28/09/23
Письма со шрифтом нулевого размера позволяют маскировать злонамеренные сообщения под безопасные, уже проверенные алгоритмами Microsoft Outlook.
Хотя метод ZeroFont уже использовался в разных фишинговых кампаниях, это первый задокументированный случай, пишет Securitylab.
Изначально тактику описала компания Avanan в 2018 году. В систему защиты электронной почты внедрен искусственный интеллект для анализа текста. Оказывается, его довольно просто обмануть.
Хакеры добавляют в письма слова или символы с нулевым размером шрифта, делая их невидимыми для человека. Однако для компьютерных алгоритмов этот текст остается читаемым.
В 2018 году исследователи отмечали, что ZeroFont может обойти защиту Microsoft’s Office 365 Advanced Threat Protection (ATP), даже если в сообщении присутствуют известные вредоносные метки.
Недавно аналитик ISC Sans, Ян Коприва, обнаружил фишинговое письмо, в котором хакеры применяют метод ZeroFont для манипуляций со строкой предварительного просмотра. Outlook отображал один текст в общем списке входящих и другой — в самом теле.
Коприва продемонстрировал, как превью «Проверено и защищено Isc®Advanced Threat Protection (APT): 9/22/2023 6:42 AM» исчезает при открытии сообщения. На его месте остается заголовок «Предложение работы | Возможность трудоустройства».
Таким образом, ZeroFont скрывает ложную пометку о проверке безопасности в начале текста. Несмотря на то, что оно невидимо для получателя, Outlook все равно его «захватывает» и отображает в режиме превью.
Цель хакеров — внушить адресату ложное чувство безопасности. Вероятность того, что человек откроет и прочитает письмо с такой пометкой увеличивается.
Outlook, вероятно, не единственный почтовый сервис, который в предпросмотре показывает начальный текст письма, даже если он написан невидимым шрифтом нулевого размера. Это можно считать опасной уязвимостью, поэтому пользователи других программ должны быть настороже.
