Pas op! Phishing-e-mailcampagne gebruikt kleine lettertypen om bescherming te omzeilen

Beveiligingsonderzoekers van Avanan, onderdeel van de CheckPoint Security-familie, ontdekten een recente phishing-e-mailcampagne gericht op zakelijke e-mails. De phishing-e-mails gebruikten een nieuwe techniek om geautomatiseerde beveiligingsfilters te omzeilen.

Avanan registreerde de activiteit van de campagne in september 2021. Deze specifieke poging probeerde Microsoft 365-gebruikersaccounts te compromitteren en gebruikte meerdere methoden om de kwaadaardige componenten van de berichten te verdoezelen.

De campagne werd door het beveiligingsteam OnePoint genoemd vanwege het feit dat het tekstreeksen in de hoofdtekst van de e-mails verbergt, met behulp van een lettertype dat als een enkele pixel per letter op het scherm wordt weergegeven, waardoor het vrijwel onzichtbaar is.

Een andere verduisteringstactiek die in de phishing-e-mails werd gebruikt, was het nesten van kwaadaardige links in de CSS-component van de e-mails. Het doel van het gebruik van dit soort nesting en verduistering is dat het erin is geslaagd om natuurlijke taalfilters te verwarren, zoals Microsoft's eigen NLP of 'natuurlijke taalverwerking'-technologie.

Schadelijke links zijn ook ingebed in de HTML-lettertypetags van de phishing-campagne in de e-mails. Dit dient verder om de kwaadaardige inhoud te maskeren en de geautomatiseerde filters te verwarren.

Het bedrijf dat deze campagne van september 2021 ontdekte, zag drie jaar geleden ook een soortgelijke, toen slechteriken lettertypen van nulgrootte gebruikten die nooit op het scherm van de gebruiker verschijnen, zelfs niet als een enkele rij pixels.

De hook die in de OnePoint phishing-campagne wordt gebruikt, is een nepbericht "uw wachtwoord verloopt binnenkort". Het slachtoffer wordt vervolgens verleid om hun inloggegevens in te voeren in valse inlogformulieren die de ingevoerde inloggegevensreeksen eenvoudigweg naar de servers van de kwaadwillenden leiden.

Als extra verdediging tegen soortgelijke aanvallen die nieuwe verduisteringstechnieken gebruiken, raden beveiligingsonderzoekers aan om een secundaire, machine-learning AI-beveiligingslaag te gebruiken die bovenop natuurlijke taalfilters wordt toegevoegd.