Οι χάκερ χρησιμοποιούν ένα νέο τέχνασμα χρήσης γραμματοσειρών μηδενικού σημείου στα
email
για να κάνουν τα κακόβουλα email να εμφανίζονται ως ασφαλή σαρωμένα από εργαλεία ασφαλείας στο Microsoft
Outlook
.
Αν και η τεχνική phishing ZeroFont έχει χρησιμοποιηθεί στο παρελθόν, αυτή είναι η πρώτη φορά που τεκμηριώνεται ότι χρησιμοποιείται με αυτόν τον τρόπο.
Σε μια νέα έκθεση του αναλυτή της ISC Sans, Jan Kopriva, ο ερευνητής προειδοποιεί ότι αυτό το κόλπο θα μπορούσε να κάνει τεράστια διαφορά στην αποτελεσματικότητα των λειτουργιών phishing και οι χρήστες θα πρέπει να γνωρίζουν την ύπαρξη και τη χρήση του στην άγρια φύση.
Επιθέσεις ZeroFont
Η μέθοδος επίθεσης ZeroFont, που τεκμηριώθηκε για πρώτη φορά από
Avanan το 2018
είναι μια τεχνική ηλεκτρονικού ψαρέματος που εκμεταλλεύεται ελαττώματα στον τρόπο με τον οποίο τα συστήματα AI και επεξ
εργασία
ς φυσικής γλώσσας (NLP) σε πλατφόρμες ασφαλείας email αναλύουν κείμενο.
Περιλαμβάνει την εισαγωγή κρυφών λέξεων ή χαρακτήρων σε μηνύματα ηλεκτρονικού ταχυδρομείου, ορίζοντας το μέγεθος της γραμματοσειράς στο μηδέν, καθιστώντας το κείμενο αόρατο στους ανθρώπινους στόχους, διατηρώντας ωστόσο ευανάγνωστο από αλγόριθμους NLP.
Αυτή η επίθεση στοχεύει να αποφύγει τα φίλτρα ασφαλείας εισάγοντας αόρατους καλοήθεις όρους που αναμειγνύονται με ύποπτο ορατό περιεχόμενο, παραμορφώνοντας την ερμηνεία του περιεχομένου από την τεχνητή νοημοσύνη και το αποτέλεσμα των ελέγχων ασφαλείας.
Στην έκθεσή του για το 2018, ο Avanan προειδοποίησε ότι το ZeroFont παρέκαμψε το
Office 365
Advanced Threat Protection (ATP) της Microsoft ακόμη και όταν τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν γνωστές κακόβουλες λέξεις-κλειδιά.
Απόκρυψη ψευδών σαρώσεων προστασίας από ιούς
Σε ένα νέο
email ηλεκτρονικού ψαρέματος που είδε η Kopriva
ένας παράγοντας απειλής χρησιμοποιεί την επίθεση ZeroFont για να χειριστεί τις προεπισκοπήσεις μηνυμάτων σε ευρέως χρησιμοποιούμενα προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου, όπως το Microsoft Outlook.
Συγκεκριμένα, το εν λόγω
μήνυμα
ηλεκτρονικού ταχυδρομείου εμφάνιζε διαφορετικό μήνυμα στη λίστα email του Outlook σε σχέση με το παράθυρο προεπισκόπησης.
Όπως μπορείτε να δείτε παρακάτω, το παράθυρο καταχώρισης email γράφει “Σαρωμένο και ασφαλισμένο με Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM”, ενώ η αρχή του μηνύματος ηλεκτρονικού ταχυδρομείου στο παράθυρο προεπισκόπησης/ανάγνωσης εμφανίζει “Job Προσφορά | Ευκαιρία Απασχόλησης.”
Κακόβουλο μήνυμα phishing
(isc.sans.edu)
Αυτή η ασυμφωνία επιτυγχάνεται με τη χρήση του ZeroFont για την απόκρυψη του ψευδούς μηνύματος σάρωσης ασφαλείας στην αρχή του ηλεκτρονικού “ψαρέματος” (phishing), έτσι ενώ δεν είναι ορατό στον παραλήπτη, το Outlook εξακολουθεί να το αρπάζει και να το εμφανίζει ως προεπισκόπηση στο παράθυρο καταχώρισης email.
Μήνυμα σάρωσης προστασίας από ιούς απόκρυψη επίθεσης μηδενικής γραμματοσειράς
Πηγή: ISC Sans
Ο στόχος είναι να ενσταλάξει μια ψευδή αίσθηση νομιμότητας και ασφάλειας στον αποδέκτη.
Με την παρουσίαση ενός παραπλανητικού μηνύματος σάρωσης ασφαλείας, αυξάνεται η πιθανότητα ο στόχος να ανοίξει το μήνυμα και να ασχοληθεί με το περιεχόμενό του.
Είναι πιθανό το Outlook να μην είναι το μόνο πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου που παίρνει το πρώτο τμήμα ενός μηνύματος για προεπισκόπηση ενός μηνύματος χωρίς να ελέγχει αν το μέγεθος της γραμματοσειράς του είναι έγκυρο, επομένως συνιστάται επαγρύπνηση και για τους χρήστες άλλου λογισμικού.