Tak.
W sumie tutaj można zakończyć dywagację. Często jednak spotykamy się z pytaniem, co tak naprawdę może się stać po kliknięciu w link wysłany przez przestępców na naszą skrzynkę e-mailową. Warto więc wiedzieć, że kliknięcie w link z e-maila może być potencjalnie niebezpieczne. Istnieje wiele różnych zagrożeń związanych z linkami w emailach, zwłaszcza jeśli e-mail pochodzi od nieznajomego nadawcy. Największym z zagrożeń jest phishing. Linki w e-mailach phishingowych mogą prowadzić do fałszywych stron internetowych, które wyglądają jak oryginalne, ale są stworzone w celu wykradzenia twoich danych logowania, informacji osobistych lub finansowych. Mogą też zawierać spam i niechciane treści, mogą prowadzić do stron z nielegalnymi materiałami lub materiałami, których wolelibyśmy nie widzieć w historii swojej przeglądarki.
Kliknąłem link, żeby sprawdzić…
A co jeśli zidentyfikowaliśmy już phishing. Wiemy, że nadawcą wcale nie jest Allegro ani Netflix, tylko przestępcy.
Nie damy się nabrać na fałszywą bramkę płatności. Nie damy się nabrać na żadne socjotechniczne sztuczki, czy kliknięcie w link w celu “sprawdzenia” jest bezpiecznie?
Co może się stać po kliknięciu w link?
W większości przypadków faktycznie nie stanie się nic. Zobaczysz stronę phishingową przygotowaną w celu wyłudzenia twoich haseł albo danych osobowych. Może się zdarzyć, że strona przekieruje Cię w celu automatycznego pobrania załącznika, którym będzie jakaś forma malware. Strona może też wyświetlić monit, do złudzenia przypominający systemowy komunikat, w którym możesz zostać poproszony o pobranie i zainstalowanie złośliwego oprogramowania na twoim urządzeniu. Oczywiście, zdajesz sobie z tego sprawę, więc nie uruchomisz tego pliku. Więc czy faktycznie może się stać coś złego? Czy kliknięcie w link może spowodować pobranie i zainstalowanie na twoim urządzeniu złośliwego oprogramowania lub wykonać bez twojej wiedzy inne akcje?
Tak.
Chociaż w większości przypadków, nie będzie miało to miejsca, to jednak taka opcja istnieje. Przeglądarki internetowe interpretują kod HTML, skrypty napisane w JavaScript i innych technologiach webowych, które mogą być wykorzystane przez złośliwy link. Złośliwe skrypty mogą wykonywać akcje w Twoim imieniu. Automatycznie wysyłać wiadomości e-mail, umieścić post w mediach społecznościowych lub wykonać niepożądane operacje na koncie użytkownika. Warto zauważyć, że większość współczesnych przeglądarek stara się chronić użytkowników przed takimi zagrożeniami. Wprowadzają one różne mechanizmy zabezpieczeń, takie jak blokowanie znanych stron phishingowych, ostrzeżenia o potencjalnie niebezpiecznych linkach i filtrowanie złośliwego kodu. Problem z ochroną polega na tym, że o jej niedoskonałościach dowiadujemy się po fakcie.
Poniżej prezentujemy listę luk przeglądarki Internet Explorer:
715 lik typu RCE (remote code execution). Czyli, w mocnym uproszczeniu, 715 znanych sposobów, które w przeszłości mogli wykorzystać przestępcy, aby wykonać kod na twoim komputerze, bez twojej wiedzy. Czy konkurencyjne przeglądarki wyglądają na tym polu lepiej?
Niech odpowiedzą na to pytanie statystyki Firefoxa, pochodzące z tego samego źródła:
Odpowiemy więc jeszcze raz na pytanie,
Czy kliknięcie nieznany link jest bezpieczne?
Nie.
A potwierdzeniem tego niech będzie błąd CVE-2023-3079 odkryty przez badacza Google Clémenta Lecigne’a 1 czerwca 2023 roku. To błąd w silniku JavaScript Chrome (jego zadaniem jest wykonywanie kodu w przeglądarce). Silnik błędnie interpretował typ obiektu, specjalnie przygotowanego przez atakujących, w czasie wykonywania, co potencjalnie prowadząc do złośliwej manipulacji pamięcią i wykonania dowolnego kodu. Warto zauważyć, że pierwszą luką zero-day, którą Google naprawił w Chrome w tym roku, była CVE-2023-2033, która jest również błędem związanym z pomyleniem typów w silniku JavaScript V8.
Luki tego typu są często wykorzystywane przez wyrafinowanych aktorów sponsorowanych przez państwa, których celem są przede wszystkim wysoko postawione osoby w rządzie, mediach lub innych ważnych organizacjach.