Aqui—no item número 5 da lista—é uma recomendação para não responder a e-mails anônimos devido à possibilidade de estar infectado. Eu sei que era uma vez isso foi possívelpor causa do JavaScript. Mas agora, isso ainda é um problema? Especialmente para serviços de e-mail de maior segurança, como o Gmail.
Responder1
O risco de responder a e-mails de registro de domínio vem de riscos extremos de sequestro de engenharia social e de não ser realmente “infectado”.
Aqui – no item número 5 da lista – está uma recomendação para não responder a e-mails anônimos devido à possibilidade de estar infectado.
Olhando paraitem número 5 na página para a qual você está vinculandomostra que nada disso tem a ver com infecções básicas de e-mail do usuário final:
5. Não responda (nem clique em nenhum link) em nenhuma correspondência de e-mail relacionada ao domínio que você não reconheça.Tenha também cuidado para não responder a quaisquer avisos de renovação de “aparência oficial” que você receber pelo correio de empresas que você não reconhece. Sabe-se que sequestradores de domínio e registradores inescrupulosos enviam grandes quantidades de transferências na esperança de que uma pequena porcentagem de registrantes confusos confirmem acidentalmente as transferências. Em caso de dúvida, entre em contato com seu registrador original para verificar quaisquer mensagens suspeitas.
Depois de ler isso, fica bastante claro que o conselho é sobre como evitar transferências fraudulentas de registro de nomes de domínio e alterações relacionadas ao registrador de domínio. Ou seja, se você receber alguma notificação por e-mail do seu registrador de domínio real de que “sua ação é necessária” para concluir um processo, não tome nenhuma atitude. Ou então você corre o risco de iniciar um processo em que alguém – que não é você – possa roubar seu nome de domínio diretamente de você.
Dito isto, essas instruções parecem bastante arcaicas. A página tem copyright datado de 2009, mas mesmo naquela época não era tão “magicamente” fácil roubar um registro de domínio dessa forma.
A realidade é que as mudanças no registro de domínio hoje em dia exigem mais algumas verificações e equilíbrios – e muito mais habilidades de “engenharia social” (também conhecido como: ser um vigarista completo) – e não podem ser simplesmente afetadas pelo acionamento de um simples e-mail. Portanto, embora esse conselho seja um tanto válido – é sempre bom ignorar e-mails indesejados – ele também é um pouco paranóico.
Em relação à questão central sobre responder a e-mails – em geral – ser um risco de infecção.
Eu sei que antigamente isso era possível por causa do JavaScript. Mas agora, isso ainda é um problema? Especialmente para serviços de e-mail de maior segurança, como o Gmail.
As chances de você ser infectado ao responder a um e-mail são bastante baixas ou nulas, poisrespondendotemnuncafoi um vetor. O único risco de infecção por e-mail que existiu veio deolhandoem - ouabertura—um e-mail, pois se o e-mail tivesse conteúdo HTML, nãoeraum risco de que o HTMLpoderiacontêm JavaScript malicioso incorporado.
Isso já foi um risco em alguns navegadores/programas de e-mail que não filtravam/desativavam adequadamente o JavaScript de e-mails, como - drumroll - Microsoft Outlook, que tratava e-mails em HTML como se fossem apenas páginas da web em HTML. O simples ato de tratar um e-mail em HTML como se fosse uma página da web em HTML abriu uma porta bastante ampla para infecções simplesmente olhando um e-mail.
Então você está 100% correto ao pensar que hoje em dia existem mais proteções em vigor. E a principal “proteção” existente é que qualquerverdadeiramente competentenavegador/programa de e-mail moderno é simplesmentenãoexecute JavaScript ao exibir conteúdo de email em HTML. Conforme explicado nesta página em“O que fazer e o que não fazer no e-mail HTML”:
Não use Javascript. Será ignorado ou mesmo tratado como um risco à segurança. Depois que alguém receber um aviso de segurança sobre um de seus e-mails, é improvável que abra outro.
O único risco extremo em que consigo pensar é se você estivesse de alguma forma usando um cliente de e-mail desatualizado baseado em navegador que não filtrasse ativamente o JavaScript em e-mails HTML. Nesse caso, o programa de e-mail baseado em navegador exibiria apenas o e-mail em HTML em um navegador da web. O que, é claro, apenas exibiria o conteúdo HTML do e-mail como se fosse uma página HTML pura de um navegador da web… JavaScript e tudo. Mas como eu disse, isso éestritamenteum risco extremo hoje em dia, mas do qual você deve estar ciente se de alguma forma encontrar - e precisar usar - um programa de e-mail baseado em navegador.
Responder2
A razão pela qual muitas vezes é aconselhável excluir e-mails de spam sem abri-los é para limitar o feedback fornecido aos spammers.
Idealmente, queremos que seja impossível para os spammers saberem a diferença entre um e-mail que foi capturado por um filtro de spam e um e-mail que passou pelo filtro de spam, mas foi reconhecido como spam pelo usuário.
Se os spammers conseguirem perceber a diferença entre os dois cenários, eles poderão automatizar ajustes em seus e-mails de spam com o objetivo de passar pelos filtros de spam.
Responder a um e-mail, clicar em um link de um e-mail ou carregar arquivos externos para renderizar tudo fornece feedback aos spammers, o que queremos evitar.
Em alguns contextos, o conselho é dado sem explicar a razão por trás dele, e às vezes com a razão implícita, de que o não cumprimento do conselho fará com que o seu computador seja infectado por um vírus. Embora existissem vulnerabilidades que tornariam tais infecções possíveis, esse nunca foi o principal motivo do conselho.
Como apontado noresposta de @Giacomo1968, a página vinculada fornece mais um motivo para não responder ou clicar em nenhum link. Esse motivo é direcionado a fluxos de trabalho específicos relacionados ao gerenciamento de domínios. No entanto, pode aplicar-se a outros fluxos de trabalho e, geralmente, qualquer correio de spam pode fazer parte de um ataque de engenharia social. Às vezes, esses ataques de engenharia social podem ser tão complicados que mesmo os usuários mais conscientes da segurança podem achar o e-mail suspeito, mas serem completamente incapazes de explicar como ele poderia ser útil como parte de um ataque de engenharia social.
Quer todos os três motivos ou apenas um dos três se apliquem a um e-mail específico, o conselho permanece o mesmo. E alguns usuários ficam bastante satisfeitos apenas em lembrar os conselhos e não o raciocínio por trás deles.