Специалисты ИБ-компании Avanan обнаружили новую технику фишинга, которая позволяет мошенникам обойти фильтры почтовых серверов. Специальная обработка текста позволяет представить защитным системам и конечному адресату разное содержание письма. Атака получила название ZeroFont — от англ. «нулевой шрифт», на котором и построен данный метод.

Современные почтовые фильтры анализируют текст электронных сообщений, чтобы определить их смысл и связать с отправителем. Например, если в нем стоит подпись Apple, а письмо пришло не с apple.com, система пометит его как подозрительное. Особое внимание уделяется сообщениям, в которых адресата просят предоставить финансовые и прочие данные.

Чтобы обойти эту защиту, мошенники меняют текст писем, затрудняя их анализ автоматическими инструментами. Для этого в письма добавляются случайные символы с HTML-тегом, который устанавливает им нулевой шрифт. Например, вместо Microsoft в таком письме может быть написано:

Micr<span style="FONT-SIZE: 0px">Dprsmfwe</span>osoft

При отображении сообщения в почтовом клиенте эти вставки будут невидимыми для пользователя. Однако автоматическая программа, которая читает код в том виде, как он написан, не распознает в тексте слово Microsoft и пропустит письмо.

Авторы отчета приводят в пример одно из фишинговых уведомлений, в котором злоумышленники просят пользователя перейти по ссылке — якобы чтобы увеличить объем почтового хранилища Outlook. В конце текста адресат увидит стандартную подпись Microsoft:

Если убрать тег с указанием нулевого шрифта, становится очевидно, как письмо прошло почтовый фильтр: разбросанные по тексту символы меняют его до неузнаваемости:

Эксперты отмечают, что содержательный анализ электронных писем остается самым надежным способом защиты от фишинга, однако мошенники уже не в первый раз находят способ его обойти. Ранее они научились манипулировать с цифровыми электронными подписями и добавлять в текст ссылки из черного списка. Кроме того, фишеры часто применяют омографы, меняя буквы в ссылках на похожие Unicode-символы.

Категории: Мошенничество, Спам