрыта (например, путём применения стиля «display: none;»), но при пересылке - изменяется и превращается в нечто совершенно иное.

Поэтому, как вариант, ваш шеф может переслать вам письмо с вопросами от потенциального клиента, а вы в свою очередь - получить от него уже указание необходимости перевода крупной суммы денег по неким банковским реквизитам.

«Кобольдскими» такие письма автор оригинальной статьи назвал как раз потому, что кобольды (нечистые духи в германской мифологии, сродни гномам или домовым) обычно невидимы и склонны к пакостям.

Уязвимость актуальна (в упомянутой статье приведены наглядные примеры) как минимум для:
- Thunderbird;
- веб-версии Outlook;
- Gmail.

В качестве меры защиты можно отключить HTML в почтовом клиенте и «включить» критическое мышление.

Автор, конечно, приводит пример с развитием событий в виде звонка шефу с просьбой подтвердить легитимность письма, и по его версии - необходимое подтверждение вы вполне можете получить, но, на мой взгляд, это уже притянуто за уши. Вряд ли кто-то спросит: «Вы пересылали мне сегодня письмо?», - но не упомянет его содержимое.

- Оригинальная статья (англ.): https://lutrasecurity.com/en/articles/kobold-letters/
- Пост Брюса Шнайера: https://www.schneier.com/blog/archives/2024/04/security-vulnerability-of-html-emails.html

- Про модель DOM: https://ru.wikipedia.org/wiki/Document_Object_Model
- Про CSS: https://ru.wikipedia.org/wiki/CSS
- Про кобольдов: https://ru.wikipedia.org/wiki/Кобольды
www.tgoop.com/zlonov_security/1569
5.1K viewsedited  



tgoop.com/zlonov_security/1569
Create:
Last Update:

Кобольдские письма

Оказывается, электронное письмо, полученное от доверенного лица, и даже подписанное его электронной подписью, - может оказать фишинговым.

Суть проблемы в том, что большинство почтовых клиентов позволяет использовать CSS (Cascading Style Sheets - каскадные таблицы стилей) для оформления электронных писем в формате HTML и грамотное использование особенностей DOM (Document Object Model - объектная модель документа) позволяет сформировать такое письмо, которое изначально выглядит вполне невинно, так как его часть просто скрыта (например, путём применения стиля «display: none;»), но при пересылке - изменяется и превращается в нечто совершенно иное.

Поэтому, как вариант, ваш шеф может переслать вам письмо с вопросами от потенциального клиента, а вы в свою очередь - получить от него уже указание необходимости перевода крупной суммы денег по неким банковским реквизитам.

«Кобольдскими» такие письма автор оригинальной статьи назвал как раз потому, что кобольды (нечистые духи в германской мифологии, сродни гномам или домовым) обычно невидимы и склонны к пакостям.

Уязвимость актуальна (в упомянутой статье приведены наглядные примеры) как минимум для:
- Thunderbird;
- веб-версии Outlook;
- Gmail.

В качестве меры защиты можно отключить HTML в почтовом клиенте и «включить» критическое мышление.

Автор, конечно, приводит пример с развитием событий в виде звонка шефу с просьбой подтвердить легитимность письма, и по его версии - необходимое подтверждение вы вполне можете получить, но, на мой взгляд, это уже притянуто за уши. Вряд ли кто-то спросит: «Вы пересылали мне сегодня письмо?», - но не упомянет его содержимое.

- Оригинальная статья (англ.): https://lutrasecurity.com/en/articles/kobold-letters/
- Пост Брюса Шнайера: https://www.schneier.com/blog/archives/2024/04/security-vulnerability-of-html-emails.html

- Про модель DOM: https://ru.wikipedia.org/wiki/Document_Object_Model
- Про CSS: https://ru.wikipedia.org/wiki/CSS
- Про кобольдов: https://ru.wikipedia.org/wiki/Кобольды

BY ZLONOV security




Share with your friend now:
tgoop.com/zlonov_security/1569

View MORE
Open in Telegram


Telegram News

Date: |

Telegram channels enable users to broadcast messages to multiple users simultaneously. Like on social media, users need to subscribe to your channel to get access to your content published by one or more administrators. Deputy District Judge Peter Hui sentenced computer technician Ng Man-ho on Thursday, a month after the 27-year-old, who ran a Telegram group called SUCK Channel, was found guilty of seven charges of conspiring to incite others to commit illegal acts during the 2019 extradition bill protests and subsequent months. Developing social channels based on exchanging a single message isn’t exactly new, of course. Back in 2014, the “Yo” app was launched with the sole purpose of enabling users to send each other the greeting “Yo.” On June 7, Perekopsky met with Brazilian President Jair Bolsonaro, an avid user of the platform. According to the firm's VP, the main subject of the meeting was "freedom of expression."
from us


Кобольдские письма

 ZLONOV security TG
web: 1569
ZLONOV security.Telegram web
ZLONOV security Telegram TG Channel
Telegram Updated:
Telegram ZLONOV security
FROM American