Microsoft Outlook уязвима перед новой фишинговой атакрй ZeroFont

Хакеры используют новый трюк с использованием шрифтов с нулевой точкой в электронных письмах. Врезультате действий вредоносные электронные письма выглядят как сканированные средствами безопасности в Microsoft Outlook.

Microsoft Outlook уязвима перед новой фишинговой атакрй ZeroFont. Фото: СС0

В новом отчете аналитика ISC Sans Яна Копривы говоритчя, что этот трюк может существенно повлиять на эффективность фишинговых операций, и пользователи должны знать о его существовании и использовании в реальных условиях.

Метод атаки ZeroFont, впервые описанный командой Avanan в 2018 году, представляет собой способ фишинга, использующий недостатки в том, как системы искусственного интеллекта и обработки естественного языка (NLP) в платформах безопасности электронной почты анализируют текст.

Метод включает в себя вставку скрытых слов или символов в электронные письма путем установки размера шрифта на ноль. Это делает текст невидимым для людей, но сохраняет его читабельным для алгоритмов НЛП.

Эта атака направлена на обход фильтров безопасности путем вставки невидимых неопасных терминов, которые смешиваются с подозрительным видимым контентом, искажая интерпретацию контента ИИ и результаты проверок безопасности.

В своем отчете за 2018 год компания Avanan предупредила, что ZeroFont обошел проверку Microsoft Office 365 Advanced Threat Protection (ATP), даже когда электронные письма содержали известные вредоносные ключевые слова.

В новом фишинговом электронном письме, обнаруженном Яном Копривой, злоумышленник использует атаку ZeroFont для манипулирования предварительным просмотром сообщений в широко используемых почтовых клиентах, таких как Microsoft Outlook.

В частности, рассматриваемое электронное письмо отображало другое сообщение в списке адресов электронной почты Outlook, чем на панели предварительного просмотра.

Это несоответствие достигается за счет использования ZeroFont для скрытия поддельного сообщения сканирования безопасности в начале фишингового электронного письма, поэтому, хотя оно не видно получателю, Outlook все равно захватывает его и отображает в качестве предварительного просмотра на панели списка электронных писем.

Цель состоит в том, чтобы внушить получателю ложное чувство легитимности и безопасности.

Ложное сообщение о сканировании безопасности увеличивает вероятность того, что жертва откроет сообщение и воспользуется его содержимым.

Вполне возможно, что Outlook — не единственный почтовый клиент, который захватывает первую часть электронного письма для предварительного просмотра сообщения, не проверяя, является ли его размер шрифта допустимым, поэтому пользователям другого программного обеспечения рекомендуется проявлять бдительность.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме