Здесь—в пункте 5 списка — рекомендация не отвечать на анонимные письма из-за возможности заражения. Я знаю, что когда-то это было возможноиз-за JavaScript. Но сейчас это все еще проблема? Особенно для более защищенных почтовых сервисов, таких как Gmail.
решение1
Риск ответа на электронные письма о регистрации домена возникает из-за риска взлома с помощью социальной инженерии, а не фактического «заражения».
Здесь — в пункте № 5 списка — рекомендация не отвечать на анонимные письма из-за возможности заражения.
Смотря напункт номер 5 на странице, на которую вы ссылаетесьпоказывает, что все это не имеет ничего общего с обычными заражениями электронной почты конечных пользователей:
5. Не отвечайте (и не переходите по ссылкам) на электронные письма, связанные с доменом, который вам не знаком.Также будьте осторожны и не отвечайте на любые «официальные» уведомления о продлении, которые вы получаете по почте от компаний, которые вы не знаете. Известно, что угонщики доменов и недобросовестные регистраторы отправляют массовые объемы переводов, надеясь, что небольшой процент запутавшихся регистраторов случайно подтвердит переводы. Если у вас есть сомнения, свяжитесь с вашим первоначальным регистратором, чтобы проверить любые подозрительные сообщения.
После прочтения этого становится совершенно ясно, что совет касается того, как избежать мошеннических передач регистрации доменных имен и связанных с этим изменений регистратора домена. Это означает, что если вы действительно получаете уведомление по электронной почте от вашего настоящего регистратора домена о том, что «ваши действия необходимы» для завершения процесса, не предпринимайте никаких действий вообще. Иначе вы рискуете начать процесс, в котором кто-то — кто не вы — может украсть ваше доменное имя прямо у вас из-под носа.
Тем не менее, эти инструкции кажутся довольно архаичными. Страница имеет дату авторского права 2009, но даже тогда было не так уж «волшебно» легко украсть регистрацию домена таким образом.
Реальность такова, что в настоящее время для изменения регистрации домена требуется несколько больше проверок и противовесов — и гораздо больше навыков «социальной инженерии» (иначе говоря: быть законченным мошенником) — и на них нельзя просто повлиять, отправив одно простое электронное письмо. Так что, хотя этот совет в некоторой степени разумен — всегда хорошо игнорировать нежелательные электронные письма — он также немного параноидальный.
Что касается основного вопроса о том, что ответы на электронные письма в целом представляют риск заражения.
Я знаю, что когда-то это было возможно благодаря JavaScript. Но сейчас это все еще проблема? Особенно для более защищенных почтовых сервисов, таких как Gmail.
Вероятность заражения при ответе на электронное письмо довольно мала или равна нулю, посколькуотвечаяимеетникогдабыл вектором. Единственный риск заражения электронной почты, который когда-то существовал, исходил отсмотрящийв—илиоткрытие— электронное письмо, поскольку если в письме есть HTML-контент, тобылриск того, что HTMLмогсодержат встроенный вредоносный JavaScript.
Это когда-то было риском в некоторых почтовых браузерах/программах, которые не фильтровали/деактивировали JavaScript должным образом из писем, таких как — барабанная дробь — Microsoft Outlook, который обрабатывал HTML-письма так, как будто это были просто HTML-страницы. Простое действие обработки HTML-письма так, как будто это HTML-страница, открывало довольно широкую дверь для заражения, просто просматривая письмо.
Так что вы на 100% правы, думая, что в настоящее время существует больше защит. И главная «защита» в том, что любаядействительно компетентныйсовременный браузер/программа электронной почты — это простонетзапускать JavaScript вообще при отображении HTML-контента электронной почты. Как объяснено на этой странице«Что можно и чего нельзя делать в HTML-сообщениях электронной почты»:
Не используйте Javascript. Он будет проигнорирован или даже воспринят как угроза безопасности. Как только кто-то получит уведомление о безопасности одного из ваших писем, он вряд ли когда-либо откроет другое.
Единственный риск, который я могу себе представить, это если бы вы каким-то образом использовали устаревший браузерный почтовый клиент, который не фильтрует JavaScript в HTML-письмах. В этом случае браузерная почтовая программа просто отображала бы HTML-письмо в веб-браузере. Который, конечно же, просто отображал бы HTML-контент письма, как если бы это была чистая HTML-страница веб-браузера… JavaScript и все такое. Но, как я уже сказал, этострогов наши дни это риск, но о нем следует знать, если вы каким-то образом столкнетесь с программой электронной почты на основе браузера и вам придется ее использовать.
решение2
Причина, по которой часто советуют удалять спам-письма, не открывая их, заключается в том, что это позволяет ограничить обратную связь со спамерами.
В идеале мы хотим, чтобы спамеры не могли отличить письмо, попавшее под действие спам-фильтра, от письма, которое прошло через спам-фильтр, но было распознано пользователем как спам.
Если спамеры смогут распознать разницу между двумя сценариями, они смогут автоматизировать корректировку своих спам-писем, чтобы обойти спам-фильтры.
Ответ на электронное письмо, нажатие ссылки в электронном письме или загрузка внешних файлов для отображения всего этого дает обратную связь спамерам, чего мы хотим избежать.
В некоторых контекстах совет дается без объяснения причины, стоящей за ним, а иногда с подразумеваемой причиной, что несоблюдение совета приведет к заражению вашего компьютера вирусом. Хотя существовали уязвимости, которые делали такие заражения возможными, это никогда не было основной причиной для совета.
Как указано вответ @Giacomo1968, страница, на которую вы ссылаетесь, дает еще одну причину не отвечать и не нажимать на ссылки. Эта причина направлена на определенные рабочие процессы, касающиеся управления доменом. Однако она может применяться к другим рабочим процессам, и, как правило, любое спам-сообщение может быть частью атаки социальной инженерии. Иногда эти атаки социальной инженерии могут быть настолько запутанными, что даже самые осведомленные пользователи могут посчитать письмо подозрительным, но быть совершенно неспособными объяснить, как оно может быть полезным в качестве части атаки социальной инженерии.
Независимо от того, применимы ли все три причины или только одна из трех к конкретному электронному письму, совет остается тем же. И некоторые пользователи вполне удовлетворены, помня только совет, а не его обоснование.