Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Мошенники научились добавлять невидимые символы в электронные письма, чтобы обманывать автоматические почтовые фильтры.
Специалисты ИБ-компании Avanan обнаружили новую технику фишинга, которая позволяет мошенникам обойти фильтры почтовых серверов. Специальная обработка текста позволяет представить защитным системам и конечному адресату разное содержание письма. Атака получила название ZeroFont — от англ. “нулевой шрифт”, на котором и построен данный метод.
Современные почтовые фильтры анализируют текст электронных сообщений, чтобы определить их смысл и связать с отправителем. Например, если в нем стоит подпись Apple, а письмо пришло не с apple.com, система пометит его как подозрительное. Особое внимание уделяется сообщениям, в которых адресата просят предоставить финансовые и прочие данные.
Чтобы обойти эту защиту, мошенники меняют текст писем, затрудняя их анализ автоматическими инструментами. Для этого в письма добавляются случайные символы с HTML-тегом, который устанавливает им нулевой шрифт. Например, вместо Microsoft в таком письме может быть написано:
Micr<span style="FONT-SIZE: 0px">Dprsmfwe</span>osoft
При отображении сообщения в почтовом клиенте эти вставки будут невидимыми для пользователя. Однако автоматическая программа, которая читает код в том виде, как он написан, не распознает в тексте слово Microsoft и пропустит письмо.
Авторы отчета приводят в пример одно из фишинговых уведомлений, в котором злоумышленники просят пользователя перейти по ссылке — якобы чтобы увеличить объем почтового хранилища Outlook. В конце текста адресат увидит стандартную подпись Microsoft:
Если убрать тег с указанием нулевого шрифта, становится очевидно, как письмо прошло почтовый фильтр: разбросанные по тексту символы меняют его до неузнаваемости:
Эксперты отмечают, что содержательный анализ электронных писем остается самым надежным способом защиты от фишинга, однако мошенники уже не в первый раз находят способ его обойти. Ранее они научились манипулировать с цифровыми электронными подписями и добавлять в текст ссылки из черного списка. Кроме того, фишеры часто применяют омографы, меняя буквы в ссылках на похожие Unicode-символы.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |