Хакерите използват нов трик за използване на нулеви шрифтове в имейли, за да накарат зловредните имейли да изглеждат като безопасно сканирани от инструментите за сигурност в Microsoft Outlook.
Въпреки че техниката за фишинг с нулеви шрифтове е била използвана в миналото, за първи път е документирано, че е използвана по този начин.
В нов доклад на анализатора на ISC Sans Ян Коприва изследователят предупреждава, че този трик може да доведе до огромна разлика в ефективността на фишинг операциите и потребителите трябва да са наясно с неговото съществуване и използване в реалността.
Той включва вмъкване на скрити думи или символи в имейли чрез задаване на нулев размер на шрифта, което прави текста невидим за човешките цели, но го запазва четлив за алгоритмите на NLP.
Тази атака има за цел да заобиколи филтрите за сигурност чрез вмъкване на невидими доброкачествени термини, които се смесват с подозрително видимо съдържание, изкривявайки интерпретацията на съдържанието от страна на ИИ и резултата от проверките за сигурност.
В доклада си за 2018 г. Avanan предупреждава, че ZeroFont заобикаля Advanced Threat Protection (ATP) на Microsoft Office 365, дори когато имейлите съдържат известни злонамерени ключови думи.
Скриване на фалшиви антивирусни сканирания
В нов фишинг имейл, видян от Kopriva, заплахата използва атаката ZeroFont, за да манипулира визуализациите на съобщенията в широко използвани клиенти за електронна поща като Microsoft Outlook.
По-конкретно, въпросното електронно писмо показва различно съобщение в списъка с имейли на Outlook, отколкото в панела за предварителен преглед.
Както можете да видите по-долу, в прозореца със списъка с имейли се чете „Сканирано и защитено от Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM“, докато началото на имейла в прозореца за преглед/четене показва „Предложение за работа | Възможност за заетост“.
Това несъответствие е постигнато чрез използване на ZeroFont за скриване на фалшивото съобщение за сканиране за сигурност в началото на фишинг имейла, така че макар то да не е видимо за получателя, Outlook все пак го улавя и показва като предварителен преглед в панела с имейли.
Целта е да се създаде фалшиво чувство за легитимност и сигурност у получателя.
Чрез представянето на измамно съобщение за сканиране на сигурността вероятността целта да отвори съобщението и да се запознае със съдържанието му се увеличава.
Възможно е Outlook да не е единственият клиент за електронна поща, който хваща първата част на съобщението за предварителен преглед на съобщението, без да проверява дали размерът на шрифта му е валиден, така че бдителността е препоръчителна и за потребителите на друг софтуер.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.