Przestępcy zatruwają maile. Nowa metoda oszukiwania filtrów antyspamowych

Hidden text salting, czyli ukryty tekst w wiadomościach e-mail (określany też jako zatruwanie), jest prostą, ale skuteczną metodą pozwalającą ominąć filtry antyspamowe i systemy wykrywania oparte na słowach kluczowych. Polega ona na dodaniu do kodu HTML wiadomości znaków, które są niewidoczne dla odbiorcy.

Eksperci ds. bezpieczeństwa z Cisco Talos zaobserwowali wzrost liczby e-maili wykorzystujących tę technikę. Co może doprowadzić do wzrostu liczby udanych ataków phishingowych oraz infekcji złośliwym oprogramowaniem.

Jak to działa?

Cyberprzestępcy wykorzystują różne techniki wykorzystujące elementy języka HTML (Hypertext Markup Language) oraz CSS (Cascading Style Sheets), aby ukryć tekst w e-mailach. Mogą na przykład:

• Ustawić szerokość bloku tekstu na zero, dzięki czemu tekst jest niewidoczny, ale nadal obecny w kodzie HTML;
• Wstawić znaki niedrukowalne, takie jak Zero-Width SPace (ZWSP) i Zero-Width Non-Joiner (ZWNJ), które są niewidoczne dla oka, ale rozpoznawane przez parsery;
• Ukryć tekst za pomocą stylów CSS, na przykład ustawiając właściwość „display” na „none”.

Ogólnie chodzi o to, aby umieścić w kodzie źródłowym HTML wiadomości e-mail pewne znaki, których nie można rozpoznać wizualnie, gdy wiadomość e-mail jest renderowana w kliencie poczty e-mail, ale mogą mieć wpływ na skuteczność parserów i silników wykrywania.

W ten sposób oszuści mogą ukryć podejrzane słowa lub linki, które normalnie zostałyby zablokowane przez filtry. Pozornie wiadomości wydają się bezpieczne, podczas gdy w rzeczywistości mogą zawierać złośliwe treści, np. linki phishingowe.

Czemu służy ukrywanie fragmentów wiadomości?

Technika ta jest wykorzystywana w różnych celach, m.in. do omijania analizy nazw marek w adresach e-mail, oszukiwania procedur wykrywania języka oraz omijania filtrów antyspamowych i silników wykrywających przemyt kodu HTML.

Ukrywanie tekstu może służyć różnym celom, takim jak:

• Unikanie wykrywania nazw marek przez parsery e-maili, co utrudnia identyfikację wiadomości phishingowych podszywających się pod znane firmy;
• Zmylenie systemów wykrywania języka, co pozwala ominąć filtry antyspamowe oparte na języku wiadomości;
• Utrudnianie analizy załączników HTML przez systemy bezpieczeństwa.

Technika trucia jest również wykorzystywana w ramach HTML smuggling, czyli „przemycania” złośliwych ładunków, wykorzystując w tym celu HTML 5 i JavaScript. Pozwala to na ukryte umieszczenie złośliwego kodu w e-mailu lub na stronie internetowej.

Jak się bronić?

Cisco ostrzega, że ta prosta technika potrafi skutecznie obejść stosowanie zabezpieczenia i stwarza wyzwanie w identyfikowaniu zagrożeń e-mail, które wykorzystują tę metodę.

Dlatego istotne jest wdrażanie zaawansowanych technik filtrowania wiadomości, które mogą skuteczniej wykrywać ukryte treści, na przykład poprzez badanie struktury źródła HTML wiadomości e-mail, aby znaleźć nadmierne użycie stylów inline lub nietypowe zagnieżdżanie elementów, które mogłoby sugerować próbę ukrycia treści.

Inną metodą jest poleganie na cechach wizualnych – oprócz domeny tekstowej warto zwracać uwagę na cechy wizualne wiadomości e-mail, czyli nietypowego formatowania i ukrytych elementów wizualnych.

Źródło: Cisco Talos, bank.pl. Zdjęcie otwierające: I AM CONTRIBUTOR / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Przestępcy zatruwają maile. Nowa metoda oszukiwania filtrów antyspamowych pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.