Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Хакеры разработали новый метод обхода систем безопасности в электронной почте

28/09/23

XxEvtaBKpJqN7Wv27Q5bvC

Письма со шрифтом нулевого размера позволяют маскировать злонамеренные сообщения под безопасные, уже проверенные алгоритмами Microsoft Outlook.

Хотя метод ZeroFont уже использовался в разных фишинговых кампаниях, это первый задокументированный случай, пишет Securitylab.

Изначально тактику описала компания Avanan в 2018 году. В систему защиты электронной почты внедрен искусственный интеллект для анализа текста. Оказывается, его довольно просто обмануть.

Хакеры добавляют в письма слова или символы с нулевым размером шрифта, делая их невидимыми для человека. Однако для компьютерных алгоритмов этот текст остается читаемым.

В 2018 году исследователи отмечали, что ZeroFont может обойти защиту Microsoft’s Office 365 Advanced Threat Protection (ATP), даже если в сообщении присутствуют известные вредоносные метки.

Недавно аналитик ISC Sans, Ян Коприва, обнаружил фишинговое письмо, в котором хакеры применяют метод ZeroFont для манипуляций со строкой предварительного просмотра. Outlook отображал один текст в общем списке входящих и другой — в самом теле.

Коприва продемонстрировал, как превью «Проверено и защищено Isc®Advanced Threat Protection (APT): 9/22/2023 6:42 AM» исчезает при открытии сообщения. На его месте остается заголовок «Предложение работы | Возможность трудоустройства».

Таким образом, ZeroFont скрывает ложную пометку о проверке безопасности в начале текста. Несмотря на то, что оно невидимо для получателя, Outlook все равно его «захватывает» и отображает в режиме превью.

Цель хакеров — внушить адресату ложное чувство безопасности. Вероятность того, что человек откроет и прочитает письмо с такой пометкой увеличивается.

Outlook, вероятно, не единственный почтовый сервис, который в предпросмотре показывает начальный текст письма, даже если он написан невидимым шрифтом нулевого размера. Это можно считать опасной уязвимостью, поэтому пользователи других программ должны быть настороже.

Темы:Преступленияэлектронная почтаMicrosoft OutlookAvanan
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Секреты опасных писем
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н.
    Электронная почта остается основной целью атак, а безопасность должна быть комплексной – об этом в преддверии нового года мы побеседовали с Юрием Ивановым, кандидатом технических наук, техническим директором компании “АВ Софт”, руководителем направления машинного обучения.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...