Source |
Schneier on Security |
Identifiant |
8478049 |
Date de publication |
2024-04-08 11:03:44 (vue: 2024-04-08 11:08:44) |
Titre |
Vulnérabilité de sécurité des e-mails HTML Security Vulnerability of HTML Emails |
Texte |
Il s'agit d'un Vulnérabilité des e-mails nouvellement découverte :
L'e-mail que votre gestionnaire a reçu et vous a transmis était quelque chose de complètement innocent, comme un client potentiel posant quelques questions.Tout ce que l'e-mail était censé réaliser était de vous être transmis.Cependant, au moment où l'e-mail est apparu dans votre boîte de réception, cela a changé.Le prétexte innocent a disparu et le véritable e-mail de phishing est devenu visible.Un e-mail de phishing vous avait en faire confiance parce que vous connaissiez l'expéditeur et ils ont même confirmé qu'ils vous l'avaient transmis.
Cette attaque est possible car la plupart des clients de messagerie permettent à CSS d'être utilisé pour styliser des e-mails HTML.Lorsqu'un e-mail est transmis, la position de l'e-mail d'origine dans le DOM change généralement, permettant aux règles CSS d'être appliquées sélectivement uniquement lorsqu'un e-mail a été transmis ...
This is a newly discovered email vulnerability:
The email your manager received and forwarded to you was something completely innocent, such as a potential customer asking a few questions. All that email was supposed to achieve was being forwarded to you. However, the moment the email appeared in your inbox, it changed. The innocent pretext disappeared and the real phishing email became visible. A phishing email you had to trust because you knew the sender and they even confirmed that they had forwarded it to you.
This attack is possible because most email clients allow CSS to be used to style HTML emails. When an email is forwarded, the position of the original email in the DOM usually changes, allowing for CSS rules to be selectively applied only when an email has been forwarded... |
Envoyé |
Oui |
Condensat |
achieve all allow allowing appeared applied asking attack became because been being changed changes clients completely confirmed css customer disappeared discovered dom email emails even forwarded had has however html inbox innocent knew manager moment most newly only original phishing position possible potential pretext questions real received rules security selectively sender something style such supposed trust used usually visible vulnerability vulnerability: when your |
Tags |
Vulnerability
|
Stories |
|
Notes |
★★
|
Move |
|