Strzec się! Kampania e-mailowa dotycząca phishingu wykorzystuje małe czcionki do obejścia ochrony

Badacze bezpieczeństwa z Avanan, częścią rodziny CheckPoint Security, odkryli niedawną kampanię phishingową wymierzoną w biznesowe wiadomości e-mail. Wiadomości phishingowe wykorzystywały nowatorską technikę obejścia automatycznych filtrów ochronnych.

Avanan zarejestrował aktywność kampanii we wrześniu 2021 r. Ten szczególny wysiłek miał na celu złamanie zabezpieczeń kont użytkowników platformy Microsoft 365 i wykorzystał wiele metod, aby zaciemnić złośliwe składniki wiadomości.

Kampania została nazwana przez zespół ds. bezpieczeństwa OnePoint ze względu na to, że ukrywa ciągi tekstowe w treści wiadomości e-mail za pomocą czcionki, która jest renderowana jako jeden piksel na literę na ekranie, dzięki czemu jest praktycznie niewidoczna.

Inna taktyka zaciemniania stosowana w wiadomościach phishingowych obejmowała zagnieżdżanie szkodliwych odsyłaczy w komponencie CSS wiadomości. Celem stosowania tego rodzaju zagnieżdżania i zaciemniania jest to, że udało się zmylić filtry języka naturalnego, takie jak własna technologia NLP firmy Microsoft lub technologia „przetwarzania języka naturalnego".

Złośliwe linki są również osadzane w znacznikach czcionek HTML kampanii phishingowej w wiadomościach e-mail. Służy to dalszemu maskowaniu złośliwej zawartości i myleniu automatycznych filtrów.

Firma, która wykryła kampanię z września 2021 r., również zauważyła podobną trzy lata temu, kiedy źli aktorzy używali czcionek o zerowym rozmiarze, które nigdy nie pojawiają się na ekranie użytkownika, nawet jako pojedynczy rząd pikseli.

Hak wykorzystany w kampanii phishingowej OnePoint to fałszywa wiadomość „Twoje hasło wkrótce wygaśnie". Ofiara zostaje następnie zwabiona do wprowadzenia swoich danych uwierzytelniających w fałszywych formularzach logowania, które po prostu przekierowują wprowadzone ciągi danych logowania na serwery cyberprzestępców.

Jako dodatkową ochronę przed podobnymi atakami, które wykorzystują nowatorskie techniki zaciemniania, badacze bezpieczeństwa zalecają stosowanie dodatkowej warstwy zabezpieczeń sztucznej inteligencji opartej na uczeniu maszynowym, dodanej do filtrów języka naturalnego.